Jump to content

ankar84

Forum Members
  • Posts

    407
  • Joined

  • Last visited

  • Days Won

    3

Posts posted by ankar84

  1. Притом не работает именно предустановленный Интернет-Фильтр AdGuard DNS 
    В том случае, если выбрать режим "Без фильтрации" и вручную добавить, например, DoT сервер AdGuard DNS, на странице https://adguard.com/ru/adguard-dns/overview.html будет верно определено использование их DNS сервера и его режим. 
    Так что проблема в преднастроенном фильтре.

  2. Добрый день!

    Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо.

    И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib

    Разрешать такие домены умеют DNS серверы проекта OpenNIC

    Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC

    Скрытый текст

    image.thumb.png.ff1733657180bb5ecac8c4f6a4fb1abd.png

    image.thumb.png.82081b6b7578b6b577d71878b62195f1.png

    Ранее я делал это вот такой настройкой в WebUI

    Скрытый текст

    image.png.3afd08d07e56c69c1dd4a1da6172d002.png

    Но теперь это не работает.

    Просьба реализовать данный функционал.

    Спасибо!

    • Thanks 3
    • Upvote 1
  3. @Le ecureuil кстати, а если я хочу использовать интернет-фильтр AdGuard DNS но только по DoT, то есть без DoH, возможно ли это?

    И получится ли у меня это, если у меня будет установлен компоненты AdGuard DNS + DoT, но не установлен DoH? Или они всегда должны быть установлены оба, чтобы интернет-фильтр AdGuard DNS работал не в plain text, а в зашифрованном виде?

  4. Добрался до дома и да, результат подтвердился.

    Устройства домашней сети 192.168.10.0/24 на странице AdGuard DNS получают вот такую картинку

    Скрытый текст

    image.png.555652663908a29e40c6ae4769b3ccf8.png

    Притом, что dnsleak показывает вроде бы правильную картинку при использовании интернет-фильтра AdGuard DNS

    Скрытый текст

    image.png.6c462ed6622adace378d2420c76f0c17.png

    В тоже время у меня на роутере есть IPSec VPN сервер с сетью 172.16.2.0/24 (конкретный адрес первого подключенного устройства 172.16.2.33)

    И для этой сети интернет-фильтр AdGuard DNS ведет себя как положено

    Скрытый текст

    Screenshot_2019-07-05-12-14-06-439_com.android.chrome.thumb.png.5e7cef7e9e9c8a149f3de6274f6fb9be.png

     И dnsleak для этой сети примерно такой же

    Скрытый текст

    Screenshot_2019-07-05-12-14-25-980_com.android.chrome.thumb.png.a9bc190bad298853b34036417420242a.png

    Это точно какой-то баг. Ранее для всех устройств все определялось нормально.

    Как будто какая-то политика начала действовать.

  5. 13 часа назад, Le ecureuil сказал:

    HD VideoBox - это где такое приложение, как это воспроизвести?

    Это приложение для Android, которое многим здесь на форуме (и в чате в телеге) изменило паттерн потребления медиа контента в сети.

    Вот тема приложения на 4пда

    Суть проста - смотришь все фильмы (сериалы, передачи) онлайн, без скачивания.

    13 часа назад, Le ecureuil сказал:

    Вчера был вселенский развал cloudflare и dns, потому я бы еще понаблюдал.

    Да, об этом писали. Но у меня проблема именно с AdGuard. Хотя я прекрасно понимаю, что они используют CloudFlare как апстрим, но все же проблема с ним.

    • Confused 1
  6. 1 час назад, Сергей Германов сказал:

    Установлен и включен adguard, так же установлены компоненты doh/dot. Журнал завален сообщениями. Нормально ли такое поведение? И как можно исправить? 

    Ошибки.jpg

    Подтверждаю, таких сообщений довольно много. А какие именно запросы отклонены не понятно.

    Так же при использовании AdGuard DNS с установленными dot/doh компонентами заметно все тормозит в приложении HD VideoBox. Открытие карточки фильма, поиск самих видно файлов происходит после тайм аута секунд в 20. Если выбрать на странице Интернет-фильтр Без фильтрации, то все открывается мгновенно.

  7. Добрый день!

    Суть проблемы изложена вот в этом посте:

    Сейчас выбран интернет-фильтр AdGuard и ранее на странице с описанием это было видно. Теперь пишет, что я его не использую. Компоненты DoT/DoH и AdGuard установлены.

    И судя по этом посту проблема у меня какая-то частная. Проверял на 3 разных зарегистрированных девайсах (смартфон и 2 ноутбука) в браузерах Google Chrome и Internet Explorer.

    Селф тест будет ниже

  8. 38 минут назад, AndreBA сказал:

    А вы с зарегистрированного устройства проверяли? У меня отображает, что "используется".

    Проверяю с двух зарегистрированных устройств домашней сети. Прошивка последняя Альфа.

  9. 19 часов назад, Le ecureuil сказал:

    Нужен self-test с версии 3.1A4.

    Эту странность в работе DNS выловил при создании второго подключения OpenVPN. Как только его выключал, DNS начинал работать. Сейчас оставил только одно подключение, все работает штатно. 

  10. С внедрением DoT/DoH кажется сильно изменился процесс разрешения имен на самом роутере.

    Вот например:

    # nslookup ya.ru
    Server:    127.0.0.1
    Address 1: 127.0.0.1 localhost
    
    nslookup: can't resolve 'ya.ru': Temporary failure in name resolution
    ~ #
    
    Скрытый текст

    image.png.4f8dc44367168fd8e58d0891bac4aae3.png

    image.png.8c7eb02224ed67939b994991ace26d82.png

    То есть совсем не резолвит. 

    А у меня на этом скрипт построен.

    Сейчас у меня установлены компоненты DoT+DoH и интернет фильтр AdGuard. Всем клиентам назначен стандартный профиль фильтра AdGuard. Других DoT/DoH серверов не настроено. 

    Хотя это может быть у меня что-то не работает.

  11. Уважаемые пользователи dnscrypt-proxy2!

    После внедрения DoT/DoH в прошивку необходимость в dnscrypt-proxy2 из Entware для многих из нас немного уменьшилась.

    Теперь запросы от роутера и его клиентов могут быть защищены от перехвата и подмены из коробки 👍

    В качестве альтернативы "из коробки" предлагаю вариант из сообщения уважаемого @Le ecureuil

    Цитата

     

    К счастью, adguard полностью поддерживает doh/dot. Потому

    - ставите doh/dot компоненты

    - ставите adguard

    - включаете его

    - profit!

    Все само работает по dot/doh без настроек, с заворотом всех DNS-запросов принудительно на роутер.

     

    Сам лично уже так и сделал - значительно освободилась RAM на роутере (хотя не сказал бы, что ее не хватало).

    Нехватка может быть только в плане контролируемых вами лично блэклистов, но тут уже есть тема в развитии. Да и фильтры AdGuard меня лично пока в целом радуют - основной массы рекламы на том же руторе я не вижу.

    Кстати, для поддержки разрешения доменов *.lib я на странице Интернет-Фильтр добавил сервер 91.217.137.37 с указанием домена lib

    И получается большая часть функционала dnscrypt-proxy2 (по крайней мере того, что был важен для меня) доступна "из коробки" и настраивается крайне просто. За что большое спасибо разработчикам KeeneticOS!

  12. 5 часов назад, vasek00 сказал:

    Лучше реально пример из которого можно что-то выбрать по приемлемым "ms"

    Как получаете такой вывод? Какой командой?

    У меня dns-proxy ничего не дает, а как будто входит в новый контекст.

    А more temp:ndnproxymain.stat выдает чуть по другому

    Скрытый текст
    
    Total incoming requests: 709",
            "Proxy requests sent:     1340",
            "Cache hits ratio:        0.082 (58)",
            "Memory usage:            17.91K",
            "",
            "DNS Servers",
            "",
            "                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  ",
            "           91.217.137.37     53       0       0        0       0ms       0ms     3  ",
            "               127.0.0.1  40500     221      86      134     188ms     174ms     3  ",
            "               127.0.0.1  40501     135       0       67     186ms     162ms     1  ",
            "               127.0.0.1  40502     135       0      116     208ms     195ms     1  ",
            "               127.0.0.1  40503     148       4      102     194ms     168ms     3  ",
            "               127.0.0.1  40504     564     427      109      98ms     127ms     8  ",
            "               127.0.0.1  40505     137       0        0       0ms       0ms     0  ",

    Кстати, старый добрый https://www.dnsleaktest.com/ может помочь при тестировании DoT/DoH серверов.

  13. 1 час назад, Le ecureuil сказал:

    Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0

    Да, вы ответили в другой теме! Спасибо за развернутый ответ и тут.

    Хочу уточнить лишь один момент. Если не установлен ни один из 3 интернет фильтров в компонентах и прописаны DoT серверы и один обычный сервер на странице Интернет-Фильтр, то сказанное вами так же действует?

    Скрытый текст

    image.png.7a1587666e41cca57d0df8d27aca1e4f.png

     

    1 час назад, Le ecureuil сказал:

    Что еще осталось, кроме black-list?

    Вот все фичи dnscrypt

    Скрытый текст

    Features

    • DNS traffic encryption and authentication. Supports DNS-over-HTTPS (DoH) using TLS 1.3, and DNSCrypt.
    • DNS query monitoring, with separate log files for regular and suspicious queries
    • Filtering: block ads, malware, and other unwanted content. Compatible with all DNS services
    • Time-based filtering, with a flexible weekly schedule
    • Transparent redirection of specific domains to specific resolvers
    • DNS caching, to reduce latency and improve privacy
    • Local IPv6 blocking to reduce latency on IPv4-only networks
    • Load balancing: pick a set of resolvers, dnscrypt-proxy will automatically measure and keep track of their speed, and balance the traffic across the fastest available ones.
    • Cloaking: like a HOSTS file on steroids, that can return preconfigured addresses for specific names, or resolve and return the IP address of other names. This can be used for local development as well as to enforce safe search results on Google, Yahoo and Bing.
    • Automatic background updates of resolvers lists
    • Can force outgoing connections to use TCP
    • Supports SOCKS proxies
    • Compatible with DNSSEC

    Жирным выделил, то что сейчас нужно (фильтрация по сути только и осталась). Зеленым выделил то, что реализовано в той или иной степени в прошивке.

    2 часа назад, Le ecureuil сказал:

    Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.

    Принял, в целом согласен. Сейчас у меня по крону добавляются маршруты до определенного списка адресов через OpenVPN сервер.

    И все же, по теме. В принципе в будущем возможна ли реализация таких пользовательских скриптов без Entware?

    Или для этого как раз и интегрирована Entware из коробки? (что в принципе логично).

  14. 58 минут назад, Le ecureuil сказал:

    Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.

    Это великолепно!

    Тогда отдельно приземлять клиентов не нужно,это радует.

  15. Доброго дня!

    После внедрения DoT/DoH в прошивку необходимость в dnscrypt-proxy из Entware для меня лично немного уменьшилась. Теперь запросы от роутера и его клиентов могут быть защищены от перехвата и подмены из коробки 👍

    Остается проблема со смартфонами на Android. Они дополнительно (к тому серверу, что прописан в их сетевых настройках) посылают DNS запросы напрямую на 8.8.8.8. А вот эти запросы уже могут быть и перехвачены и подменены. 

    Сейчас я решаю эту проблему с помощью вот такого скрипта в Entware - то есть правилом iptables перенаправляю ("приземляю") все проходящие запросы 53\UDP на dnscrypt-proxy.

    Так вот: хочется внедрения вот таких пользовательских скриптов из коробки. с тем же набором hook scripts

    Дополнительно - очень желательна так же реализация выполнения пользовательских скриптов по времени (по cron).

    PS. Ну, а по части функционала dnscrypt-proxy в плане фильтрации по черным спискам запрос в развитие уже оформили.

  16. Да, поддержу.

    С внедрением DoT/DoH частично необходимость в dnscrypt-proxy для меня отпадает в части защиты DNS запросов от перехвата.

    Но еще огромный пласт возможностей dnscrypt-proxy нужно как-то реализовать в прошивке. И начать можно как раз с черного списка блокируемых доменных имен.

    В качестве реализации можно предложить загрузку файла со черным списком через веб интерфейс.

    Хотя еще останется проблема устройств на Android - они продолжат посылать запросы на 8.8.8.8 мимо роутера, а эти запросы уже может кто-то перехватить\подменить. Эту проблему можно решить реализацией юзерских скриптов в прошивке (тема в развитии по этому поводу).

    • Upvote 2
×
×
  • Create New...