Настройка DoT/DoH

[KorDen]

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

[ankar84]

Вот, кстати, еще список публичных серверов

[Sergey Zozulya]

3 hours ago, ankar84 said:

Вот, кстати, еще список публичных серверов

И еще https://kb.adguard.com/ru/general/dns-providers

[vasek00]

Лучше реально пример из которого можно что-то выбрать по приемлемым "ms"

    tls upstream 1.1.1.1 853 sni cloudflare-dns.com
    tls upstream 8.8.8.8 853 sni dns.google.com
    tls upstream 9.9.9.9 853 sni dns.quad9.net
    tls upstream 176.103.130.131 853 sni dns.adguard.com
    https upstream https://dns.adguard.com/dns-query dnsm
    https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40500     780      96       76      88ms     114ms     3  
               127.0.0.1  40501     855      70       84      72ms      78ms     3  
               127.0.0.1  40502     869      80       76      74ms     104ms     3  
               127.0.0.1  40503     936       0        1      83ms      83ms     0  
               127.0.0.1  40508     918      48       36      83ms     103ms     3  
               127.0.0.1  40509     791     119       97      71ms      71ms     3  

Что-то и выбрать из данного набора не чего, так чтоб 30-50ms

[Le ecureuil]

Добавьте все, хуже не будет.

30-50 мс это труднодостижимое время для dot/doh, укладка в 100 мс - это уже отличный показатель для average response time.

Попробуйте через dnsperf бенчмарки провести, сравним результаты.

[KorDen]

58 минут назад, vasek00 сказал:

Что-то и выбрать из данного набора не чего, так чтоб 30-50ms

Оно на самом деле очень скачет, если подампить вывод несколько раз в течение продолжительного времени. Пиковые цифры как я понимаю выскакивают когда keepalive закончился и он пересогласовывает TLS - если активности в сети не много, оно кмк часто будет дохнуть. У меня например такая картина получается

tls upstream 8.8.8.8 sni dns.google
tls upstream 1.1.1.1 sni cloudflare-dns.com
tls upstream 9.9.9.9 sni dns.quad9.net

       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     184     168       11      24ms      32ms    10
127.0.0.1  40501     317     226       10     314ms    1102ms     4
127.0.0.1  40502      19       3        7     207ms    1296ms     5

---чуть позже---
       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     285     255       11      24ms      23ms    10
127.0.0.1  40501     336     236       10      52ms     250ms     8
127.0.0.1  40502      33       3        7     207ms    1296ms     3

 

Изменено 17 июня, 2019 пользователем KorDen

[cmisha]

Попробуйте 1.0.0.1 он находится в Москве.

[Кинетиковод]

15 часов назад, r777ay сказал:

На 1810 DoH работает? Пробовал разные публично доступные серверы.  Не могу попасть не на один сайт

У меня не работал DoT, пока не удалил adguard. Adguard при этом был выключен и просто присутствовал как компонент системы.

[Le ecureuil]

51 минуту назад, KorDen сказал:

Оно на самом деле очень скачет, если подампить вывод несколько раз в течение продолжительного времени. Пиковые цифры как я понимаю выскакивают когда keepalive закончился и он пересогласовывает TLS - если активности в сети не много, оно кмк часто будет дохнуть. У меня например такая картина получается

tls upstream 8.8.8.8 sni dns.google
tls upstream 1.1.1.1 sni cloudflare-dns.com
tls upstream 9.9.9.9 sni dns.quad9.net

       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     184     168       11      24ms      32ms    10
127.0.0.1  40501     317     226       10     314ms    1102ms     4
127.0.0.1  40502      19       3        7     207ms    1296ms     5

---чуть позже---
       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     285     255       11      24ms      23ms    10
127.0.0.1  40501     336     236       10      52ms     250ms     8
127.0.0.1  40502      33       3        7     207ms    1296ms     3

 

Разумеется, нужно смотреть в момент, когда запросы идут непрерывно. В остальные времена это "погода на Марсе".

[Le ecureuil]

1 минуту назад, Кинетиковод сказал:

У меня не работал DoT, пока не удалил adguard. Adguard при этом был выключен и просто присутствовал как компонент системы.

Откуда проверялся DoT? С ПК или с роутера?

[Кинетиковод]

1 минуту назад, Le ecureuil сказал:

Откуда проверялся DoT? С ПК или с роутера?

C ПК. Причём не открывались не только страницы в интернете, но и вебморда роутера переставала отвечать и выходила из коматоза через некоторое время. Удивляло то, что при настройке DoT в логах шли сообщения о adguard, хотя adguard я не трогал. Решил в итоге его удалить и DoT заработал.

[Dima Babanakov]

On 6/14/2019 at 8:55 PM, Le ecureuil said:

Тема уходит на свалку истории, потому что его реализовывать не будут. Ну а dnscrypt-proxy и протокол сами туда отойдут, без нас.

А блеклисты - это совсем другая фича, никак именно к DC не относящаяся. Можно создавать тему с голосовалкой по ней.

Тоже пользовался блокировкой рекламы через блеклисты в dnscrypt-proxy. Подскажите как теперь(используя DoT и DoH) реализовать блокировку? 

Через dnsmasq получится(я правда не силен в этом)? 

 

ps попробовал dnsmasq с конфигом,  не фильтрует.

user=nobody
bogus-priv
no-negcache
clear-on-reload
bind-dynamic
listen-address=192.168.0.1
listen-address=127.0.0.1
min-port=4096
cache-size=1536
expand-hosts
log-async

no-resolv

conf-file=/opt/etc/adblock.dnsmasq

 

Изменено 17 июня, 2019 пользователем Dima Babanakov
ps

[vasek00]

3 минуты назад, Dima Babanakov сказал:

Тоже пользовался блокировкой рекламы через блеклисты в dnscrypt-proxy. Подскажите как теперь(используя DoT и DoH) реализовать блокировку? 

Через dnsmasq получится(я правда не силен в этом)?  

Ну так и оставайтесь на dnscrypt, в чем фишка перепрыгивания?

[Dima Babanakov]

4 minutes ago, vasek00 said:

dnscrypt, в чем фишка перепрыгивания?

Он не работал у меня так как должен был почему то, подмена от провайдера так и лезла, а тут добавил 5 строк, что выше указаны и сайты стали открываться.

[vasek00]

1 час назад, cmisha сказал:

Попробуйте 1.0.0.1 он находится в Москве. 

Как то не "реальная" картника от DNS Bench, например при

dns-proxy
1    tls upstream 1.0.0.1 853 sni cloudflare-dns.com
2    tls upstream 8.8.8.8 853 sni dns.google.com
3    tls upstream 176.103.130.131 853 sni dns.adguard.com

Total incoming requests: 1004
Proxy requests sent:     1956
Cache hits ratio:        0.213 (214)
Memory usage:            209.63K
DNS Servers
                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
1               127.0.0.1  40500     692     175      130      46ms      46ms     7  
2               127.0.0.1  40501     731     101       86      72ms     122ms     5  
3               127.0.0.1  40502     533       0        3     114ms     106ms     0  

После запуска DNS Bench
1.0.0.1 cloudflare-dns.com = 46ms/46ms
8.8.8.8 dns.google.com = 72ms/122ms
176.103.130.131 dns.adguard.com = 114ms/106ms

[r777ay]

1 час назад, Кинетиковод сказал:

У меня не работал DoT, пока не удалил adguard. Adguard при этом был выключен и просто присутствовал как компонент системы.

удалил Adguard не помогло ☹️

С DoT проблем нет, а DoH на Console,PC Win10 1903 не пашет, на Android всё норм.

Изменено 17 июня, 2019 пользователем r777ay

[ankar84]

5 часов назад, vasek00 сказал:

Лучше реально пример из которого можно что-то выбрать по приемлемым "ms"

Как получаете такой вывод? Какой командой?

У меня dns-proxy ничего не дает, а как будто входит в новый контекст.

А more temp:ndnproxymain.stat выдает чуть по другому

Скрытый текст

Total incoming requests: 709",
        "Proxy requests sent:     1340",
        "Cache hits ratio:        0.082 (58)",
        "Memory usage:            17.91K",
        "",
        "DNS Servers",
        "",
        "                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  ",
        "           91.217.137.37     53       0       0        0       0ms       0ms     3  ",
        "               127.0.0.1  40500     221      86      134     188ms     174ms     3  ",
        "               127.0.0.1  40501     135       0       67     186ms     162ms     1  ",
        "               127.0.0.1  40502     135       0      116     208ms     195ms     1  ",
        "               127.0.0.1  40503     148       4      102     194ms     168ms     3  ",
        "               127.0.0.1  40504     564     427      109      98ms     127ms     8  ",
        "               127.0.0.1  40505     137       0        0       0ms       0ms     0  ",

Кстати, старый добрый https://www.dnsleaktest.com/ может помочь при тестировании DoT/DoH серверов.

Изменено 17 июня, 2019 пользователем ankar84

[r777ay]

18 часов назад, r777ay сказал:

На 1810 DoH работает? Пробовал разные публично доступные серверы.  Не могу попасть не на один сайт

Reset, настроил всё по новой, DoH заработал. 

[vasek00]

11 минуту назад, ankar84 сказал:

Как получаете такой вывод? Какой командой?

У меня dns-proxy ничего не дает, а как будто входит в новый контекст. 

Все взято из selftest

Med.Resp/Avg.Resp - серьезный хххms у вас, вопрос только по каким серверам.

[r13]

6 часов назад, Le ecureuil сказал:

Добавьте все, хуже не будет.

30-50 мс это труднодостижимое время для dot/doh, укладка в 100 мс - это уже отличный показатель для average response time.

Попробуйте через dnsperf бенчмарки провести, сравним результаты.

Может конечно глюк, но у меня один из серваков 6/8 мс показывает по dot в выводе show dns-proxy

[Dima Babanakov]

Странная штука, ноуты на винде(10 и 7) не видят интернет. На сайты не выходят, даже на самые простые.

Явная проблема с DNS тк к примеру ping 8.8.8.8 проходит, а ping google.com нет.

в свойствах подключения в качестве шлюза и DNS 192.168.1.1

на других устройствах ПК(убунту), планшеты на андроид и ios все есть.

 

Похоже это dnsmasq мешал(

Изменено 17 июня, 2019 пользователем Dima Babanakov
 dnsmasq мешал

[r777ay]

12 минуты назад, Dima Babanakov сказал:

Странная штука, ноуты на винде(10 и 7) не видят интернет

Тоже проблема была с устр. на Win. OPKG Не запущен.

[Igor Puteev]

4 часа назад, Le ecureuil сказал:

Да, важный момент.

На устройствах с 7628 DoH работает не через http/2, а через http/1.1 keepalive. Это связано с большим размером библиотеки nghttp2, места для которой не хватает. Нагрузка на CPU от DoH тоже заметно выше, чем от DoT, потому на 7628 DoH стоит рассмотривать в основном лишь как last resort - когда другое не работает или заблокировано провайдером.

Потому на 7628 рекомендуется в основном DoT.

А на уст-вах с 128 Мбайт памяти библиотекам nghttp2 хватит места?

Потому как я не увидел критически большой нагрузки на 7628 CPU при включенном DoH и DoT. Бывают лишь кратковременные и очень редкие всплески до 70%.

[r13]

29 минут назад, Igor Puteev сказал:

А на уст-вах с 128 Мбайт памяти библиотекам nghttp2 хватит места?

Потому как я не увидел критически большой нагрузки на 7628 CPU при включенном DoH и DoT. Бывают лишь кратковременные и очень редкие всплески до 70%.

Не оперативки, а флешки наверное. 

Изменено 17 июня, 2019 пользователем r13

[Igor Puteev]

57 минут назад, r13 сказал:

Не оперативки, а флешки наверное. 

верно, заработался, но сути не меняет - флеша ведь в таких устройствах 16Mb вместо 8-ми)

[Igor Puteev]

А возможно, чтобы отельные клиенты работали через DoT и DoH, а остальные через фильтр того же AdGuard или Яндекс DNS, к примеру?

[Кинетиковод]

32 минуты назад, Igor Puteev сказал:

верно, заработался, но сути не меняет - флеша ведь в таких устройствах 16Mb вместо 8-ми)

На самом деле из-за постоянно разбухающей прошивки 16 метров уже на исходе. Учтите что реально доступно где-то 14,6. У меня в запасе ещё 3 метра и я не ставил все доступные компоненты.

 

[Igor Puteev]

1 минуту назад, Кинетиковод сказал:

На самом деле из-за постоянно разбухающей прошивки 16 метров уже на исходе. Учтите что реально доступно где-то 14,6. У меня в запасе ещё 3 метра и я не ставил все доступные компоненты.

 

подскажите, какой командой можно посмотреть занятое компонентами место во флеше?

[Кинетиковод]

Только что, Igor Puteev сказал:

подскажите, какой командой можно посмотреть занятое компонентами место во флеше?

Я просто скачиваю её на комп.)))

[Igor Puteev]

2 минуты назад, Кинетиковод сказал:

Я просто скачиваю её на комп.)))

все гениальное просто - 7.4Mb занято, а добавлено лишь немного компонентов))

[Igor Puteev]

все компоненты вряд ли сразу понадобятся, а вот брать Виву с ее 64Mb флеша лишь ради DoH ...

Изменено 17 июня, 2019 пользователем Igor Puteev