ankar84 Posted July 19, 2019 Posted July 19, 2019 (edited) Добрый день! Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо. И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib Разрешать такие домены умеют DNS серверы проекта OpenNIC Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC Скрытый текст Ранее я делал это вот такой настройкой в WebUI Скрытый текст Но теперь это не работает. Просьба реализовать данный функционал. Спасибо! Edited July 19, 2019 by ankar84 3 1
3 Le ecureuil Posted August 7, 2019 Posted August 7, 2019 Спасибо за подсветку проблемы. Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib). Потому нашел вам кучку opennic-серверов, которые умеют dot и doh. Добавляйте их к обычным dot/doh серверам, и все будет работать: https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.gluehttps://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.gluehttps://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.gluehttps://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено. 6 1
0 ankar84 Posted August 7, 2019 Author Posted August 7, 2019 (edited) 1 час назад, Le ecureuil сказал: Потому нашел вам кучку opennic-серверов, которые умеют dot и doh Большое спасибо за серверы! Но тогда у меня 2 вопроса: 1. Как это будет работать с интернет-фильтром AdGuard DNS? Как настроить в этом случае? 2. Как можно добавить DoT\DoH сервер для разрешения конкретного домена подобно тому, как это можно сделать для обычного DNS сервера? Просто сейчас у меня сейчас установлен интернет-фильтр AdGuard DNS, но в фильтрах выбрано "Без фильтрации". Добавлено 2 DoT сервера AdGuard DNS (сделал так, потому, что считал, что с фильтром в таком виде есть проблема, которой как оказалось нет). Я добавил предложенный DoT сервер okashi.me [144.76.103.143] и rutor.lib у меня открылся запроса (обновления страницы) с 5-6. Но все же открылся (то есть оно в целом работает). Видимо серверы AdGuard были чаще быстрее, а потом все же первым ответил сервер OpenNIC и имя разрешилось в адрес. Поэтому хочется, чтобы и при включенном интернет-фильтре (AdGuard) и\или при просто заданных DoT\DoH серверах приоритет в разрешении определенных доменов всегда был у заданных DoT\DoH серверов (OpenNIC для *.lib) Edited August 7, 2019 by ankar84
0 Le ecureuil Posted August 9, 2019 Posted August 9, 2019 Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет). Давайте тогда отложим ненадолго это. 2
0 ankar84 Posted February 11, 2020 Author Posted February 11, 2020 В 09.08.2019 в 17:45, Le ecureuil сказал: нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет). @Le ecureuil еще не пришло время для этого? 1
0 avn Posted February 11, 2020 Posted February 11, 2020 38 minutes ago, ankar84 said: @Le ecureuil еще не пришло время для этого? dnsmasq решает данные проблемы в полном объеме. Spoiler user=nobody interface=br0 #bind-interfaces# Bind only to interfaces in use #bind-dynamic # Bind to interfaces in use - check for new interfaces #listen-address=192.168.97.97 #listen-address=127.0.0.1 #listen-address=:: min-port=4096 # Specify lowest port available for DNS query transmission cache-size=1536 # Specify the size of the cache in entries bogus-priv # Fake reverse lookups for RFC1918 private address ranges no-negcache # Do NOT cache failed search results no-resolv # Do NOT read resolv.conf no-poll # Do NOT poll resolv.conf file, reload only on SIGHUP clear-on-reload # Clear DNS cache when reloading dnsmasq expand-hosts # Expand simple names in /etc/hosts with domain-suffix log-async # Enable async. logging; optionally set queue length # DNS over TLS-HTTPS /tmp/ndnproxymain.stat server=127.0.0.1#40500 server=127.0.0.1#40501 server=127.0.0.1#40502 server=127.0.0.1#40503 server=127.0.0.1#40508 server=127.0.0.1#40509 address=/dns.google/8.8.8.8 address=/dns.google/8.8.4.4 address=/cloudflare-dns.com/1.1.1.1 address=/cloudflare-dns.com/1.0.0.1 # Tor onion ipset=/.onion/unblock server=/.onion/127.0.0.1#9153 # I2P address=/.i2p/172.17.17.17 # OpenNIC DNS # https://servers.opennicproject.org/ server=/.lib/2001:67c:13e4:1::37 server=/.lib/91.217.137.37 server=/.lib/2a03:4000:28:365::1 server=/.lib/94.16.114.254 conf-file=/opt/etc/unblock.dnsmasq conf-file=/opt/etc/adblock.dnsmasq 1
0 ankar84 Posted February 11, 2020 Author Posted February 11, 2020 1 минуту назад, avn сказал: dnsmasq решает данные проблемы в полном объеме. Это понятно и с этим я полностью согласен. И сам ранее очень активно использовал DNScrypt-proxy2 для этого. Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.
0 avn Posted February 11, 2020 Posted February 11, 2020 Just now, ankar84 said: Это понятно и с этим я полностью согласен. И сам ранее очень активно использовал DNScrypt-proxy2 для этого. Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами. Так тут и используется DoT/DoH из коробки server=127.0.0.1#40500 server=127.0.0.1#40501 server=127.0.0.1#40502 server=127.0.0.1#40503 server=127.0.0.1#40508 server=127.0.0.1#40509 Это DoT и DoH сервисы из коробки. А это address=/dns.google/8.8.8.8 address=/dns.google/8.8.4.4 address=/cloudflare-dns.com/1.1.1.1 address=/cloudflare-dns.com/1.0.0.1 Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.
0 ankar84 Posted February 11, 2020 Author Posted February 11, 2020 18 минут назад, avn сказал: Так тут и используется DoT/DoH из коробки и это я понимаю. Не хотелось городить что-либо стороннее для разрешения имен, так как в прошивку добавили мощные шифрованные DNS 1
0 bigpu Posted February 11, 2020 Posted February 11, 2020 21 минуту назад, avn сказал: Так тут и используется DoT/DoH из коробки server=127.0.0.1#40500 server=127.0.0.1#40501 server=127.0.0.1#40502 server=127.0.0.1#40503 server=127.0.0.1#40508 server=127.0.0.1#40509 Это DoT и DoH сервисы из коробки. А это address=/dns.google/8.8.8.8 address=/dns.google/8.8.4.4 address=/cloudflare-dns.com/1.1.1.1 address=/cloudflare-dns.com/1.0.0.1 Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS. из коробки, это когда без Entware 1
0 ankar84 Posted January 11, 2021 Author Posted January 11, 2021 В 09.08.2019 в 21:45, Le ecureuil сказал: Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет). Давайте тогда отложим ненадолго это. Доброго вам дня! Подскажите, не пришло ли время для привязки к домену dot/doh серверов?
0 Le ecureuil Posted January 11, 2021 Posted January 11, 2021 20 минут назад, ankar84 сказал: Доброго вам дня! Подскажите, не пришло ли время для привязки к домену dot/doh серверов? Спасибо за напоминание, наверное пришло. Запишу себе 1 5
0 Le ecureuil Posted January 18, 2022 Posted January 18, 2022 Сделано, будет в следующем выпуске 3.8. 1 1
Question
ankar84
Добрый день!
Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо.
И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib
Разрешать такие домены умеют DNS серверы проекта OpenNIC
Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC
Ранее я делал это вот такой настройкой в WebUI
Но теперь это не работает.
Просьба реализовать данный функционал.
Спасибо!
Edited by ankar8413 answers to this question
Recommended Posts