-
Posts
407 -
Joined
-
Last visited
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by ankar84
-
-
Добрый день!
Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо.
И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib
Разрешать такие домены умеют DNS серверы проекта OpenNIC
Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC
Ранее я делал это вот такой настройкой в WebUI
Скрытый текстНо теперь это не работает.
Просьба реализовать данный функционал.
Спасибо!
- 3
- 1
-
В 17.07.2019 в 15:01, Le ecureuil сказал:
Давайте как выйдет beta - с ней в техподдержку.
Обновился на бету - проблема осталась.
Запрос #446436
В соседней теме ровно моя же проблема. Так что баг налицо.
-
22 часа назад, Le ecureuil сказал:
Давайте как выйдет beta - с ней в техподдержку.
Хорошо, давайте так и сделаем.
Есть приблизительные сроки выхода текущего релиза в бету?
-
@Le ecureuil кстати, а если я хочу использовать интернет-фильтр AdGuard DNS но только по DoT, то есть без DoH, возможно ли это?
И получится ли у меня это, если у меня будет установлен компоненты AdGuard DNS + DoT, но не установлен DoH? Или они всегда должны быть установлены оба, чтобы интернет-фильтр AdGuard DNS работал не в plain text, а в зашифрованном виде?
-
Добрался до дома и да, результат подтвердился.
Устройства домашней сети 192.168.10.0/24 на странице AdGuard DNS получают вот такую картинку
Скрытый текстПритом, что dnsleak показывает вроде бы правильную картинку при использовании интернет-фильтра AdGuard DNS
Скрытый текстВ тоже время у меня на роутере есть IPSec VPN сервер с сетью 172.16.2.0/24 (конкретный адрес первого подключенного устройства 172.16.2.33)
И для этой сети интернет-фильтр AdGuard DNS ведет себя как положено
И dnsleak для этой сети примерно такой же
Это точно какой-то баг. Ранее для всех устройств все определялось нормально.
Как будто какая-то политика начала действовать.
-
13 часа назад, Le ecureuil сказал:
HD VideoBox - это где такое приложение, как это воспроизвести?
Это приложение для Android, которое многим здесь на форуме (и в чате в телеге) изменило паттерн потребления медиа контента в сети.
Суть проста - смотришь все фильмы (сериалы, передачи) онлайн, без скачивания.
13 часа назад, Le ecureuil сказал:Вчера был вселенский развал cloudflare и dns, потому я бы еще понаблюдал.
Да, об этом писали. Но у меня проблема именно с AdGuard. Хотя я прекрасно понимаю, что они используют CloudFlare как апстрим, но все же проблема с ним.
- 1
-
1 час назад, Сергей Германов сказал:
Подтверждаю, таких сообщений довольно много. А какие именно запросы отклонены не понятно.
Так же при использовании AdGuard DNS с установленными dot/doh компонентами заметно все тормозит в приложении HD VideoBox. Открытие карточки фильма, поиск самих видно файлов происходит после тайм аута секунд в 20. Если выбрать на странице Интернет-фильтр Без фильтрации, то все открывается мгновенно.
-
-
17 часов назад, AndreBA сказал:
Вот так у меня:
Вот у меня тоже так раньше было, определялось нормально.
Видимо проблема у меня какая-то частная. Сделал тему по ней.
-
Добрый день!
Суть проблемы изложена вот в этом посте:
Сейчас выбран интернет-фильтр AdGuard и ранее на странице с описанием это было видно. Теперь пишет, что я его не использую. Компоненты DoT/DoH и AdGuard установлены.
И судя по этом посту проблема у меня какая-то частная. Проверял на 3 разных зарегистрированных девайсах (смартфон и 2 ноутбука) в браузерах Google Chrome и Internet Explorer.
Селф тест будет ниже
-
38 минут назад, AndreBA сказал:
А вы с зарегистрированного устройства проверяли? У меня отображает, что "используется".
Проверяю с двух зарегистрированных устройств домашней сети. Прошивка последняя Альфа.
-
Сейчас выбран интернет-фильтр AdGuard и ранее на странице с описанием это было видно. Теперь пишет, что я его не использую.
Как проверить?
-
19 часов назад, Le ecureuil сказал:
Нужен self-test с версии 3.1A4.
Эту странность в работе DNS выловил при создании второго подключения OpenVPN. Как только его выключал, DNS начинал работать. Сейчас оставил только одно подключение, все работает штатно.
-
С внедрением DoT/DoH кажется сильно изменился процесс разрешения имен на самом роутере.
Вот например:
# nslookup ya.ru Server: 127.0.0.1 Address 1: 127.0.0.1 localhost nslookup: can't resolve 'ya.ru': Temporary failure in name resolution ~ #
Скрытый текстТо есть совсем не резолвит.
А у меня на этом скрипт построен.
Сейчас у меня установлены компоненты DoT+DoH и интернет фильтр AdGuard. Всем клиентам назначен стандартный профиль фильтра AdGuard. Других DoT/DoH серверов не настроено.
Хотя это может быть у меня что-то не работает.
-
Уважаемые пользователи dnscrypt-proxy2!
После внедрения DoT/DoH в прошивку необходимость в dnscrypt-proxy2 из Entware для многих из нас немного уменьшилась.
Теперь запросы от роутера и его клиентов могут быть защищены от перехвата и подмены из коробки 👍
В качестве альтернативы "из коробки" предлагаю вариант из сообщения уважаемого @Le ecureuil
ЦитатаК счастью, adguard полностью поддерживает doh/dot. Потому
- ставите doh/dot компоненты
- ставите adguard
- включаете его
- profit!
Все само работает по dot/doh без настроек, с заворотом всех DNS-запросов принудительно на роутер.
Сам лично уже так и сделал - значительно освободилась RAM на роутере (хотя не сказал бы, что ее не хватало).
Нехватка может быть только в плане контролируемых вами лично блэклистов, но тут уже есть тема в развитии. Да и фильтры AdGuard меня лично пока в целом радуют - основной массы рекламы на том же руторе я не вижу.
Кстати, для поддержки разрешения доменов *.lib я на странице Интернет-Фильтр добавил сервер 91.217.137.37 с указанием домена lib
И получается большая часть функционала dnscrypt-proxy2 (по крайней мере того, что был важен для меня) доступна "из коробки" и настраивается крайне просто. За что большое спасибо разработчикам KeeneticOS!
-
51 минуту назад, vasek00 сказал:
Med.Resp/Avg.Resp - серьезный хххms у вас, вопрос только по каким серверам
Новосибирск, далеко до всего, вот и задержки.
-
5 часов назад, vasek00 сказал:
Лучше реально пример из которого можно что-то выбрать по приемлемым "ms"
Как получаете такой вывод? Какой командой?
У меня dns-proxy ничего не дает, а как будто входит в новый контекст.
А more temp:ndnproxymain.stat выдает чуть по другому
Скрытый текстTotal incoming requests: 709", "Proxy requests sent: 1340", "Cache hits ratio: 0.082 (58)", "Memory usage: 17.91K", "", "DNS Servers", "", " Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank ", " 91.217.137.37 53 0 0 0 0ms 0ms 3 ", " 127.0.0.1 40500 221 86 134 188ms 174ms 3 ", " 127.0.0.1 40501 135 0 67 186ms 162ms 1 ", " 127.0.0.1 40502 135 0 116 208ms 195ms 1 ", " 127.0.0.1 40503 148 4 102 194ms 168ms 3 ", " 127.0.0.1 40504 564 427 109 98ms 127ms 8 ", " 127.0.0.1 40505 137 0 0 0ms 0ms 0 ",
Кстати, старый добрый https://www.dnsleaktest.com/ может помочь при тестировании DoT/DoH серверов.
-
1 час назад, Le ecureuil сказал:
Если вы включите Интернет-фильтр, то все запросы "мимо", включая даже dot/doh мимо - будет завернуты на роутер или дропнуты. Такая штука существует для plaintext udp/53 и tcp/53 еще с 2.06, а для dot/doh появилась в 3.0
Да, вы ответили в другой теме! Спасибо за развернутый ответ и тут.
Хочу уточнить лишь один момент. Если не установлен ни один из 3 интернет фильтров в компонентах и прописаны DoT серверы и один обычный сервер на странице Интернет-Фильтр, то сказанное вами так же действует?
Скрытый текст1 час назад, Le ecureuil сказал:Что еще осталось, кроме black-list?
Вот все фичи dnscrypt
Скрытый текстFeatures
- DNS traffic encryption and authentication. Supports DNS-over-HTTPS (DoH) using TLS 1.3, and DNSCrypt.
- DNS query monitoring, with separate log files for regular and suspicious queries
- Filtering: block ads, malware, and other unwanted content. Compatible with all DNS services
- Time-based filtering, with a flexible weekly schedule
- Transparent redirection of specific domains to specific resolvers
- DNS caching, to reduce latency and improve privacy
- Local IPv6 blocking to reduce latency on IPv4-only networks
- Load balancing: pick a set of resolvers, dnscrypt-proxy will automatically measure and keep track of their speed, and balance the traffic across the fastest available ones.
-
Cloaking: like a
HOSTS
file on steroids, that can return preconfigured addresses for specific names, or resolve and return the IP address of other names. This can be used for local development as well as to enforce safe search results on Google, Yahoo and Bing. - Automatic background updates of resolvers lists
- Can force outgoing connections to use TCP
- Supports SOCKS proxies
- Compatible with DNSSEC
Жирным выделил, то что сейчас нужно (фильтрация по сути только и осталась). Зеленым выделил то, что реализовано в той или иной степени в прошивке.
2 часа назад, Le ecureuil сказал:Запуск скриптов по cron считаю избыточным, потому что в системе без opkg это излишество (скрипты хранить негде), а с opkg вы так и так можете поставить cron.
Принял, в целом согласен. Сейчас у меня по крону добавляются маршруты до определенного списка адресов через OpenVPN сервер.
И все же, по теме. В принципе в будущем возможна ли реализация таких пользовательских скриптов без Entware?
Или для этого как раз и интегрирована Entware из коробки? (что в принципе логично).
-
58 минут назад, Le ecureuil сказал:
Все, что шлется "мимо" роутера при включенном интерент-фильтре (любом) принудительно заворачивается на роутер.
Это великолепно!
Тогда отдельно приземлять клиентов не нужно,это радует.
-
Доброго дня!
После внедрения DoT/DoH в прошивку необходимость в dnscrypt-proxy из Entware для меня лично немного уменьшилась. Теперь запросы от роутера и его клиентов могут быть защищены от перехвата и подмены из коробки 👍
Остается проблема со смартфонами на Android. Они дополнительно (к тому серверу, что прописан в их сетевых настройках) посылают DNS запросы напрямую на 8.8.8.8. А вот эти запросы уже могут быть и перехвачены и подменены.
Сейчас я решаю эту проблему с помощью вот такого скрипта в Entware - то есть правилом iptables перенаправляю ("приземляю") все проходящие запросы 53\UDP на dnscrypt-proxy.
Так вот: хочется внедрения вот таких пользовательских скриптов из коробки. с тем же набором hook scripts
Дополнительно - очень желательна так же реализация выполнения пользовательских скриптов по времени (по cron).
PS. Ну, а по части функционала dnscrypt-proxy в плане фильтрации по черным спискам запрос в развитие уже оформили.
-
Вот, кстати, еще список публичных серверов
- 1
-
Да, поддержу.
С внедрением DoT/DoH частично необходимость в dnscrypt-proxy для меня отпадает в части защиты DNS запросов от перехвата.
Но еще огромный пласт возможностей dnscrypt-proxy нужно как-то реализовать в прошивке. И начать можно как раз с черного списка блокируемых доменных имен.
В качестве реализации можно предложить загрузку файла со черным списком через веб интерфейс.
Хотя еще останется проблема устройств на Android - они продолжат посылать запросы на 8.8.8.8 мимо роутера, а эти запросы уже может кто-то перехватить\подменить. Эту проблему можно решить реализацией юзерских скриптов в прошивке (тема в развитии по этому поводу).
- 2
-
2 часа назад, TheBB сказал:
собрано из того, что есть
но очень оперативно! 👍
-
Только что попытался через 3 точки удалить с файлами один остановленный торрент, так у меня удалились вообще все. Очень не приятно.
Beta 1(2)
Интернет-фильтр AdGuard не определяется
in 3.1
Posted
Притом не работает именно предустановленный Интернет-Фильтр AdGuard DNS
В том случае, если выбрать режим "Без фильтрации" и вручную добавить, например, DoT сервер AdGuard DNS, на странице https://adguard.com/ru/adguard-dns/overview.html будет верно определено использование их DNS сервера и его режим.
Так что проблема в преднастроенном фильтре.