easy-to-use Защита DNS

[vasek00]

3 минуты назад, Александр Рыжов сказал:

Насколько знаю, новая версия dnscrypt-proxy ничего не кеширует

В настоящие время по конфигу который по умолчанию

Скрытый текст

#        DNS cache  
 

## Enable a DNS cache to reduce latency and outgoing traffic

cache = true

## Cache size

cache_size = 256

## Minimum TTL for cached entries

cache_min_ttl = 600

## Maxmimum TTL for cached entries

cache_max_ttl = 86400

## TTL for negatively cached entries

cache_neg_ttl = 60

 

 

[Dorik1972]

Кто пользуется - изменился адрес "закачки" для DNS-ов для версии 1.9.5

RESOLVERS_URL="https://raw.githubusercontent.com/dyne/dnscrypt-proxy/master/dnscrypt-resolvers.csv"

Хоть . вышла вторя "реинкарнация" и вроде стартует ... но лично у меня на www.google.com она ни в какую не пускает .... соответствено никакие гугловые сервисы - не работают ... Во все остальных "направлениях"  все аж бигом .... При этом на google.com.de , google.com.ua и т.д. - все ходит .. Как только google.com - все can't resolve. Может кто-то проверить у себя ?

[vasek00]

52 минуты назад, Dorik1972 сказал:

 вышла вторя "реинкарнация" и вроде стартует ... но лично у меня на www.google.com она ни в какую не пускает .... соответственно никакие гугловые сервисы - не работают ...

У меня работает вторая и google так же, в логе запросов даже что-то есть

Цитата

server_names = ['cs-fi', 'adguard-dns']

...

## Log client queries to a file
[query_log]
file = '/opt/tmp/query.log'

## Query log format (currently supported: tsv and ltsv)
format = 'tsv'

 

[2018-02-19 06:53:12]    127.0.0.1    play.google.com    A
[2018-02-19 06:53:37]    127.0.0.1    mail.yandex.ru    A
[2018-02-19 06:54:08]    127.0.0.1    plus.google.com    A
[2018-02-19 06:54:09]    127.0.0.1    plus.google.com    AAAA
[2018-02-19 06:54:09]    127.0.0.1    www.gstatic.com    A
[2018-02-19 06:54:09]    127.0.0.1    notifications.google.com    A
[2018-02-19 06:54:10]    127.0.0.1    play.google.com    A
[2018-02-19 06:54:11]    127.0.0.1    lh3.googleusercontent.com    A
[2018-02-19 06:54:11]    127.0.0.1    fonts.gstatic.com    A
[2018-02-19 06:54:17]    127.0.0.1    suggest.yandex.ru    A
[2018-02-19 06:54:17]    127.0.0.1    suggest.yandex.net    AAAA
[2018-02-19 06:54:18]    127.0.0.1    www.google.ru    A
[2018-02-19 06:54:18]    127.0.0.1    www.google.ru    AAAA
[2018-02-19 06:54:18]    127.0.0.1    ssl.gstatic.com    A
[2018-02-19 06:54:22]    127.0.0.1    t0.gstatic.com    A
[2018-02-19 06:54:22]    127.0.0.1    t0.gstatic.com    AAAA
[2018-02-19 06:54:26]    127.0.0.1    www.google.com    A

 

Edited February 19, 2018 by vasek00

[Ярослав Яхонтов]

On 2/19/2018 at 9:56 AM, vasek00 said:

У меня работает вторая и google так же, в логе запросов даже что-то есть

 

А можете поделиться как ставили dnscrypt 2.x?

Cкачал mipsle 2.0.8 версию с гитхаба (Releases), пытаюсь запустить на последней прошивке (2.11.x) и получаю SegFault, даже лог файл не успевает создать. DNS-override временно выключил.
Если что конфиг в приложении. В идеале хотелось бы получить ipv4 + ipv6 через dnscrypt.

dnscrypt-proxy.toml

Edited April 7, 2018 by Ярослав Яхонтов

[vasek00]

24 минуты назад, Ярослав Яхонтов сказал:

А можете поделиться как ставили dnscrypt 2.x?

Cкачал mipsle 2.0.8 версию с гитхаба (Releases), пытаюсь запустить на последней прошивке (2.11.x) и получаю SegFault, даже лог файл не успевает создать. DNS-override временно выключил.
Если что конфиг в приложении. В идеале хотелось бы получить ipv4 + ipv6 через dnscrypt.

dnscrypt-proxy.toml

Стоит родной из Entware который по моему был в тесте. IVP6 не использую.

server_names = ['cs-fi', 'adguard-dns', 'yandex']
listen_addresses = ['127.0.0.2:60153']
max_clients = 250

# Use servers reachable over IPv4
ipv4_servers = true
# Use servers reachable over IPv6 -- Do not enable if you don't have IPv6 connectivity
ipv6_servers = false
# Server must support DNS security extensions
require_dnssec = false
# Server must not log user queries
require_nolog = true
# Server must not enforce its own blacklist (for parental control, ads blocking...)
require_nofilter = true

## Always use TCP to connect to upstream servers
force_tcp = false
timeout = 2500

## Log level (0-6, default: 2 - 0 is very verbose, 6 only contains fatal errors)
log_level = 2
log_file = '/opt/tmp/dnscrypt-proxy.log'
## Use the system logger (syslog on Unix, Event Log on Windows)
# use_syslog = true
## Delay, in minutes, after which certificates are reloaded
cert_refresh_delay = 60

## Fallback resolver
fallback_resolver = "8.8.8.8:53"

block_ipv6 = false

## Example map entries (one entry per line):
## example.com 9.9.9.9
## example.net 9.9.9.9,8.8.8.8
# forwarding_rules = 'forwarding-rules.txt'

cache = true
cache_size = 256
cache_min_ttl = 600
cache_max_ttl = 86400
cache_neg_ttl = 60

## Log client queries to a file
[query_log]
file = '/opt/tmp/query.log'

## Query log format (currently supported: tsv and ltsv)
format = 'tsv'
## Do not log these query types, to reduce verbosity. Keep empty to log everything.
# ignored_qtypes = ['DNSKEY', 'NS']
## Log queries for nonexistent zones
[nx_log]
## Path to the query log file (absolute, or relative to the same directory as the executable file)
# file = 'nx.log'
## Query log format (currently supported: tsv and ltsv)
format = 'tsv'

[blacklist]
# blacklist_file = 'blacklist.txt'
# log_file = 'blocked.log'
# log_format = 'tsv'

[ip_blacklist]
# blacklist_file = 'ip-blacklist.txt'
# log_file = 'ip-blocked.log'

# log_format = 'tsv'

## Remote lists of available servers

[sources]
  [sources.'public-resolvers']
  url = 'http://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
  cache_file = 'public-resolvers.md'
  format = 'v2'
  minisign_key = 'RWQf.................................O3'
  refresh_delay = 168
  prefix = ''

## Optional, local, static list of additional servers
## Mostly useful for testing your own servers.

# [static]
#   [static.'google']
#   stamp = 'sdns://AgEAA..........................................bWVudGFs'

Запуск второй версии из /opt/etc/init.d

#!/bin/sh

PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
ENABLED=yes
PROCS=dnscrypt-proxy-2
ARGS="-config /opt/etc/dnscrypt-proxy.toml"
PREARGS=""
DESC=

. /opt/etc/init.d/rc.func

***************************

/opt/sbin # ls -l | grep dnscrypt
-rwxr-xr-x    1 root     root        158420 Mar  3 15:00 dnscrypt-proxy
-rwxr-xr-x    1 root     root       6663520 Jan 30 18:48 dnscrypt-proxy-2
/opt/sbin #

/opt/sbin # dnscrypt-proxy-2 -version
2.0.0beta12

/opt/sbin # dnscrypt-proxy --v
dnscrypt-proxy 1.9.5

Compilation date: Mar  3 2018
Support for plugins: present
...

/opt/sbin # ps | grep dnscrypt
  598 root      649m S    dnscrypt-proxy-2 -config /opt/etc/dnscrypt-proxy.toml
/opt/sbin # 

Он работает в паре с "dnsmasq" т.е. суть dnscrypt-proxy просто передать запрос на выбранные три сервера по конфигу.

В dnsmasq вызов сервиса dnscrypt-proxy

dnsmasq.conf

no-resolv
interface=br0
bind-interfaces
except-interface=lo
listen-address=192.168.1.100
server=127.0.0.2#60153
#### server=127.0.0.2#60053
cache-size=1500
#### all-servers

#resolv-file=/opt/etc/resolv-dnsmasq.conf
addn-hosts=/opt/tmp/hosts0.txt
addn-hosts=/opt/tmp/malware_adblock.txt
...

Ни каких пере направлений с помощью iptables не применял только "opkg dns-override" есть маленький минус так как для ЛОКАЛЬНЫХ СЕРВИСОВ роутера вызов DNS идет минуя "dnsmasq" (ping с роутера пойдет на прямую DNS провайдера, так как у меня лок.сервис это - обновление, синхронизация времени то не мешает у меня)

/ # netstat -ntulp | grep dns
tcp        0      0 127.0.0.2:60153         0.0.0.0:*               LISTEN      598/dnscrypt-proxy-2
tcp        0      0 192.168.1.100:53      0.0.0.0:*               LISTEN      595/dnsmasq
tcp        0      0 fe..............a8:53 :::*                    LISTEN      595/dnsmasq
udp        0      0 192.168.1.100:53      0.0.0.0:*                           595/dnsmasq
udp        0      0 127.0.0.2:60153         0.0.0.0:*                           598/dnscrypt-proxy-2
udp        0      0 fe..............a8:53 :::*                                595/dnsmasq
/ # 

Блокировку рекламы возложил на "dnsmasq".

[Ярослав Яхонтов]

18 minutes ago, vasek00 said:

Стоит родной из Entware который по моему был в тесте.

Отсюда если можно подробней) такое ощущение что я не ту версию Entware взял. Сейчас использую эту, до этого на ней год как работал на 1.9.5 и все было хорошо.
Подозреваю это какая то старая версия без каких то модулей ядра, у меня даже opkg find dns* показывает последнюю версию 1.9.5, поэтому и пришлось 2.0.8 руками с гитхаба тянуть. 

[vasek00]

9 минут назад, Ярослав Яхонтов сказал:

Отсюда если можно подробней) такое ощущение что я не ту версию Entware взял. Сейчас использую эту, до этого на ней год как работал на 1.9.5 и все было хорошо.
Подозреваю это какая то старая версия без каких то модулей ядра, у меня даже opkg find dns* показывает последнюю версию 1.9.5, поэтому и пришлось 2.0.8 руками с гитхаба тянуть. 

http://bin.entware.net/mipselsf-k3.4/test/

Поэтому у меня два релиза, второй который 2.х имеет вид (просто переименован)

dnscrypt-proxy-2

Edited April 7, 2018 by vasek00

[Ярослав Яхонтов]

56 minutes ago, vasek00 said:

http://bin.entware.net/mipselsf-k3.4/test/

Поэтому у меня два релиза, второй который 2.х имеет вид (просто переименован)

dnscrypt-proxy-2

у меня так же.
Взял эту версию, распаковал бинарник в /opt/bin как dnscrypt-proxy2, chmod 755, и тоже сегфолт при заруске руками.
Что то явно не хватает в ядре. Видимо придется ждать пока до stable канала дойдет.

[vasek00]

Поставил сейчас последнюю

dnscrypt-proxy2_2.0.8-1_mipsel-3.4.ipk 

по данному файлу -> сам установочный попадает в /opt/bin/dnscrypt-proxy2, переписал его в родное место /opt/sbin/dnscrypt-proxy2

подправил "APROCS=dnscrypt-proxy2" и все ОК

/opt/etc/init.d # ./S57dnscrypt-proxy stop
 Checking ...              alive. 
 Shutting down dnscrypt-proxy2...              done. 

/opt/etc/init.d # ./S57dnscrypt-proxy start
 Starting ...              done. 
/opt/etc/init.d # ps | grep dnscrypt
 6976 root      648m S    dnscrypt-proxy2 -config /opt/etc/dnscrypt-proxy.toml


[2018-04-07 21:34:08] [NOTICE] Stopped.
[2018-04-07 21:34:21] [NOTICE] Source [public-resolvers.md] loaded
[2018-04-07 21:34:21] [NOTICE] dnscrypt-proxy 2.0.8
[2018-04-07 21:34:21] [NOTICE] Now listening to 127.0.0.2:60153 [UDP]
[2018-04-07 21:34:21] [NOTICE] Now listening to 127.0.0.2:60153 [TCP]
[2018-04-07 21:34:21] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 17ms
[2018-04-07 21:34:21] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 61ms
[2018-04-07 21:34:21] [NOTICE] [yandex] OK (crypto v1) - rtt: 39ms
[2018-04-07 21:34:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 17ms)
[2018-04-07 21:34:21] [NOTICE] dnscrypt-proxy is ready - live servers: 3

 

Edited April 7, 2018 by vasek00

[Ярослав Яхонтов]

25 minutes ago, vasek00 said:

Поставил сейчас последнюю

dnscrypt-proxy2_2.0.8-1_mipsel-3.4.ipk 

по данному файлу -> сам установочный попадает в /opt/bin/dnscrypt-proxy2, переписал его в родное место /opt/sbin/dnscrypt-proxy2

подправил "APROCS=dnscrypt-proxy2" и все ОК

/opt/etc/init.d # ./S57dnscrypt-proxy stop
 Checking ...              alive. 
 Shutting down dnscrypt-proxy2...              done. 

/opt/etc/init.d # ./S57dnscrypt-proxy start
 Starting ...              done. 
/opt/etc/init.d # ps | grep dnscrypt
 6976 root      648m S    dnscrypt-proxy2 -config /opt/etc/dnscrypt-proxy.toml


[2018-04-07 21:34:08] [NOTICE] Stopped.
[2018-04-07 21:34:21] [NOTICE] Source [public-resolvers.md] loaded
[2018-04-07 21:34:21] [NOTICE] dnscrypt-proxy 2.0.8
[2018-04-07 21:34:21] [NOTICE] Now listening to 127.0.0.2:60153 [UDP]
[2018-04-07 21:34:21] [NOTICE] Now listening to 127.0.0.2:60153 [TCP]
[2018-04-07 21:34:21] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 17ms
[2018-04-07 21:34:21] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 61ms
[2018-04-07 21:34:21] [NOTICE] [yandex] OK (crypto v1) - rtt: 39ms
[2018-04-07 21:34:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 17ms)
[2018-04-07 21:34:21] [NOTICE] dnscrypt-proxy is ready - live servers: 3

Как то так, до скрипта в init.d я даже не дохожу.
 

/opt/sbin # dnscrypt-proxy --v
dnscrypt-proxy 1.9.5

Compilation date: Mar  3 2018
Support for plugins: present
Plugins root directory: [/opt/lib/dnscrypt-proxy/]
Support for ldns-based plugins: present
Support for the XChaCha20-Poly1305 cipher: present
/opt/sbin # dnscrypt-proxy2 -version
Segmentation fault
/opt/sbin #

 

 

[Ярослав Яхонтов]

2 hours ago, Ярослав Яхонтов said:

 

Вроде завел, но теперь при opkg dns-override не резолсятся хосты, если на 53 порт повесить, но может это из-за 4to6, спасибо за помощь, буду смотреть почему запросы не обрабатывает.

[vlad]

В 08.04.2018 в 00:26, Ярослав Яхонтов сказал:

Вроде завел, но теперь при opkg dns-override не резолсятся хосты, если на 53 порт повесить, но может это из-за 4to6, спасибо за помощь, буду смотреть почему запросы не обрабатывает.

Привет, у меня такая же проблема,нет резолва.4то6 не использую. Вам удалось решить проблему ?

[vlad]

Разобрался. 

[matperez]

Giga 3, прошивка 2.11.C.1.0-3

Поставил все по инструкции с первой страницы.

В доме несколько девайсов на Android, один под Windows и один под Ubuntu. Так вот из всех только Ubuntu работает как часы. Никаких особых настроек там не делал, настройки получает с роутера. Остальные не могут резолвить адреса при включенном перенаправлении портов (UDP53 -> 192.168.1.1:5353). В чем может быть дело?

 

[RanDooM]

При запуске dnscrypt-proxy2_2.0.11-1_mipsel-3.4 столкнулся с проблемой, не хочет скачивать файл public-resolvers.md, в системном журнале выдает ошибку:

Unable to use source [public-resolvers]: [Get https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md: x509: failed to load system roots and no roots provided] 

Файл с настройками dnscrypt-proxy.toml практически не трогал, этот сервер там забит по умолчанию. Куда копать?

[Александр Рыжов]

5 часов назад, RanDooM сказал:

x509: failed to load system roots and no roots provided

opkg install ca-bundle

Уже добавил в зависимости, бинарники выложим на неделе.

[T@rkus]

В 28.02.2017 в 14:43, Александр Рыжов сказал:

 

 

@Александр Рыжов ,а в новом вэб как подобное правило создать?

[BiGFooT_83]

Добрый день!

Пользовался данным OPKG приложением на Keenetic Giga III с версией прошивки 2.11. В виду необходимости решения специфичной задачи была установлена отладочная прошивка 2.12.6.

С данной версией приложение не работает. Пробовал заново разместить установочный файл в папку install на флешке, после выбора в разделе OPKG интерфейса приложение вроде установилось - появились такие же папки и файлы что были ранее в 2.11.

После добавления правила переадресации - ничего не заработало как ранее. Кто-нибудь сталкивался с данной проблемой?

[zyxmon]

44 минуты назад, BiGFooT_83 сказал:

Кто-нибудь сталкивался с данной проблемой?

http://obninsk.name/tele/

[BiGFooT_83]

17 минут назад, zyxmon сказал:

http://obninsk.name/tele/

Милсдарь, рассмешили от души!

Но ввиду того что понятия не имею, что Вам нужно для более подробного описания проблемы, советую быть более дружелюбным к людям раз Вы предлагаете помощь.

[zyxmon]

1 минуту назад, BiGFooT_83 сказал:

что Вам нужно для более подробного описания проблемы

Да хоть что. Нет же ничего, кроме слов "не работает" и "вроде". Даже не ясно о каком приложении речь.

Как правильно задавать вопросы

Вот общие правила.

[BiGFooT_83]

3 минуты назад, zyxmon сказал:

Даже не ясно о каком приложении речь.

Я пишу вопрос в конкретной теме по конкретному приложению у которого даже в заголовке названия нет, кроме темы easy-to-use Защита DNS от Александра Рыжова. Если на данном форуме в конкретных темах по конкретным приложениям обсуждается все что угодно кроме приложения, извините, не знал. Сама тема тоже вроде подразумевает, что данное приложение легко устанавливается и не требует лезть в консоль, чтобы что-то получить или каких-то углубленных знаний.

В версии прошивки роутера Keenetic Giga III 2.11 все работало как описано в топике, т.е. без проблем. После установки версии прошивки 2.12.6 и выполнения тех же действий, что описаны в руководстве - не работает. При проверке через сайты www.dnsleak.com и www.dnsleaktest.com определяются все прописанные в роутере DNS. "Вроде" потому что содержимое файлов не сравнивал, которые появляются в процессе установки, но по названиям все также как было и при версии прошивки роутера 2.11. Какую еще дополнительную информацию и откуда необходимо предоставить?

[Александр К]

Здравствуйте. Подскажите пожалуйста, этот способ еще работает? Вроде бы все сделал по инструкции, но все равно работает через днс яндекса.

[ankar84]

6 часов назад, Александр К сказал:

Вроде бы все сделал по инструкции, но все равно работает через днс яндекса.

Подскажите, что у вас прописано в настройках DNS на клиенте? Может быть явно сервер Яндекса и прописан вручную?

А то исходя из представленных скриншотов у вас запросы должны на DNS Гугла уходить (8.8.8.8)

Edited September 27, 2018 by ankar84

[Александр К]

3 часа назад, ankar84 сказал:

Подскажите, что у вас прописано в настройках DNS на клиенте? Может быть явно сервер Яндекса и прописан вручную?

А то исходя из представленных скриншотов у вас запросы должны на DNS Гугла уходить (8.8.8.8)

В винде стоят настройки - получать днс автоматически. В роуторе прописаны днс гугла. https://help.keenetic.com/hc/ru/articles/213966649-Использование-публичных-DNS-серверов-в-интернет-центре - убирал днс от дом.ру по этой инструкции.

[keenet07]

В 28.02.2017 в 18:43, Александр Рыжов сказал:

Разрешите использование opkg, выберите ваш USB-носитель в выпадающем списке на этой странице и нажмите кн.«Применить»,

Это что за my.keenetic.net находящийся в Германии по вашей ссылке?

[r13]

1 час назад, keenet07 сказал:

Это что за my.keenetic.net находящийся в Германии по вашей ссылке?

Он не  только в Германии, но и в каждом кинетике

Edited December 11, 2018 by r13

[keenet07]

2 минуты назад, r13 сказал:

Он не  только в германии но и в каждом кинетике

Как это работает? У меня открылась https страница с кучей цифр и букв вначале и доменом .keenetic.io И в ней стандартная морда входа в кинетик с просьбой залогиниться. Трассировка уходит в германию. Как через эту штуку я попал бы в своё устройство?

[r13]

11 минуту назад, keenet07 сказал:

Как это работает? У меня открылась https страница с кучей цифр и букв вначале и доменом .keenetic.io И в ней стандартная морда входа в кинетик с просьбой залогиниться. Трассировка уходит в германию. Как через эту штуку я попал бы в своё устройство?

в кинетиках идет редирект с общего my.keenetic.net на io домен уникальный для каждого кинетика(на который получается сертификат для работы по https). на кинелике есть loopback интерфейс с тем же ip что и в Германии, так что трейс из-за кинетика уходить не должен. 

Edited December 12, 2018 by r13

[keenet07]

1 минуту назад, r13 сказал:

в кинетиках идет редирект с общего my.keenetic.net на io домен уникальный для каждого кинетика. на кинелике есть loopback интерфейс с тем же ip что и в Германии, так что трейс изза кинетика уходить не должен. 

Да. Ошибся. Трассировка 1 хоп. А адрес пишет внешний интернетовский. Т.е. всё остается внутри устройства. Немного не понял только для чего этот хитрый адрес в домене io, если он мог бы просто внутри себя редиректить на свой локальный адрес?