Настройка DoT/DoH

[KorDen]

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

[Кинетиковод]

1 минуту назад, Igor Puteev сказал:

все гениальное просто - 7.4Mb занято, а добавлено лишь немного компонентов))

Вот! Считайте что памяти у вас уже нет, т.к. где-то около 400 килобайт занимает загрузчик, а у моделей с поддержкой HDD ещё метр оттяпан для нужд системы. На Омни из 8 мегабайт было доступно около 6,6.

[Igor Puteev]

1 минуту назад, Кинетиковод сказал:

Вот! Считайте что памяти у вас уже нет, т.к. где-то около 400 килобайт занимает загрузчик, а у моделей с поддержкой HDD ещё метр оттяпан для нужд системы. На Омни из 8 мегабайт было доступно около 6,6.

на последней модели Омни - 16Mb)

Меня не 8Mb парят в моем уст-ве, меня парит, если под DoH минимальный Кинетик это Вива, так как меня не устраивает ни сама модель, ни ее стоимость.

[Кинетиковод]

3 минуты назад, Igor Puteev сказал:

если под DoH минимальный Кинетик это Вива, так как меня не устраивает ни сама модель, ни ее стоимость.

Вообще DoH работает и на 7628. И чем собственно DoT не устраивает? Я разницы между ними не заметил. Заметно лишь небольшое отставание от незашифрованных DNS и только.

[Igor Puteev]

4 минуты назад, Кинетиковод сказал:

Вообще DoH работает и на 7628. И чем собственно DoT не устраивает? Я разницы между ними не заметил. Заметно лишь небольшое отставание от незашифрованных DNS и только.

"На устройствах с 7628 DoH работает не через http/2, а через http/1.1 keepalive. Это связано с большим размером библиотеки nghttp2, места для которой не хватает. Нагрузка на CPU от DoH тоже заметно выше, чем от DoT, потому на 7628 DoH стоит рассмотривать в основном лишь как last resort - когда другое не работает или заблокировано провайдером.

 Потому на 7628 рекомендуется в основном DoT"

разница в том, что DoH работает через 443 порт, как и HTTPS.

[Dima Babanakov]

Spoiler

(config)> show dns-proxy

     proxy-status: 
              proxy-name: System

            proxy-config: 

rpc_port = 54321
rpc_ttl = 10000
rpc_wait = 10000
timeout = 7000
proceed = 500
stat_file = /var/ndnproxymain.stat
stat_time = 10000
dns_server = 127.0.0.1:40500 .
dns_server = 127.0.0.1:40501 .
dns_server = 127.0.0.1:40508 .
static_a = my.keenetic.net 78.47.125.180
static_a = c543558c5591983de32082b5.keenetic.io 78.47.125.180
set-profile-ip 127.0.0.1 0
set-profile-ip ::1 0
dns_tcp_port = 53
dns_udp_port = 53

              proxy-stat: 

# ndnproxy statistics file

Total incoming requests: 0
Proxy requests sent:     0
Cache hits ratio:        0.000 (0)
Memory usage:            7.53K

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40500       0       0        0       0ms       0ms     1  
               127.0.0.1  40501       0       0        0       0ms       0ms     1  
               127.0.0.1  40508       0       0        0       0ms       0ms     1  

              proxy-safe: 

               proxy-tls: 
               server-tls: 
                      address: 9.9.9.9
                         port: 853
                          sni: dns.quad9.net
                         spki: 
                    interface: 

               server-tls: 
                      address: 8.8.8.8
                         port: 853
                          sni: dns.google.com
                         spki: 
                    interface: 

               server-tls: 
                      address: dns.adguard.com
                         port: 
                          sni: dns.adguard.com
                         spki: 
                    interface: 

               server-tls: 
                      address: dns-family.adguard.com
                         port: 
                          sni: dns-family.adguard.com
                         spki: 
                    interface: 

       proxy-tls-filters: 
               server-tls: 
                      address: dns.adguard.com
                         port: 
                          sni: dns.adguard.com
                         spki: 
                    interface: 

               server-tls: 
                      address: dns-family.adguard.com
                         port: 
                          sni: dns-family.adguard.com
                         spki: 
                    interface: 

             proxy-https: 
             server-https: 
                          uri: https://dns.quad9.net/dns-query
                       format: json
                         spki: 
                    interface: 

             server-https: 
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki: 
                    interface: 

             server-https: 
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki: 
                    interface: 

     proxy-https-filters: 
             server-https: 
                          uri: https://dns.adguard.com/dns-query
                       format: dnsm
                         spki: 
                    interface: 

             server-https: 
                          uri: https://dns-family.adguard.com/dns-query
                       format: dnsm
                         spki: 
                    interface: 

(config)> 
 

похоже баг какой то, включил попробовал и выключил интернет фильтр adguardDNS через веб. но в cli от него остались хвосты. Прошлый раз они ушли после перезагрузки роутера. 

[Sergey Zozulya]

2 hours ago, Le ecureuil said:

Все само работает по dot/doh без настроек, с заворотом всех DNS-запросов принудительно на роутер.

Даже для клиентов, у которых фильтрация отключена?

[Le ecureuil]

2 часа назад, Sergey Zozulya сказал:

Даже для клиентов, у которых фильтрация отключена?

С ними пока есть баг - они не работоспособны вообще  Планируем поправить на днях.

Будет работать обычный dot/doh для них, который задали system-wide руками или plaintext, если не задан.

[Igor Puteev]

В 18.06.2019 в 12:32, Le ecureuil сказал:

DoH на 7628 работает нормально, отличия между http/2 и http/1.1 на самом деле не так значительны, как может показаться. Разница при суровой нагрузке в pipeline только, и то процентов на 20-30.

Вообще на мой взгляд незаслуженно забываете про крутые и недорогие устройства DSL и DUO. DSL за 3,5 тысячи на мой взгляд хуже 1910 только в части WiFi. Все остальное там даже лучше, чем на 7621S. Это отличная замена для любого устройства на 7628, если нужны именно сетевые фичи без сильного акцента на WiFi.

Не обращайте внимания, что это DSL, просто не пользуйтесь этим куском. Зато там есть аппаратный IPsec и процессор мощнее, чем MT7621S. И ОЗУ и flash много.

Фактически, это прямой наследник Keenetic II на Big Endian и с DSL, но еще мощнее и со всеми новыми фичами.

Что самое смешное, как раз сам дошел до этих двух устр-в, внимательнее сравнив модели Кинетика, но смутили именно процессоры - думал их два потока медленнее четырех потоков MT7621S.

Получается данные модели - DUO и ADSL работают с VPN со скоростями близкими к Giga, естественно учитывая что там гиговые порты а тут только 100Мбит?

То бишь те же PPTP и IPsec упрутся в скорость интерфейса роутера?

[Le ecureuil]

У 7621S два потока, это у 7621A(T) - 4 с 2 ядрами.

Да, должны упереться в 100 mbps.

[Le ecureuil]

В 17.06.2019 в 13:20, Кинетиковод сказал:

C ПК. Причём не открывались не только страницы в интернете, но и вебморда роутера переставала отвечать и выходила из коматоза через некоторое время. Удивляло то, что при настройке DoT в логах шли сообщения о adguard, хотя adguard я не трогал. Решил в итоге его удалить и DoT заработал.

На 3.1A4 тоже воспроизводится?

Есть пачка фиксов, должно уйти по идее.

[Кинетиковод]

2 минуты назад, Le ecureuil сказал:

На 3.1A4 тоже воспроизводится?

Я сейчас на 2.15. Позже попробую отпишусь.

[vasek00]

100% загрузка проца ExtraII. Для клиента LAN DNS является ExtraII, просто на клиенте запущен DNSBench и нажата кнопка "Nameservers" ( скрин 1-3). Дело до запуска "Run Benchmark" не дошло.

Спустя некоторое время примерно до 1мин все в исходное состояние.

При конфиге

!
adguard-dns
    enable


dns-proxy
    tls upstream 176.103.130.130 853 sni dns.adguard.com
    tls upstream 176.103.130.131 853 sni dns.adguard.com
    tls upstream 1.0.0.1 853 sni cloudflare-dns.com
    https upstream https://dns.adguard.com/dns-query dnsm
    https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json


tcp        0      0 127.0.0.1:40301         0.0.0.0:*               LISTEN      749/https_dns_proxy
tcp        0      0 127.0.0.1:40303         0.0.0.0:*               LISTEN      750/https_dns_proxy
tcp        0      0 127.0.0.1:40508         0.0.0.0:*               LISTEN      747/https_dns_proxy
tcp        0      0 127.0.0.1:40509         0.0.0.0:*               LISTEN      748/https_dns_proxy
udp        0      0 127.0.0.1:40508         0.0.0.0:*                           747/https_dns_proxy
udp        0      0 127.0.0.1:40509         0.0.0.0:*                           748/https_dns_proxy
udp        0      0 127.0.0.1:40301         0.0.0.0:*                           749/https_dns_proxy
udp        0      0 127.0.0.1:40303         0.0.0.0:*                           750/https_dns_proxy

tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      751/ndnproxy
tcp        0      0 :::53                   :::*                    LISTEN      751/ndnproxy
udp        0      0 0.0.0.0:54321           0.0.0.0:*                           751/ndnproxy
udp        0      0 0.0.0.0:53              0.0.0.0:*                           751/ndnproxy
udp        0      0 0.0.0.0:54838           0.0.0.0:*                           751/ndnproxy
udp        0      0 :::53                   :::*                                751/ndnproxy

 

Ситуацию проверил три раза и она не изменилась.

Изменено 23 июня, 2019 пользователем vasek00

[ankar84]

С внедрением DoT/DoH кажется сильно изменился процесс разрешения имен на самом роутере.

Вот например:

# nslookup ya.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

nslookup: can't resolve 'ya.ru': Temporary failure in name resolution
~ #

Скрытый текст

То есть совсем не резолвит. 

А у меня на этом скрипт построен.

Сейчас у меня установлены компоненты DoT+DoH и интернет фильтр AdGuard. Всем клиентам назначен стандартный профиль фильтра AdGuard. Других DoT/DoH серверов не настроено. 

Хотя это может быть у меня что-то не работает.

Изменено 23 июня, 2019 пользователем ankar84

[vasek00]

45 минут назад, ankar84 сказал:

С внедрением DoT/DoH кажется сильно изменился процесс разрешения имен на самом роутере.

Вот например:

# nslookup ya.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

nslookup: can't resolve 'ya.ru': Temporary failure in name resolution
~ #

То есть совсем не резолвит.  

Сейчас у меня установлены компоненты DoT+DoH и интернет фильтр AdGuard. Всем клиентам назначен стандартный профиль фильтра AdGuard. Других DoT/DoH серверов не настроено. 

Хотя это может быть у меня что-то не работает.

Все нормально c adguard

/ # nslookup mail.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      mail.ru
Address 1: 217.69.139.202 mail.ru
Address 2: 94.100.180.202 mail.ru
Address 3: 217.69.139.200 mail.ru
Address 4: 94.100.180.200 mail.ru
Address 5: 2a00:1148:db00:0:b0b0::1 mail.ru


/ # nslookup keenetic.net
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      keenetic.net
Address 1: 46.105.148.88
/ # 

Отключил adguard

/ # nslookup ixbt.com
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      ixbt.com
Address 1: 91.208.42.67 www.ixbt.com
/ # 
/ # nslookup rbc.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      rbc.ru
Address 1: 80.68.253.13 redirector.rbc.ru
Address 2: 185.72.229.13 redirector.rbc.ru
/ # 

На тех серверах что выше

https upstream https://dns.adguard.com/dns-query dnsm
https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json

[Le ecureuil]

12 часа назад, ankar84 сказал:

С внедрением DoT/DoH кажется сильно изменился процесс разрешения имен на самом роутере.

Вот например:

# nslookup ya.ru
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

nslookup: can't resolve 'ya.ru': Temporary failure in name resolution
~ #

  Показать содержимое

То есть совсем не резолвит. 

 А у меня на этом скрипт построен.

Сейчас у меня установлены компоненты DoT+DoH и интернет фильтр AdGuard. Всем клиентам назначен стандартный профиль фильтра AdGuard. Других DoT/DoH серверов не настроено. 

 Хотя это может быть у меня что-то не работает.

Нужен self-test с версии 3.1A4.

[ankar84]

19 часов назад, Le ecureuil сказал:

Нужен self-test с версии 3.1A4.

Эту странность в работе DNS выловил при создании второго подключения OpenVPN. Как только его выключал, DNS начинал работать. Сейчас оставил только одно подключение, все работает штатно. 

[Кинетиковод]

В 22.06.2019 в 13:28, Le ecureuil сказал:

На 3.1A4 тоже воспроизводится?

Интернет с DoT теперь работает нормально, но вебморда всё же отвалилась. После этого попасть в роутер ни через веб, ни через оба приложения не удалось, авторизовался только через cli. В итоге помогла только перезагрузка. В момент коматоза сделал захват логов, которые и прилагаю.

Сейчас перешел на DoH, посмотрим отвалится ли вебморда с ним.

[ankar84]

Сейчас выбран интернет-фильтр AdGuard и ранее на странице с описанием это было видно. Теперь пишет, что я его не использую.

Как проверить?

Скрытый текст

 

[AndreBA]

1 час назад, ankar84 сказал:

Сейчас выбран интернет-фильтр AdGuard и ранее на странице с описанием это было видно. Теперь пишет, что я его не использую.

Как проверить?

  Скрыть содержимое

 

А вы с зарегистрированного устройства проверяли? У меня отображает, что "используется".

[ankar84]

38 минут назад, AndreBA сказал:

А вы с зарегистрированного устройства проверяли? У меня отображает, что "используется".

Проверяю с двух зарегистрированных устройств домашней сети. Прошивка последняя Альфа.

[AndreBA]

3 часа назад, ankar84 сказал:

Проверяю с двух зарегистрированных устройств домашней сети. Прошивка последняя Альфа.

Вот так у меня:

Цитата

 

[ankar84]

17 часов назад, AndreBA сказал:

Вот так у меня:

Вот у меня тоже так раньше было, определялось нормально. 

Видимо проблема у меня какая-то частная. Сделал тему по ней.

[Сергей Германов]

Установлен и включен adguard, так же установлены компоненты doh/dot. Журнал завален сообщениями. Нормально ли такое поведение? И как можно исправить? 

[Sergey Zozulya]

26 minutes ago, Сергей Германов said:

Установлен и включен adguard, так же установлены компоненты doh/dot. Журнал завален сообщениями. Нормально ли такое поведение? И как можно исправить?

То же самое. И те же вопросы.

[ankar84]

1 час назад, Сергей Германов сказал:

Установлен и включен adguard, так же установлены компоненты doh/dot. Журнал завален сообщениями. Нормально ли такое поведение? И как можно исправить? 

Подтверждаю, таких сообщений довольно много. А какие именно запросы отклонены не понятно.

Так же при использовании AdGuard DNS с установленными dot/doh компонентами заметно все тормозит в приложении HD VideoBox. Открытие карточки фильма, поиск самих видно файлов происходит после тайм аута секунд в 20. Если выбрать на странице Интернет-фильтр Без фильтрации, то все открывается мгновенно.

[Le ecureuil]

Вчера был вселенский развал cloudflare и dns, потому я бы еще понаблюдал.

HD VideoBox - это где такое приложение, как это воспроизвести?

[Sergey Zozulya]

10 minutes ago, Le ecureuil said:

HD VideoBox - это где такое приложение, как это воспроизвести?

В Google Play его нет, вот домашняя страница - https://dkc7dev.com/hdvideobox/

[ankar84]

13 часа назад, Le ecureuil сказал:

HD VideoBox - это где такое приложение, как это воспроизвести?

Это приложение для Android, которое многим здесь на форуме (и в чате в телеге) изменило паттерн потребления медиа контента в сети.

Вот тема приложения на 4пда

Суть проста - смотришь все фильмы (сериалы, передачи) онлайн, без скачивания.

13 часа назад, Le ecureuil сказал:

Вчера был вселенский развал cloudflare и dns, потому я бы еще понаблюдал.

Да, об этом писали. Но у меня проблема именно с AdGuard. Хотя я прекрасно понимаю, что они используют CloudFlare как апстрим, но все же проблема с ним.

[ankar84]

@Le ecureuil кстати, а если я хочу использовать интернет-фильтр AdGuard DNS но только по DoT, то есть без DoH, возможно ли это?

И получится ли у меня это, если у меня будет установлен компоненты AdGuard DNS + DoT, но не установлен DoH? Или они всегда должны быть установлены оба, чтобы интернет-фильтр AdGuard DNS работал не в plain text, а в зашифрованном виде?

[mega1volt]

Что-то совсем не радует работа DOT последние дни. Постоянно в логе такое. Пробовал разные DNS : Cloudflare, Quad 9, SecureDNS, Adguard и другие. На момент этих записей доступа в интернет нет.