DNScrypt из коробки

[cocojambo]

Планируется ли реализация этой функции в ближайших прошивках после 2.08?

C opkg настроил, конечно, но как-то костыльно это выглядит и ненадежно (1. встроенный dns прокси переопределен и в случае отказа dns с шифрованием или самого пакета нужно будет оперативно лезть в телнет, чтобы вернуть dns-override на место. 2. AD перестает работать, так как идущий с ним dns сервер уже нельзя указать как дополнительный в настройках Keenetic).

Было бы здорово указать основной и резервный dnscrypt сервер прямо в настройках встроенного dns прокси, прямо в вебморде без всяких флешек с дополнительными пакетами. Яндекс DNS, OpenDSN к слову, шифрование поддерживают.

Функция нужная, как защита от MITM.

 

Edited February 19, 2017 by cocojambo
Attach

[Le ecureuil]

В связи с реализацией DoT и DoH dnscrypt уходит на свалку истории.

[Вежливый Снайпер]

Если появится "из коробочная" версия, это будет самым полезным нововведением за всю историю существования кинетиков, ИМХО.

А то поддержку OpenVPN сделали, а полезное шифрование DNS - нет. Уже 2 раза столкнулся с подменой DNS, сначала на Yota, потом на проводном провайдере. Если бы не Александр Рыжов и ankar84 - так и страдал бы, не зная про DNScrypt.

Смогли открыть людям глаза на OpenVPN, сможете и на шифрование DNS. В современных реалиях это очень нужная вещь.

[Le ecureuil]

3 часа назад, cocojambo сказал:

Вы правы, DNSsec пока экзотика. Пожалуйста, не рассматривайте DNSsec как основную просьбу. Больше хочется DNScrypt или любой другой надежный способ защиты от подмены DNS. Многие сервера, поддерживающие DNScrypt умеют DNSsec, можно просто оставить это на усмотрение пользователя.

Спасибо, что пояснили, что нужно будет юзерам объяснять. Подскажите, можно ли реализовать DNScrypt не явно (без какого либо указания в web морде и cli)? То есть, если пользователь укажет сервер, поддерживающий DNScrypt (случайно или намеренно), эта функция будет работать. В таком случае, возможно, не нужно будет объяснять никому и ничего, а лишь указать это в списке изменений прошивки.

У нас планируются opkg-пакеты, которые будут ставиться из облака в RAM, что позволит их использовать даже на устройствах без USB и flash. Вот dnssec и dnscrypt - идеальные кандидаты на роль таких пакетов.

[Le ecureuil]

Эээ... Ну у нас форум построен на личном энтузиазме разработчиков в первую очередь. DNS-резолвером занимается человек, которому неинтересен форум, и который тут не сидит. Ему конечно можно передать, но сами понимаете...

[cocojambo]

17 minutes ago, Le ecureuil said:

Эээ... Ну у нас форум построен на личном энтузиазме разработчиков в первую очередь. DNS-резолвером занимается человек, которому неинтересен форум, и который тут не сидит. Ему конечно можно передать, но сами понимаете...

Это предложение, не более и очень здорово, что есть связь с разработчиками, пускай и не официальная.

Передайте, если не трудно. Чем черт не шутит, вдруг его заинтересует.

Так же подскажите, какие есть способы донести менеджменту эту потребность, кроме звонков в техподдержку (пара знакомых тоже не против иметь такую функцию на устройствах, но по прозаической причине: им провайдер показывает заглушки с просьбой пополнить баланс)?

[IgaX]

я бы за, но dnssec все же немного не панацея .. интересующие зоны должны быть подписаны, есть определенная нагрузка итд. итп., легкая степень недоверия в т.ч. к OpenDNS .. в общем, много нюансов если вчитаться:
https://ru.wikipedia.org/wiki/DNSSEC

в основном - это для защиты своих зон от подмены.

был предложен вариант:
https://forum.keenetic.net/topic/1584-dns-over-https-от-google-public-dns-dnssec/?sortby=date

пусть пока и в бэте, но https, все секьюрно и шито-крыто .. плюс относительно быстро и надежно (раз tcp, https) .. и ни одно правительство мира не посмеет прикрыть втихую https/443 без бучи .. т.е лучшее из обоих миров, а кэшировать уже на dns-proxy Кинетика и клиентах.

да, придется довериться буржуйскому Гуглу, но тем не менее - уверен, что у Гугла на меня нет вообще никаких планов.

и все равно.

всего 2 голоса, так вот.

Edited February 18, 2017 by IgaX

[cocojambo]

35 minutes ago, IgaX said:

я бы за, но dnssec все же немного не панацея .. интересующие зоны должны быть подписаны, есть определенная нагрузка итд. итп., легкая степень недоверия в т.ч. к OpenDNS .. в общем, много нюансов если вчитаться:
https://ru.wikipedia.org/wiki/DNSSEC

в основном - это для защиты своих зон от подмены.

был предложен вариант:
https://forum.keenetic.net/topic/1584-dns-over-https-от-google-public-dns-dnssec/?sortby=date

пусть пока и в бэте, но https, все секьюрно и шито-крыто .. плюс относительно быстро и надежно (раз tcp, https) .. и ни одно правительство мира не посмеет прикрыть втихую https/443 без бучи .. т.е лучшее из обоих миров, а кэшировать уже на dns-proxy Кинетика и клиентах.

да, придется довериться буржуйскому Гуглу, но тем не менее - уверен, что у Гугла на меня нет вообще никаких планов.

и все равно.

всего 2 голоса, так вот.

DNSsec это больше для внутренних доменов, в локальных сетях. Понятно, что когда провайдер подменяет DNS ответы через MITM, от DNSsec толку мало, просто не будут запросы проходить и инет отвалится.

На счет варианта dns через https не согласен. DNScrypt легковесный и обкатанный, порт задать можно любой на DNS сервере, в основном сервера на стандартном 53 работают. Не обязательно выбирать OpenDNS, если вы не доверяете Cisco. Можете выбрать DNS от яндекса и от 70 других поставщиков на текщий момент. Или даже создать свой!

Я на сколько понял, этот форум больше для того, чтобы идею подкинуть или обсудить, а для того, чтобы намекнуть погромче, нужно звонить в техподдержку. Только так можно достучаться до менеджмента.

Edited February 18, 2017 by cocojambo

[IgaX]

15 минут назад, cocojambo сказал:

достучаться до менеджмента

имхо, лучше сразу вилы и факелы, быстрее будет 
саппорт же тупо принесет плохое настроение домой и "бумеранг собьет не тех кенгуру".

[Le ecureuil]

Пока даже в этой теме голосов около нуля, а теперь представьте, что всем юзерам придется объяснять, что же это за новая галка и что такое dnssec... Это явно будете делать не вы, и не за свой счет.

И если страдальцев по ipsec и snmp реально куча и маленькая тележка (включая крупных игроков, у которых есть монетизированный спрос (не забывайте про этот очень важный фактор)), потому им пошли на встречу, то dnssec на данном этапе развития по популярности ближе к i2p и подобному андерграунду, то есть пока ему место только в кастомных opkg установках.

[cocojambo]

9 hours ago, Le ecureuil said:

Пока даже в этой теме голосов около нуля, а теперь представьте, что всем юзерам придется объяснять, что же это за новая галка и что такое dnssec... Это явно будете делать не вы, и не за свой счет.

И если страдальцев по ipsec и snmp реально куча и маленькая тележка (включая крупных игроков, у которых есть монетизированный спрос (не забывайте про этот очень важный фактор)), потому им пошли на встречу, то dnssec на данном этапе развития по популярности ближе к i2p и подобному андерграунду, то есть пока ему место только в кастомных opkg установках.

Вы правы, DNSsec пока экзотика. Пожалуйста, не рассматривайте DNSsec как основную просьбу. Больше хочется DNScrypt или любой другой надежный способ защиты от подмены DNS. Многие сервера, поддерживающие DNScrypt умеют DNSsec, можно просто оставить это на усмотрение пользователя.

Спасибо, что пояснили, что нужно будет юзерам объяснять. Подскажите, можно ли реализовать DNScrypt не явно (без какого либо указания в web морде и cli)? То есть, если пользователь укажет сервер, поддерживающий DNScrypt (случайно или намеренно), эта функция будет работать. В таком случае, возможно, не нужно будет объяснять никому и ничего, а лишь указать это в списке изменений прошивки.

[ICMP]

1 час назад, Le ecureuil сказал:

из облака в RAM

[cocojambo]

3 hours ago, Le ecureuil said:

У нас планируются opkg-пакеты, которые будут ставиться из облака в RAM, что позволит их использовать даже на устройствах без USB и flash. Вот dnssec и dnscrypt - идеальные кандидаты на роль таких пакетов.

dns-override было бы здорово не использовать, так же хотелось бы как минимум два сервера указывать для dnscrypt. В остальном все замечательно звучит, если роутер для скачивания с облака не будет резолвить адрес этого облака через нерабочий dnscrypt , но это из разряда петросянства, конечно же.

[AlexBBB]

Доброго времени всем форумчанам.

Меня очень интересует тема DNSCrypt (у меня Keenetic Ultra II с последней релизной прошивкой v2.08(AAUX.0)C1). Сейчас я использую DNSCrypt на самом ПК (Windows 10 x64), но антивирусные программы не дают его использовать, поэтому, приходится выгружать АВ, потом запускать DNSCrypt, куда-то заходить, потом выгружать DNSCrypt (возвращая дефолтные DNS-ы провайдера) и снова запускать АВ.

Так, вот, хочу избавиться от этого г..я. Я не разработчик, а *nix систем в принципе не знаю (так, имею просто общее представление, как они работают). Но по конкретному мануалу например, могу что-то залить и писать команды (хоть по телнету, хоть через командную строку). Но по всем инстуркциям, что встречал здесь на форуме, я так и не понял, как же установить dnscrypt-proxy (во отсюда например http://pkg.entware-keenetic.ru/binaries/keenle/dnscrypt-proxy_1.9.1-1_keenle.ipk) на свой роутер.

Вот в самом кинетике, в настройках - обновлениях, у меня есть строка: Opkg (поддержка открытых пакетов), если я ее установлю, я что не могу еще после этого устанавливать сразу пакет dnscrypt-proxy по ссылке выше? Мне что, еще нужно какой то Entware установить и настроить? Или все-таки могу и все будет работать?

P.S.
Спс заранее за объяснения.

Edited March 28, 2017 by AlexBBB

[vasek00]

14 минуты назад, AlexBBB сказал:

Меня очень интересует тема DNSCrypt (у меня Keenetic Ultra II с последней релизной прошивкой v2.08(AAUX.0)C1). Сейчас я использую DNSCrypt на самом ПК (Windows 10 x64), но антивирусные программы не дают его использовать, поэтому, приходится выгружать АВ, потом запускать DNSCrypt, куда-то заходить, потом выгружать DNSCrypt (возвращая дефолтные DNS-ы провайдера) и снова запускать АВ.

Посмотрите кучу тем

 

[cocojambo]

On 28.03.2017 at 6:11 PM, AlexBBB said:

Доброго времени всем форумчанам.

Меня очень интересует тема DNSCrypt (у меня Keenetic Ultra II с последней релизной прошивкой v2.08(AAUX.0)C1). Сейчас я использую DNSCrypt на самом ПК (Windows 10 x64), но антивирусные программы не дают его использовать, поэтому, приходится выгружать АВ, потом запускать DNSCrypt, куда-то заходить, потом выгружать DNSCrypt (возвращая дефолтные DNS-ы провайдера) и снова запускать АВ.

Так, вот, хочу избавиться от этого г..я. Я не разработчик, а *nix систем в принципе не знаю (так, имею просто общее представление, как они работают). Но по конкретному мануалу например, могу что-то залить и писать команды (хоть по телнету, хоть через командную строку). Но по всем инстуркциям, что встречал здесь на форуме, я так и не понял, как же установить dnscrypt-proxy (во отсюда например http://pkg.entware-keenetic.ru/binaries/keenle/dnscrypt-proxy_1.9.1-1_keenle.ipk) на свой роутер.

Вот в самом кинетике, в настройках - обновлениях, у меня есть строка: Opkg (поддержка открытых пакетов), если я ее установлю, я что не могу еще после этого устанавливать сразу пакет dnscrypt-proxy по ссылке выше? Мне что, еще нужно какой то Entware установить и настроить? Или все-таки могу и все будет работать?

P.S.
Спс заранее за объяснения.

Привет! Если проблема для тебя еще актуальна, то я решил ее следующим образом: 1) купил два роутера DIR-300 2) запилил в них OpenWRT -> opkg -> DnsCrypt 3) повесил их на порты Giga. Теперь есть у меня отказоустойчивый резолвер. Сразу скажу почему не зашло с opkg на самом keenetic'е 1. В таком случае не работает резолв через DNS AD сервера 2. Настроить можно только на 1 DNScrypt-сервер, а он может отвалиться. Если будет интересно, как все это настроить, пиши, подскажу. Разработчикам привет! +1000р. в пользу конкурентов.

[vasek00]

8 часов назад, cocojambo сказал:

Привет! Если проблема для тебя еще актуальна, то я решил ее следующим образом: 1) купил два роутера DIR-300 2) запилил в них OpenWRT -> opkg -> DnsCrypt 3) повесил их на порты Giga. Теперь есть у меня отказоустойчивый резолвер. Сразу скажу почему не зашло с opkg на самом keenetic'е 1. В таком случае не работает резолв через DNS AD сервера 2. Настроить можно только на 1 DNScrypt-сервер, а он может отвалиться. Если будет интересно, как все это настроить, пиши, подскажу. Разработчикам привет! +1000р. в пользу конкурентов.

Раз два DIR то это два канала заводим на Keenetic плюс добавляем Entware из пакетов ставим DNSMasq + DNScrypt и не чего покупать не надо, если только flash для Entware.

Скрытый текст

Пример локальных доменов
# Указываем отправлять все запросы DNS на server.loc на внутренний сервер в локальной сети:
domain=server.loc
server=/server.loc/192.168.1.10
server=/1.168.192.in-addr.arpa/192.168.1.10

# Указываем отправлять все запросы DNS на home.loc на внутренний сервер в локальной сети:
domain=home.loc
server=/home.loc/192.168.2.10
server=/2.168.192.in-addr.arpa/192.168.2.10

Инет1---Резолв_ххххх1-----(WAN-Keenetic-WAN2)----Резолв_ххххх2------Инет2

По теме два резолва при наличие двух каналов - вместо двух DIR, для всех клиентов адресом будет Keenetic

dnscrypt-proxy --local-address=127.0.0.2:60153 --daemonize –edns-payload-size=1252 -R ххххх1 -l /opt/tmp/dnscrypt-proxy.153.log -m 7
dnscrypt-proxy --local-address=127.0.0.2:60253 --daemonize –edns-payload-size=1252 -R ххххх2 -l /opt/tmp/dnscrypt-proxy.253.log -m 7

dnsmasq.conf

server=127.0.0.2#60153
server=127.0.0.2#60253
all-servers

 

маршрут для одного резолв - default, до другого стат маршрут на второй канал. Согласно резолв файла находим IP адрес для записи ххххх2 и доб.маршрут

ip ro add IP_резолв_ххххх2/32 via $IP_IF dev $IF_WAN2

имеем два не зависимых резолва со своим маршрутом

 

Edited December 16, 2017 by vasek00

[Sergey Russia]

 

В 16.12.2017 в 03:08, cocojambo сказал:

Привет! Если проблема для тебя еще актуальна, то я решил ее следующим образом: 1) купил два роутера DIR-300 2) запилил в них OpenWRT -> opkg -> DnsCrypt 3) повесил их на порты Giga. Теперь есть у меня отказоустойчивый резолвер. Сразу скажу почему не зашло с opkg на самом keenetic'е 1. В таком случае не работает резолв через DNS AD сервера 2. Настроить можно только на 1 DNScrypt-сервер, а он может отвалиться. Если будет интересно, как все это настроить, пиши, подскажу. Разработчикам привет! +1000р. в пользу конкурентов.

Похоже придется тоже покупать DIR-300, т.к. купил роутер под OpenVPN, а USB под Entware в нём нет, про DNSCrypt я тогда даже и не думал...

Edited June 2, 2018 by Sergey Russia

[Александр Рыжов]

В 16.12.2017 в 01:08, cocojambo сказал:

Настроить можно только на 1 DNScrypt-сервер,

Не-а. Сколько угодно. Кроме того, в OpenWrt есть только постепенно устаревающий dnscrypt-proxy1.

[zyxmon]

3 часа назад, Sergey Russia сказал:

а USB под Entware в нём нет, про DNSCrypt я тогда даже и не думал...

Я для тестирования Entware под Openwrt иногда пользуюсь NFS шарой на NAS'e и обхожусь без usb, хотя usb есть. Устанавливаю Entware на NFS.

[r13]

15 минут назад, zyxmon сказал:

Я для тестирования Entware под Openwrt иногда пользуюсь NFS шарой на NAS'e и обхожусь без usb, хотя usb есть. Устанавливаю Entware на NFS.

это с кинетиком? 

[zyxmon]

8 минут назад, r13 сказал:

это с кинетиком?

Если найдет прошивку Openwrt для кинетика, то можно и с ним. Для некоторых моделей собираются ежедневно  - https://downloads.openwrt.org/snapshots/targets/ramips/mt7620/ см kn*.bin!

PS Я делал это не на кинетике.

PPS. Давно витает идея установки небольшого числа пакетов в память кинетика (у которых нет USB) с загрузкой из облака. Опять вспомнилось.....

[r13]

В 02.06.2018 в 19:30, zyxmon сказал:

PPS. Давно витает идея установки небольшого числа пакетов в память кинетика (у которых нет USB) с загрузкой из облака. Опять вспомнилось.....

Какое-то время назад интересовался этим вопросом, @ndm сказал что фича не сильно актуальная и развивать передумали.

Может действительно прикрутить возможность монтирования nfs в кинетике? Для устройств без USB вполне себе вариант. Хотя конечно при их ограничениях на размер флеша/памяти может и не влезть такое расширение функционала.

Edited June 4, 2018 by r13

[zyxmon]

4 часа назад, r13 сказал:

Хотя конечно при их ограничениях на размер флеша/памяти может и не влезть такое расширение функционала.

Если ядерные модули есть для моделей без usb - то можно поставить и проверить. Не думаю, что сама операция монтирования и поддержка opkg потребуют много флеша.

[ankar84]

Плюсану, ибо dnscrypt-proxy2 уже много чего поддерживает и уже гораздо более отказоустойчивый, чем была первая версия.

[Александр Рыжов]

По поводу плюсовать за фичу как таковую — очень даже «за».

По поводу dnscrypt2-proxy в частности — нет. Ибо громоздкий по рождению как тушей (размер бинарника), так и размахом души (CPU, RAM). И отнюдь не устойчивее первой версии.

Исключительно IMHO.

[ankar84]

34 минуты назад, Александр Рыжов сказал:

По поводу dnscrypt2-proxy в частности — нет. Ибо громоздкий по рождению как тушей (размер бинарника), так и размахом души (CPU, RAM). И отнюдь не устойчивее первой версии.

По ресурсам согласен, очень требователен и прожорлив (хотя не по CPU). Про отказоустойчивость я имею ввиду работу с несколькими серверами из коробки (в 1 версии, если не изменяет память, была возможность работы только с одним сервером и приходилось запускать 2 инстанса сервиса на разных портах + dnsmasq для хоть какой-то отказоустойчивости).

По надежности 2 версии у меня претензий нет, не замечал падений. Первая версия падала иногда, да. Даже скриптик городил, который проверяет запущен ли демон и запускает в случае необходимости.

[thefox]

Google добавил DNS over TLS(https://habr.com/post/427639/), тема перестает быть чисто маргинальной, так что плюсану.

[cmisha]

4 минуты назад, thefox сказал:

Google добавил DNS over TLS(https://habr.com/post/427639/), тема перестает быть чисто маргинальной, так что плюсану.

Тоже вчера прочитал. Молодцы "Google".

[Андрей Лучин]

В 26.10.2018 в 19:22, Вежливый Снайпер сказал:

Если появится "из коробочная" версия, это будет самым полезным нововведением за всю историю существования кинетиков, ИМХО.

А то поддержку OpenVPN сделали, а полезное шифрование DNS - нет. Уже 2 раза столкнулся с подменой DNS, сначала на Yota, потом на проводном провайдере. Если бы не Александр Рыжов и ankar84 - так и страдал бы, не зная про DNScrypt.

Смогли открыть людям глаза на OpenVPN, сможете и на шифрование DNS. В современных реалиях это очень нужная вещь.

Полностью поддерживаю, люто плюсую и жду новых обновлений с этой фичей ))))))))

Edited October 29, 2018 by Андрей Лучин

[thefox]

Мозилла добавляет в браузер DNS over HTTPS - https://3dnews.ru/978958