Jump to content

Doctor

Forum Members
 View Profile  See their activity

  • Posts

    4

  • Joined

  • Last visited

 Content Type 

Posts posted by Doctor

    Настройка DoT/DoH

    in Обмен опытом

    Posted

    2 hours ago, rustrict said:

    Я попробовал у себя связку доменное имя + нестандартный порт для HTTPS на сервере dns.seby.io - Vultr (https://doh.seby.io:8443/dns-query), и она также не взлетела. Для работы DoH используется, судя по всему, этот прокси, а я так и не смог понять умеет ли он в что-то отличное от :443.

    Подтверждаю, работает фф и не работает кинетик с https://doh.seby.io:8443/dns-query

    Надо составить багрепорт на этот счёт.

    • Thanks 1

    Настройка DoT/DoH

    in Обмен опытом

    Posted

    7 hours ago, avn said:

    В сторону проброса портов?

    Я указанную строку понял, как проброс порта с наружной стороны кинетика в локалку. Верно? Если да, это не тот случай.

    Свой днс сервер находится в интернете.

    Схема такая - устройства с внутренней стороны кинетика обращаются к нему на 192.168.1.1:53.
    далее, кинетик принимает днс запрос с локалки, заворачивает в https и отправляет на удалённый сервер:5300 (так не работает) или сервер:443 (так работает).
    Номер порта смущает только кинетик, фф менее капризный, тк с собственной настройкой DOH, работает и так и этак.

    Пробовал сменить протокол на обеих сторонах с DOH на DOT, кинетик работает и с сервер:443 и с сервер:5300.

    Настройка DoT/DoH

    in Обмен опытом

    Posted

    Спасибо, с самоподписанным сертификатом и голым айпи всё ок.

    Теперь далее, проба с доменом и настоящим сертификатом.
    Тестирую на https://domain.tld:5300/ (dnsm) - firefox с такой настройкой работает, всё ресолвит. Кинетик - нет. В System log кинетика в веб интерфейсе всё зелёненькое, ошибок нет.
    Меняю на сервере единственные цифры в конфиге 5300 на 443, урл превращается в https://domain.tld/ - фаерфокс нормально, кинетик тоже работает

    Думал, может, кинетик не понимает вообще обозначение порта, изменил урл на https://domain.tl:443/ - кинетик работает так же, как на https://domain.tld/

    Куда копать?

    Настройка DoT/DoH

    in Обмен опытом

    Posted

    Свой DNS сервер, подключаюсь по DOH, кинетик ругается на сертификат, при этом SPKI fingerprint прописан в веб-панели и получен так:

    openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64

    Пробовал к этому же серверу подключиться фаерфоксовым DOH - работает, но перед этим заходил в FF на https://IP:PORT/dns-query и нажимал, что не боюсь этого серта.

    То есть проблема в непризнании сертификата кинетиком при помощи SPKI fingerprint.

×
×
  • Create New...