Настройка DoT/DoH

[KorDen]

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

[T@rkus]

5 минут назад, enpa сказал:

@T@rkus
 

https upstream https://dns.nextdns.io/xxx json

 

Формат DNS message ?

[hellonow]

@T@rkus вообще nextdns работает с форматами json и dnsm. Проверено.

 

[Stas Zevs]

Добрый день, подскажите пожалуйста, могу ли я включить DOH на кинетике 2? не вижу таких компонентов которые в мануале. или только с opkg колдовать?)

[AndreBA]

4 минуты назад, Stas Zevs сказал:

Добрый день, подскажите пожалуйста, могу ли я включить DOH на кинетике 2? не вижу таких компонентов которые в мануале. или только с opkg колдовать?)

Цитата

Начиная с версии KeeneticOS 3.00 была добавлена поддержка протоколов DNS over TLS и DNS over HTTPS.

Для кинетике 2  прошивки 3.0 нет

[keenet07]

OPKG DNSCrypt

Изменено 2 декабря, 2019 пользователем keenet07

[Timophei]

Включил у себя DoH, всё завелось. Подскажите, почему Wireshark'ом я до сих пор ловлю DNS query с WAN интерфейса?

 

 

[keenet07]

8 минут назад, Timophei сказал:

Включил у себя DoH, всё завелось. Подскажите, почему Wireshark'ом я до сих пор ловлю DNS query с WAN интерфейса?

Потому-что вы включили именно DoH. А адрес сервера там прописан не в виде IP а в виде доменного имени. Для того что-бы DoH заработал ему требуется как-то преобразовать эту ссылку в IP адрес и для этого в его коде жестко прописаны несколько публичных серверов DNS. Именно их работу вы и видите в шарке.

Всё остальное идёт через DoH. (за исключением прямых обращений к DNS на 53 отличных от адреса роутера)

При работе DoT обращения на 53 порт незадействуются.

Изменено 5 декабря, 2019 пользователем keenet07

[Le ecureuil]

В 05.12.2019 в 17:23, keenet07 сказал:

Потому-что вы включили именно DoH. А адрес сервера там прописан не в виде IP а в виде доменного имени. Для того что-бы DoH заработал ему требуется как-то преобразовать эту ссылку в IP адрес и для этого в его коде жестко прописаны несколько публичных серверов DNS. Именно их работу вы и видите в шарке.

Всё остальное идёт через DoH. (за исключением прямых обращений к DNS на 53 отличных от адреса роутера)

При работе DoT обращения на 53 порт незадействуются.

Если сервер DoT задать как fqdn, то будет то же самое

[keenet07]

3 минуты назад, Le ecureuil сказал:

Если сервер DoT задать как fqdn, то будет то же самое

Но практика указания для DoT как IP. А DoH везде в виде fqdn. Если DOH указать как IP работать будет? Или там тоже для правильной работы сертификата нужно обращение по fqdn?

[avn]

On 12/17/2019 at 7:00 PM, keenet07 said:

Но практика указания для DoT как IP. А DoH везде в виде fqdn. Если DOH указать как IP работать будет? Или там тоже для правильной работы сертификата нужно обращение по fqdn?

1.1.1.1 работать будет и по ИП, 8.8.8.8 пока не работает по ИП и делает редирект на fqdn.

[Dr.ZuLuS]

А подскажите пожалуйста, есть ли какие то ограничения на резолвинг внутренних имен при использовании DoT&DoH?

Просто у меня с недавнего времени перестали резолвить друг друга внутренние хосты в домашней сети, с самого кинетика тоже не резолвится по имени ни один хост, только по IP, только хардкор.

[r13]

1 час назад, Станислав Поветьев сказал:

А подскажите пожалуйста, есть ли какие то ограничения на резолвинг внутренних имен при использовании DoT&DoH?

Просто у меня с недавнего времени перестали резолвить друг друга внутренние хосты в домашней сети, с самого кинетика тоже не резолвится по имени ни один хост, только по IP, только хардкор.

Нет таких ограничений, по какой технологии резолвите в локалке?

[Doctor]

Свой DNS сервер, подключаюсь по DOH, кинетик ругается на сертификат, при этом SPKI fingerprint прописан в веб-панели и получен так:

openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

Пробовал к этому же серверу подключиться фаерфоксовым DOH - работает, но перед этим заходил в FF на https://IP:PORT/dns-query и нажимал, что не боюсь этого серта.

То есть проблема в непризнании сертификата кинетиком при помощи SPKI fingerprint.

[Doctor]

Спасибо, с самоподписанным сертификатом и голым айпи всё ок.

Теперь далее, проба с доменом и настоящим сертификатом.
Тестирую на https://domain.tld:5300/ (dnsm) - firefox с такой настройкой работает, всё ресолвит. Кинетик - нет. В System log кинетика в веб интерфейсе всё зелёненькое, ошибок нет.
Меняю на сервере единственные цифры в конфиге 5300 на 443, урл превращается в https://domain.tld/ - фаерфокс нормально, кинетик тоже работает. 

Думал, может, кинетик не понимает вообще обозначение порта, изменил урл на https://domain.tl:443/ - кинетик работает так же, как на https://domain.tld/

Куда копать?

[WMac]

Ни DoH ни DoT не настроены, установлены только компоненты. Что за странные сообщения в журнале?

[avn]

12 hours ago, Doctor said:

Спасибо, с самоподписанным сертификатом и голым айпи всё ок.

Теперь далее, проба с доменом и настоящим сертификатом.
Тестирую на https://domain.tld:5300/ (dnsm) - firefox с такой настройкой работает, всё ресолвит. Кинетик - нет. В System log кинетика в веб интерфейсе всё зелёненькое, ошибок нет.
Меняю на сервере единственные цифры в конфиге 5300 на 443, урл превращается в https://domain.tld/ - фаерфокс нормально, кинетик тоже работает. 

Думал, может, кинетик не понимает вообще обозначение порта, изменил урл на https://domain.tl:443/ - кинетик работает так же, как на https://domain.tld/

Куда копать?

В сторону проброса портов?

ip static tcp ISP 5300 192.168.xx.xx 5300 !dnsm

 

[Doctor]

7 hours ago, avn said:

В сторону проброса портов?

Я указанную строку понял, как проброс порта с наружной стороны кинетика в локалку. Верно? Если да, это не тот случай.

Свой днс сервер находится в интернете.

Схема такая - устройства с внутренней стороны кинетика обращаются к нему на 192.168.1.1:53.
далее, кинетик принимает днс запрос с локалки, заворачивает в https и отправляет на удалённый сервер:5300 (так не работает) или сервер:443 (так работает).
Номер порта смущает только кинетик, фф менее капризный, тк с собственной настройкой DOH, работает и так и этак.

Пробовал сменить протокол на обеих сторонах с DOH на DOT, кинетик работает и с сервер:443 и с сервер:5300.

[Doctor]

2 hours ago, rustrict said:

Я попробовал у себя связку доменное имя + нестандартный порт для HTTPS на сервере dns.seby.io - Vultr (https://doh.seby.io:8443/dns-query), и она также не взлетела. Для работы DoH используется, судя по всему, этот прокси, а я так и не смог понять умеет ли он в что-то отличное от :443.

Подтверждаю, работает фф и не работает кинетик с https://doh.seby.io:8443/dns-query

Надо составить багрепорт на этот счёт.

[Le ecureuil]

В 17.12.2019 в 19:00, keenet07 сказал:

Но практика указания для DoT как IP. А DoH везде в виде fqdn. Если DOH указать как IP работать будет? Или там тоже для правильной работы сертификата нужно обращение по fqdn?

Нет, поскольку идет валидация сертификатов через список корневых CA.

[Le ecureuil]

В 10.01.2020 в 21:21, Doctor сказал:

Подтверждаю, работает фф и не работает кинетик с https://doh.seby.io:8443/dns-query

Надо составить багрепорт на этот счёт.

Спасибо, багрепорт принят.

Вообще странно, что только что заметили

 

Будет исправлено в следующих сборках.

[stefbarinov]

KN-1010, Версия ОС 3.3.16, включил AdGuard, компоненты DoT/DoH установлены. Почему-то в активных соединениях постоянно идут соединения на 53 порт DNS провайдера. По идее если включен AdGuard и установлены компоненты DoT/DoH, то DNS провайдера должны автоматом игнорироваться, но этого не происходит! Роутер перезагружал. Может надо ещё ручками прописать дополнительно DoT/DoH?

Изменено 13 апреля, 2020 пользователем stefbarinov

[stefbarinov]

57 минут назад, stefbarinov сказал:

KN-1010, Версия ОС 3.3.16, включил AdGuard, компоненты DoT/DoH установлены. Почему-то в активных соединениях постоянно идут соединения на 53 порт DNS провайдера. По идее если включен AdGuard и установлены компоненты DoT/DoH, то DNS провайдера должны автоматом игнорироваться, но этого не происходит! Роутер перезагружал. Может надо ещё ручками прописать дополнительно DoT/DoH?

Проблема ушла после установки маркера в указанном на скрине чек-боксе! Автоматом не игнорировались!!!

Изменено 13 апреля, 2020 пользователем stefbarinov

[keenet07]

5 часов назад, stefbarinov сказал:

KN-1010, Версия ОС 3.3.16, включил AdGuard, компоненты DoT/DoH установлены. Почему-то в активных соединениях постоянно идут соединения на 53 порт DNS провайдера. По идее если включен AdGuard и установлены компоненты DoT/DoH, то DNS провайдера должны автоматом игнорироваться, но этого не происходит! Роутер перезагружал. Может надо ещё ручками прописать дополнительно DoT/DoH?

Всё нормально. Так и должно быть. Это только служебные запросы на несколько серверов native DNS для резолвинга адресов сервиса AdGuard. Все остальные запросы идут в защищенном виде.

[stefbarinov]

Только что, keenet07 сказал:

Всё нормально. Так и должно быть. Это только служебные запросы на несколько серверов native DNS для резолвинга адресов сервиса AdGuard. Все остальные запросы идут в защищенном виде.

Я правильно понимаю, что маркер в чек-боксе "Игнорировать DNS" можно снять?

[keenet07]

10 минут назад, stefbarinov сказал:

Я правильно понимаю, что маркер в чек-боксе "Игнорировать DNS" можно снять?

В вашей конфигурации со включенным AdGuard он не должен оказывать никакого влияния.

Проверьте утечки DNS в обоих случаях на этом https://www.dnsleaktest.com/ сайте.

Заметил что у вас в Адгуарде стоит Без фильтрации для незарегистрированных и при этом вы упомянули что у вас не прописан вручную ни один DoT или DoH сервер. В этом случае, возможно, что запросы для незарегистрированных устройств проходили через то что выдал провайдер. А когда вы его заигнорили,то они вообще не должны были куда-то проходить с незарегистрированных. В общем пропишите хотя бы один DoT в ручную для них.

Изменено 13 апреля, 2020 пользователем keenet07

[stefbarinov]

11 минуту назад, keenet07 сказал:

В вашей конфигурации со включенным AdGuard он не должен оказывать никакого влияния.

Проверьте утечки DNS в обоих случаях на этом https://www.dnsleaktest.com/ сайте.

Заметил что у вас в Адгуарде стоит Без фильтрации для незарегистрированных и при этом вы упомянули что у вас не прописан вручную ни один DoT или DoH сервер. В этом случае, возможно, что запросы для незарегистрированных устройств проходили через то что выдал провайдер. А когда вы его заигнорили,то они вообще не должны были куда-то проходить с незарегистрированных. В общем пропишите хотя бы один DoT в ручную для них.

Незарегистрированных устройств у меня в сети нет!

[keenet07]

1 час назад, stefbarinov сказал:

Незарегистрированных устройств у меня в сети нет!

Устройств нет, а режим для них выбран.

В многопроходном режиме нужен тест.

Изменено 13 апреля, 2020 пользователем keenet07

[stefbarinov]

6 минут назад, keenet07 сказал:

Устройств нет, а режим для них выбран.

В многопроходном режиме нужен тест.

 

[keenet07]

@stefbarinov Всё хорошо. Работает как нужно.

[stefbarinov]

4 минуты назад, keenet07 сказал:

@stefbarinov Всё хорошо. Работает как нужно.

Ок, спасибо)