Настройка DoT/DoH

[KorDen]

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

[Le ecureuil]

8 минут назад, vasek00 сказал:

Маленький вопрос, в dnscrypt можно было блокировать IP по списку, как быть с данным функционалом тогда?

А поподробнее? Я dnscrypt в глаза не видел, для меня "блокировать IP по списку" ничего не значит.

[Le ecureuil]

Только что, cool сказал:

Вот я и спрашиваю, как правильно это сделать?

Ну в web же можно все сделать на странице Интернет-фильтров. Или в cli.

[cool]

9 минут назад, Le ecureuil сказал:

Ну в web же можно все сделать на странице Интернет-фильтров. Или в cli.

Как раз хотел спросить про веб, но вы опередили. Просто я еще не поставил новую 3.1 Alpha 1.2, заранее интересуюсь путями отхода )), а также попутно делаю выводы - имеет ли смысл ее вообще сейчас ставить.

Изменено 14 июня, 2019 пользователем cool

[Le ecureuil]

4 минуты назад, cool сказал:

Как раз хотел спросить про веб, но вы опередили. Просто я еще не поставил новую 3.1 Alpha 1.2, заранее интересуюсь путями отхода )), а также попутно делаю выводы имеет ли смысл ее вообще сейчас ставить.

Можно тупо компоненты dot и doh удалить на странице компонентов, и будет прям как вы хотите

[cool]

2 минуты назад, Le ecureuil сказал:

Можно тупо компоненты dot и doh удалить на странице компонентов, и будет прям как вы хотите

Ok, принял к сведению. Спасибо.

[vasek00]

56 минут назад, Le ecureuil сказал:

А поподробнее? Я dnscrypt в глаза не видел, для меня "блокировать IP по списку" ничего не значит.

Вы же написали "В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории."

По мимо это в dnscrypt еще был функционал

# Use servers implementing the DNSCrypt protocol
# Use servers implementing the DNS-over-HTTPS protocol
# Server must support DNS security extensions



# Server must not enforce its own blacklist (for parental control, ads blocking...)
# require_nofilter = true

[blacklist]
## Path to the file of blocking rules (absolute, or relative to the same directory as the executable file)
# blacklist_file = '/opt/tmp/blacklist.txt'

[ip_blacklist]
## Path to the file of blocking rules (absolute, or relative to the same directory as the executable file)
# blacklist_file = '/opt/tmp/ip-blacklist.txt'

[whitelist]
## Path to the file of whitelisting rules (absolute, or relative to the same directory as the executable file)
# whitelist_file = '/opt/tmp/whitelist.txt'

https://github.com/jedisct1/dnscrypt-proxy/wiki/Public-blacklists

 

[Le ecureuil]

Тема уходит на свалку истории, потому что его реализовывать не будут. Ну а dnscrypt-proxy и протокол сами туда отойдут, без нас.

А блеклисты - это совсем другая фича, никак именно к DC не относящаяся. Можно создавать тему с голосовалкой по ней.

[AndreBA]

Попробовал, настроил. Но при работающем transmission процессор постепенно выходит на 98-100%. Удалил настройки "Серверы DNS-over-TLS", все нормализовалось( процессор 15-20%).

[mega1volt]

При использовании DNS over https в логе периодически такие записи, это нормально ?

В графе сигнатура SPKI надо что-то прописывать? Какой формат выбирать JSON или DNS message?

Изменено 15 июня, 2019 пользователем mega1volt

[cool]

33 минуты назад, mega1volt сказал:

При использовании DNS over https в логе периодически такие записи

А у меня и после отключения DNS over https в логах такое остается.

[keenet07]

Пока не ставил эту прошивку. Скажите, данный функционал реализован только через консоль? Или из веб-интерфейса уже можно включать и настраивать?

[r13]

2 минуты назад, keenet07 сказал:

Пока не ставил эту прошивку. Скажите, данный функционал реализован только через консоль? Или из веб-интерфейса уже можно включать и настраивать?

Через веб

[KorDen]

2 часа назад, mega1volt сказал:

В графе сигнатура SPKI надо что-то прописывать? Какой формат выбирать JSON или DNS message?

SPKI - это замена авторизации через CA по домену, "не заполнять, если не знаете, для чего нужно".

У DNS Message оверхед меньше

[Le ecureuil]

4 часа назад, mega1volt сказал:

При использовании DNS over https в логе периодически такие записи, это нормально ?

В графе сигнатура SPKI надо что-то прописывать? Какой формат выбирать JSON или DNS message?

Такое бывает, если сервер разрывает соединение и мы его устанавливаем заново. Страшного ничего нет.

[SigmaPlus]

4 часа назад, Le ecureuil сказал:

Такое бывает, если сервер разрывает соединение и мы его устанавливаем заново. Страшного ничего нет.

Лог правда показывает подобный разрыв каждые 10-11 минут и львиная часть лога посвящена именно этим событиям.

[Le ecureuil]

31 минуту назад, SigmaPlus сказал:

Лог правда показывает подобный разрыв каждые 10-11 минут и львиная часть лога посвящена именно этим событиям.

Подтюним, наверное перестанем показывать столь часто или переведем в system debug.

[cool]

5 часов назад, Le ecureuil сказал:

команда и URL выглядят так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm

Ввел в cli эту команду, посмотрел в лог, а там ошибки:

Соответственно, DNS не работает. Что я делаю не так?

PS. У меня установлен dnsmasq из Entware, но я перед этим выключил OPKG в вебе.

Изменено 15 июня, 2019 пользователем cool

[cool]

2 минуты назад, Кинетиковод сказал:

Сделайте так:

Так после ввода команды в cli эта запись в вебе появилась, я проверял. Или надо именно в вебе заполнять настройки?

[Кинетиковод]

1 минуту назад, cool сказал:

Так после ввода команды в cli эта запись в вебе появилась, я проверял. Или надо именно в вебе заполнять настройки?

Я ввёл в вебе. Всё работает.

[cool]

12 минуты назад, Кинетиковод сказал:

Я ввёл в вебе. Всё работает.

Попробовал через веб - без изменений:

Ждем помощи от Le ecureuil.

Изменено 15 июня, 2019 пользователем cool

[Кинетиковод]

9 минут назад, cool сказал:

Сейчас удалил, добавил и получил такую же картину. Повторил на бис, всё заработало. Не знаю как объяснить сие явление.

[cool]

10 минут назад, Кинетиковод сказал:

Повторил на бис, всё заработало.

А у меня ни разу не заработало.

[Le ecureuil]

Серверы у cloudflare так себе. Используйте json-формат.

[cool]

1 час назад, Le ecureuil сказал:

Используйте json-формат.

Да, с ним заработало.

[cool]

8 часов назад, Le ecureuil сказал:

В этом случае команда и URL выглядят так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query dnsm

> dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json& json

По-моему, вот здесь https://cloudflare-dns.com/dns-query?ct=application/dns-json& json амперсанд лишний, верно? Должно быть так:

> dns-proxy https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json

[cmisha]

Проверить работу DOH, DOT для Cloudflare можно здесь - Privacy-First DNS Resolver

[SigmaPlus]

1 час назад, cmisha сказал:

Проверить работу DOH, DOT для Cloudflare можно здесь - Privacy-First DNS Resolver

Тогда возникает вопрос: почему тестирование сообщает что DOH не используется? Использую json вариант. По логу кинетика всё касательно DOH функционирует.

[mega1volt]

Для Cloudflare можно здесь проверить https://www.cloudflare.com/ssl/encrypted-sni/

[r777ay]

На 1810 DoH работает? Пробовал разные публично доступные серверы.  Не могу попасть не на один сайт

[Le ecureuil]

19 минут назад, r777ay сказал:

На 1810 DoH работает? Пробовал разные публично доступные серверы.  Не могу попасть не на один сайт

self-test пришлите в момент когда все настроено, но не работает.