Jump to content
  • 1

3.8.1 Интернет-фильтры. Не добавляются адреса DoH в "пользовательский профиль" и доступ к https://1.1.1.1/


valeramalko
 Share

Question

KN-2710. 3.8.1

1. Не добавляются  адреса DoH в "пользовательский профиль".

Т.е. создаем свой профиль, добавляем адрес DoH, сохраняем, веб "не ругается" и отображает добавленный адрес в профиле.

Обновляем страницу, DoH отсутствует.

В логе роутера:

[E] Dec 27 19:46:27 ndm: Dns::Secure::ManagerDoh: invalid DNS-over-HTTPS format value: . 

В cli получаем:

(config)> dns-proxy filter profile my https upstream https://dns.google/dns-query
Dns::Secure::ManagerDoh error[22610220]: invalid DNS-over-HTTPS format value: .

Пробовал разные адреса DoH

В "системный профиль" этот же адрес добавляется нормально.

 

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Если режим фильтрации включен  и указан "Форсировать системный профиль DNS" или "Публичные DNS-резолверы и настраиваемые профили", то сайт https://1.1.1.1/  не открывается: "время ожидания истекло".

Пробовал оставлять в системном профиле только dns провайдера, также не открывается.

Если отключить режим фильтрации поставить "отключено", то сайт доступен.

  • Upvote 1
Link to comment
Share on other sites

7 answers to this question

Recommended Posts

  • 0
4 часа назад, valeramalko сказал:

Т.е. создаем свой профиль, добавляем адрес DoH,

Обновляем страницу, DoH отсутствует.

+

 

4 часа назад, valeramalko сказал:

В "системный профиль" этот же адрес добавляется нормально.

+

Link to comment
Share on other sites

  • 0
On 12/27/2021 at 7:30 PM, valeramalko said:

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Это не 3.8.1 проблема. На 3.7.1 точно так же. Включённый тут /controlPanel/secureInternet в Service (в описании команд называют "профиль защиты") что-нибудь из предустановленных, кроме no protection, блокирует подключение к https://1.1.1.1/ .

Вписывание тех же DoT и/или DoH без профиля защиты (no protection) не мешает подключению.

Edited by deNoor
Link to comment
Share on other sites

  • 0
В 27.12.2021 в 19:30, valeramalko сказал:

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Если режим фильтрации включен  и указан "Форсировать системный профиль DNS" или "Публичные DNS-резолверы и настраиваемые профили", то сайт https://1.1.1.1/  не открывается: "время ожидания истекло".

Пробовал оставлять в системном профиле только dns провайдера, также не открывается.

Если отключить режим фильтрации поставить "отключено", то сайт доступен.

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Первый пункт проверим, спасибо.

Link to comment
Share on other sites

  • 0
4 минуты назад, Le ecureuil сказал:

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Тогда вопрос к размещению информации и ссылок в веб.

Для каждого сервиса идет краткое описание, данный текст содержит ссылку на страницу сервиса в Интернете.

Получается при включенном интернет-фильтре на страницу cloudflare dns не попасть.

descr.png

Link to comment
Share on other sites

  • 0
40 минут назад, Le ecureuil сказал:

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Первый пункт проверим, спасибо.

ИМХО, такое поведение должно быть настраиваемым. Опять же имхо, у меня на мобильных устройствах настроен DoT, какой смысл мне дропать свои же устройства. Ну и например, поставили роутер в кафе или гостишке, блокировать DoT/DoH и навязывать свой днс, это уже чуть-ли ни mitm

Edited by snark
  • Upvote 1
Link to comment
Share on other sites

  • 0
Только что, snark сказал:

ИМХО, такое поведение должно быть настраиваемым. Опять же имхо, у меня но мобильных устройствах настроен DoT, какой смысл мне дропать свои же устройства. Ну и например, поставили роутер в кафе или гостишке, блокировать DoT/DoH и навязывать свой днс, это уже чуть-ли ни mitm

Этот MITM существовал всегда и он всегда является волей администратора устройства, который форсирует профили для хостов и интерфейсов.

Впрочем насчет отключения можете написать в поддержку, они запишут идею.

  • Upvote 3
Link to comment
Share on other sites

  • 0

В 3.8.6 добавление в пользовательский профиль адресов DoH работает как через веб, так и через CLI.

(config)> dns-proxy filter profile DnsProfile0 https upstream https://dns.quad9.net/dns-query
Dns::Filter::Public: Added DNS-over-HTTPS name server https://dns.quad9.net/dns-query to profile "DnsProfile0".

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...