Jump to content

Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.


Recommended Posts

Маленькая ремарка по поводу памяти :

1. На KII отлично работает

2. Тут уже выкладывалось по его потреблению памяти

Скрытый текст

/proc/604 # cat status
Name:   dnscrypt-proxy2
State:  S (sleeping)
Tgid:   604
Pid:    604
PPid:   1
TracerPid:      0
Uid:    0       0       0       0
Gid:    0       0       0       0
FDSize: 32
Groups:
VmPeak:   665264 kB
VmSize:   665264 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:      7928 kB
VmRSS:      5920 kB
VmData:   658208 kB
VmStk:       136 kB
VmExe:      4028 kB
VmLib:         0 kB
VmPTE:        32 kB
VmSwap:        0 kB
Threads:        11
....

Cpus_allowed:   3
Cpus_allowed_list:      0-1
voluntary_ctxt_switches:        17
nonvoluntary_ctxt_switches:     108
/proc/604 #

VmPeak пиковое значение использования виртуальной памяти, основным показателем тут будет
VmLck:         0 kB
VmRSS:      5920 kB
VmStk:       136 kB

/ # cat /proc/meminfo
MemTotal:         126180 kB
MemFree:           21212 kB
Buffers:           13540 kB
Cached:            51040 kB
SwapCached:            0 kB
Active:            27976 kB
Inactive:          53424 kB
Active(anon):      16884 kB
Inactive(anon):      148 kB
Active(file):      11092 kB
Inactive(file):    53276 kB
Unevictable:           0 kB
Mlocked:               0 kB
SwapTotal:             0 kB
SwapFree:              0 kB
Dirty:                 0 kB
Writeback:             0 kB
AnonPages:         16908 kB
Mapped:            18460 kB
Shmem:               212 kB
Slab:              14016 kB
SReclaimable:       3332 kB
SUnreclaim:        10684 kB
KernelStack:         768 kB
PageTables:          492 kB
NFS_Unstable:          0 kB
Bounce:                0 kB
WritebackTmp:          0 kB
CommitLimit:       63088 kB
Committed_AS:      52076 kB
VmallocTotal:    1048372 kB
VmallocUsed:        2784 kB
VmallocChunk:    1017364 kB
/ #

или по проще

Mem: 104960K used, 21220K free, 212K shrd, 13544K buff, 51040K cached
CPU:  0.0% usr  4.7% sys  0.0% nic 95.2% idle  0.0% io  0.0% irq  0.0% sirq
Load average: 0.00 0.02 0.00 1/96 2680
  PID  PPID USER     STAT   VSZ %VSZ CPU %CPU COMMAND
  ...
  596     1 root     S     649m525.8   0  0.0 dnscrypt-proxy2 -config /opt/etc/dnscrypt-proxy.toml

или еще проще по монитору WEB
Память 35% (45/128 Мб)

3.

Цитата

Так же прошу обратить внимание, большинство серверов проекта OpenNIC с поддержкой dnscrypt находятся в Европе и Америке, так что моментальных ответов ждать не приходится. У меня самый быстрый сервер дает около 100 мс, и на том спасибо.

с поддержкой dnscryprt-proxy2 есть и более быстрые сервера, чем же так важен OpenNic только лишь

Цитата

А вот  тут используя именно эти серверы получаем один замечательный бонус - разрешение EmerCoin доменных имен типа *.lib

и жертвуем быстродействием в другом, где запросов по DNS со страниц при просмотрах достаточно.

4.

Цитата

Вообще его можно не менять, но мне захотелось поставить популярный ныне CloudFlare DNS с его красивым адресом.

Чем же он так популярен, говорят по скорости но никто из пользователей не подтвердил реальность его быстродействия проверив его например через DNSBench (предварительно прописав два адреса CloudFlarе серверов)

Скрытый текст

192.168.130.100 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  + Cached Name   | 0,000 | 0,000 | 0,000 | 0,000 | 100,0 |
  + Uncached Name | 0,031 | 0,139 | 0,346 | 0,081 | 100,0 |
  + DotCom Lookup | 0,025 | 0,078 | 0,111 | 0,029 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                         My-Keen

    8.  8.  8.  8 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,020 | 0,021 | 0,021 | 0,000 | 100,0 |
  - Uncached Name | 0,037 | 0,107 | 0,375 | 0,091 | 100,0 |
  - DotCom Lookup | 0,046 | 0,053 | 0,077 | 0,009 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-a.google.com

    8.  8.  4.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,021 | 0,021 | 0,021 | 0,000 | 100,0 |
  - Uncached Name | 0,037 | 0,113 | 0,452 | 0,094 | 100,0 |
  - DotCom Lookup | 0,046 | 0,056 | 0,077 | 0,012 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-b.google.com

...

  208. 67.222.123 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,040 | 0,040 | 0,041 | 0,000 | 100,0 |
  - Uncached Name | 0,042 | 0,151 | 0,576 | 0,147 | 100,0 |
  - DotCom Lookup | 0,071 | 0,111 | 0,191 | 0,055 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                resolver1-fs.opendns.com
  
  208. 67.220.123 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,041 | 0,041 | 0,041 | 0,000 | 100,0 |
  - Uncached Name | 0,043 | 0,148 | 0,594 | 0,148 | 100,0 |
  - DotCom Lookup | 0,072 | 0,123 | 0,222 | 0,059 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                resolver2-fs.opendns.com
  

  208. 67.220.220 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,046 | 0,048 | 0,049 | 0,001 | 100,0 |
  - Uncached Name | 0,053 | 0,159 | 0,586 | 0,147 | 100,0 |
  - DotCom Lookup | 0,077 | 0,106 | 0,199 | 0,049 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                  resolver2.opendns.com

    4.  2.  2.  6 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,050 | 0,050 | 0,051 | 0,000 | 100,0 |
  - Uncached Name | 1,265 | 1,265 | 1,265 | 0,000 |   9,5 |
  - DotCom Lookup | 2,355 | 2,355 | 2,355 | 0,000 |  50,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                 f.resolvers.level3.net

    1.  0.  0.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,043 | 0,051 | 0,053 | 0,004 | 100,0 |
  - Uncached Name | 0,052 | 0,099 | 0,299 | 0,065 | 100,0 |
  - DotCom Lookup | 0,063 | 0,084 | 0,196 | 0,037 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
            1dot1dot1dot1.cloudflare-dns.com

  208. 67.222.220 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,046 | 0,054 | 0,056 | 0,004 | 100,0 |
  - Uncached Name | 0,057 | 0,170 | 0,593 | 0,158 | 100,0 |
  - DotCom Lookup | 0,078 | 0,170 | 0,280 | 0,059 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                  resolver3.opendns.com

    1.  1.  1.  1 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,059 | 0,059 | 0,059 | 0,000 | 100,0 |
  - Uncached Name | 0,060 | 0,096 | 0,308 | 0,066 | 100,0 |
  - DotCom Lookup | 0,060 | 0,060 | 0,061 | 0,000 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
            1dot1dot1dot1.cloudflare-dns.com

    4.  2.  2.  4 |  Min  |  Avg  |  Max  |Std.Dev|Reliab%|
  ----------------+-------+-------+-------+-------+-------+
  - Cached Name   | 0,059 | 0,059 | 0,059 | 0,000 | 100,0 |
  - Uncached Name | 1,271 | 1,271 | 1,271 | 0,000 |   9,5 |
  - DotCom Lookup | 2,558 | 2,558 | 2,558 | 0,000 | 100,0 |
  ---<-------->---+-------+-------+-------+-------+-------+
                 d.resolvers.level3.net

...

 

  • Upvote 1
Link to comment
Share on other sites

22 минуты назад, vasek00 сказал:

или еще проще по монитору WEB
Память 35% (45/128 Мб)

С моим листом в около 2 Мб потребление RAM побольше. На текущий момент смотрю - 35% (90/256 Мб)

25 минут назад, vasek00 сказал:

и жертвуем быстродействием в другом, где запросов по DNS со страниц при просмотрах достаточно

Все верно, именно поэтому и увеличил размер кэша.

Домашние в основном в инстаграмчиках сидят и прочих тайм-киллерах, так что их адреса один раз полученные с задержкой в 100 мс из кэша не исчезают (я надеюсь).

27 минут назад, vasek00 сказал:

Чем же он так популярен, говорят по скорости но никто из пользователей не подтвердил реальность его быстродействия проверив его например через DNSBench (предварительно прописав два адреса CloudFlarе серверов)

Лично я не писал, что он самый быстрый. А то, что он последние пару месяцев популярный, имхо, с этим сложно спорить. Проект только запустили, об этом трубили многие профильные и не очень издания, красивый адрес опять же.

Но тут суть вообще в том, что fallback_resolver используется при очень определенных условиях и не слишком часто, а именно только для разрешения адреса со списком dnscrypt серверов в случае, если системный резолвер не доступен или отключен. Так что можно оставить сервер Quad9 DNS.

  • Upvote 1
Link to comment
Share on other sites

По поводу исчезания кеша, например данные в dnscrypt по умолчанию

Цитата

cache_size = 1500
cache_min_ttl = 600
cache_max_ttl = 86400
cache_neg_ttl = 60

Ну с популярностью тут трудно поспорить это наверное как кол-во "лайков" например на youtube, а так еще для оценки "заграничных" список их например можно взять из dnscrypt-resolvers.csv или из другого списка.

https://www.dnsperf.com/dns-speed-benchmark?id=43d3ff9b86041d41d8148fd99cdf394f

 

dnsperf-yandex.jpg

dnsperf-crypto.jpg

dnsperf-adguard.jpg

dnsperf-opendns.jpg

  • Upvote 2
Link to comment
Share on other sites

поставил на ультру-2. а оно не стартует :

root@router:/opt/etc# /opt/etc/init.d/S09dnscrypt-proxy2 check
 Checking dnscrypt-proxy...              dead.

лога тоже нет.

он вообще рабочий ?

Edited by vladrnd
Link to comment
Share on other sites

46 минут назад, vladrnd сказал:

поставил на ультру-2. а оно не стартует :

root@router:/opt/etc# /opt/etc/init.d/S09dnscrypt-proxy2 check
 Checking dnscrypt-proxy...              dead.

лога тоже нет.

он вообще рабочий ?

Проверьте скрипт запуска S09dnscrypt-proxy2 по содержимому, т.е. аргумент запуска и наличия файла для запуска.

Например /opt/etc/init.d/S57dnscrypt-proxy

PROCS=dnscrypt-proxy2
ARGS="-config /opt/etc/dnscrypt-proxy.toml"

/opt/sbin # ls -l | grep dnscrypt
-rwxr-xr-x    1 root     root        158420 Mar  3 15:00 dnscrypt-proxy
-rwxr-xr-x    1 root     root       6663520 Jan 30 18:48 dnscrypt-proxy-2
-rwxr-xr-x    1 root     root       7126368 Mar 22 22:48 dnscrypt-proxy2
/opt/sbin #

 

Link to comment
Share on other sites

7 минут назад, vasek00 сказал:

Проверьте скрипт запуска S09dnscrypt-proxy2 по содержимому, т.е. аргумент запуска и наличия файла для запуска.


Например /opt/etc/init.d/S57dnscrypt-proxy

PROCS=dnscrypt-proxy2
ARGS="-config /opt/etc/dnscrypt-proxy.toml"

/opt/sbin # ls -l | grep dnscrypt
-rwxr-xr-x    1 root     root        158420 Mar  3 15:00 dnscrypt-proxy
-rwxr-xr-x    1 root     root       6663520 Jan 30 18:48 dnscrypt-proxy-2
-rwxr-xr-x    1 root     root       7126368 Mar 22 22:48 dnscrypt-proxy2
/opt/sbin #

 

да нормально все с правами

ENABLED=yes
PROCS=dnscrypt-proxy
ARGS="-config /opt/etc/dnscrypt-proxy.toml"
PREARGS=""
DESC=$PROCS
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/init.d/rc.func
 

-rwxr-xr-x    1 root     root           236 Jun  8 13:23 S09dnscrypt-proxy2

-rw-------    1 root     root         14234 Jun  7 17:38 dnscrypt-proxy.toml
 

Link to comment
Share on other sites

Ну осталось проверить наличие данного фала

/opt/sbin # ls -l | grep dnscrypt
-rwxr-xr-x    1 root     root        158420 Mar  3 15:00 dnscrypt-proxy

Только что обновился до 2.0.14

Скрытый текст

[2018-06-06 16:13:18] [NOTICE] Source [public-resolvers.md] loaded
[2018-06-06 16:13:21] [NOTICE] dnscrypt-proxy 2.0.14
[2018-06-06 16:13:21] [NOTICE] Now listening to 127.0.0.2:60553 [UDP]
[2018-06-06 16:13:23] [NOTICE] Now listening to 127.0.0.2:60553 [TCP]
[2018-06-06 16:13:25] [NOTICE] [yandex] OK (crypto v1) - rtt: 38ms
[2018-06-06 16:13:25] [NOTICE] Server with the lowest initial latency: yandex (rtt: 38ms)
[2018-06-06 16:13:25] [NOTICE] dnscrypt-proxy is ready - live servers: 1
[2018-06-08 13:25:50] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 21ms
[2018-06-08 13:25:51] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 68ms
[2018-06-08 13:25:51] [NOTICE] Server with the lowest initial latency: yandex (rtt: 18ms)

/ # cd /opt/sbin
/opt/sbin # ls -l | grep dnscrypt
-rwxr-xr-x    1 root     root       7640448 Jun  1 10:08 dnscrypt-proxy
-rwxr-xr-x    1 root     root       6663520 Jan 30 18:48 dnscrypt-proxy-2
-rwxr-xr-x    1 root     root       7126368 Mar 22 22:48 dnscrypt-proxy2
/opt/sbin #

 

Link to comment
Share on other sites

3 минуты назад, vasek00 сказал:

Ну осталось проверить наличие данного фала


/opt/sbin # ls -l | grep dnscrypt
-rwxr-xr-x    1 root     root        158420 Mar  3 15:00 dnscrypt-proxy

Только что обновился до 2.0.14

  Скрыть содержимое

[2018-06-06 16:13:18] [NOTICE] Source [public-resolvers.md] loaded
[2018-06-06 16:13:21] [NOTICE] dnscrypt-proxy 2.0.14
[2018-06-06 16:13:21] [NOTICE] Now listening to 127.0.0.2:60553 [UDP]
[2018-06-06 16:13:23] [NOTICE] Now listening to 127.0.0.2:60553 [TCP]
[2018-06-06 16:13:25] [NOTICE] [yandex] OK (crypto v1) - rtt: 38ms
[2018-06-06 16:13:25] [NOTICE] Server with the lowest initial latency: yandex (rtt: 38ms)
[2018-06-06 16:13:25] [NOTICE] dnscrypt-proxy is ready - live servers: 1
[2018-06-08 13:25:50] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 21ms
[2018-06-08 13:25:51] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 68ms
[2018-06-08 13:25:51] [NOTICE] Server with the lowest initial latency: yandex (rtt: 18ms)

/ # cd /opt/sbin
/opt/sbin # ls -l | grep dnscrypt
-rwxr-xr-x    1 root     root       7640448 Jun  1 10:08 dnscrypt-proxy
-rwxr-xr-x    1 root     root       6663520 Jan 30 18:48 dnscrypt-proxy-2
-rwxr-xr-x    1 root     root       7126368 Mar 22 22:48 dnscrypt-proxy2
/opt/sbin #

 

root@router:/opt/sbin# ls -l | grep dnscrypt
-rwxr-xr-x    1 root     root       7640448 Jun  1 10:08 dnscrypt-proxy


 
Edited by vladrnd
Link to comment
Share on other sites

1 минуту назад, vladrnd сказал:

но у меня нет такого в /opt/etc файла. я ставил только пакет  dnscrypt-proxy2

Ну вообще то он в

/opt/sbin # ls -l | grep dnscrypt
Link to comment
Share on other sites

5 минут назад, vasek00 сказал:

Ну вообще то он в


/opt/sbin # ls -l | grep dnscrypt

норма. ответ выше.

подправил

root@router:/opt/sbin# ./dnscrypt-proxy -config /opt/etc/dnscrypt-proxy.toml
[2018-06-08 13:38:27] [FATAL] Near line 106 (last key parsed 'log_file'): strings cannot contain newlines
 

заупстилось!

Edited by vladrnd
Link to comment
Share on other sites

Только что, vladrnd сказал:

норма. ответ выше.

Проверка запуска в ручную

dnscrypt-proxy -config /opt/etc/dnscrypt-proxy.toml

и проверка/редактирование файла "dnscrypt-proxy.toml" в части ведения лога

Цитата

Например

## Log level (0-6, default: 2 - 0 is very verbose, 6 only contains fatal errors)
log_level = 2
log_file = '/opt/tmp/dnscrypt-proxy.log'

 

  • Upvote 2
Link to comment
Share on other sites

ну вот как-то он периодически отвечает не по мужски, через раз ... вторичный DNS ответил, первичный (dnsproxy2) проскочил запрос.

admin@DiskStation1:~$ nslookup t.me
Server:         8.8.4.4
Address:        8.8.4.4#53

Non-authoritative answer:
Name:   t.me
Address: 5.3.3.17

admin@DiskStation1:~$ nslookup t.me
Server:         192.168.1.1
Address:        192.168.1.1#53

Non-authoritative answer:
Name:   t.me
Address: 149.154.167.99
 

Link to comment
Share on other sites

Вот некоторые результаты по скорости работе серверов

Скрытый текст

[2018-06-08 14:56:14] [NOTICE] Source [public-resolvers.md] loaded
[2018-06-08 14:56:14] [NOTICE] dnscrypt-proxy 2.0.14
[2018-06-08 14:56:14] [NOTICE] Now listening to 127.0.0.2:60053 [UDP]
[2018-06-08 14:56:14] [NOTICE] Now listening to 127.0.0.2:60053 [TCP]
[2018-06-08 14:56:14] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 21ms
[2018-06-08 14:56:16] [NOTICE] [cloudflare] OK (DoH) - rtt: 49ms
[2018-06-08 14:56:16] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 61ms
[2018-06-08 14:56:16] [NOTICE] [yandex] OK (crypto v1) - rtt: 18ms
[2018-06-08 14:56:16] [NOTICE] Server with the lowest initial latency: yandex (rtt: 18ms)
[2018-06-08 14:56:16] [NOTICE] dnscrypt-proxy is ready - live servers: 4

текущая настройка toml

Скрытый текст

server_names = ['cloudflare', 'cs-fi', 'adguard-dns', 'yandex']
listen_addresses = ['127.0.0.2:60053']
max_clients = 250

ipv4_servers = true

ipv6_servers = false

dnscrypt_servers = true

doh_servers = true

require_dnssec = false

require_nolog = true

require_nofilter = true

force_tcp = false

timeout = 2500

keepalive = 30

## Load-balancing strategy: 'p2' (default), 'ph', 'fastest' or 'random'
# lb_strategy = 'p2'

## Log level (0-6, default: 2 - 0 is very verbose, 6 only contains fatal errors)
log_level = 2
log_file = '/opt/tmp/dnscrypt-proxy.log'

## Use the system logger (syslog on Unix, Event Log on Windows)
# use_syslog = true

cert_refresh_delay = 60

fallback_resolver = "8.8.8.8:53"

ignore_system_dns = false

## netprobe_timeout = 30

log_files_max_size = 5

log_files_max_age = 3

log_files_max_backups = 1

block_ipv6 = false

# forwarding_rules = 'forwarding-rules.txt'

cache = true
cache_size = 1500
cache_min_ttl = 600
cache_max_ttl = 86400
cache_neg_ttl = 60
cache_neg_max_ttl = 600

[query_log]
file = '/opt/tmp/query.log'

format = 'tsv'

# ignored_qtypes = ['DNSKEY', 'NS']

[nx_log]
# file = 'nx.log'

format = 'tsv'

[blacklist]

# blacklist_file = 'blacklist.txt'

# log_file = 'blocked.log'

# log_format = 'tsv'

[ip_blacklist]

# blacklist_file = 'ip-blacklist.txt'

# log_file = 'ip-blocked.log'

# log_format = 'tsv'

 [whitelist]

# whitelist_file = 'whitelist.txt'

# log_file = 'whitelisted.log'

# log_format = 'tsv'

## {after='21:00', before= '7:00'} matches 0:00-7:00 and 21:00-0:00

## {after= '9:00', before='18:00'} matches 9:00-18:00

[schedules]

  # [schedules.'time-to-sleep']
  # mon = [{after='21:00', before='7:00'}]
  # tue = [{after='21:00', before='7:00'}]
  # wed = [{after='21:00', before='7:00'}]
  # thu = [{after='21:00', before='7:00'}]
  # fri = [{after='23:00', before='7:00'}]
  # sat = [{after='23:00', before='7:00'}]
  # sun = [{after='21:00', before='7:00'}]

  # [schedules.'work']
  # mon = [{after='9:00', before='18:00'}]
  # tue = [{after='9:00', before='18:00'}]
  # wed = [{after='9:00', before='18:00'}]
  # thu = [{after='9:00', before='18:00'}]
  # fri = [{after='9:00', before='17:00'}]

[sources]

[sources.'public-resolvers']
  urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/public-resolvers.md', 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md']
  cache_file = 'public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

[static]

[static.'cloudflare']

#Cloudflare DNS (anycast) - aka 1.1.1.1 / 1.0.0.1
stamp = 'sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk'

[static.'cloudflare-ipv6']
## Cloudflare DNS over IPv6 (anycast)
stamp = 'sdns://AgcAAAAAAAAAGVsyNjA2OjQ3MDA6NDcwMDo6MTExMV06NTOgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk'

ИТАК быстродействие по ответу серверов с 05/06/2018-08/06/2018 как видно ниже плавает.

[adguard-dns] OK (crypto v1) - rtt: 15ms - 21ms - 26ms
[cloudflare] OK (DoH) - rtt: 49ms - 50ms
[cs-fi] OK (crypto v1) - rtt: 59ms - 61ms - 71ms
[yandex] OK (crypto v1) - rtt: 18ms - 22ms - 23ms - 57ms

  • Upvote 2
Link to comment
Share on other sites

55 минут назад, vladrnd сказал:

ну вот как-то он периодически отвечает не по мужски, через раз ... вторичный DNS ответил, первичный (dnsproxy2) проскочил запрос.

родной отключен, и первичный, вторичный и третичный все через dnsproxy

Скрытый текст

/ # nslookup t.me
Server:    192.168.1.100
Address 1: 192.168.1.100 Keen

Name:      t.me
Address 1: 149.154.167.99
Address 2: 2001:67c:4e8:fa60:3:0:811:138
/ # nslookup lenta.ru
Server:    192.168.1.100
Address 1: 192.168.1.100 Keen

Name:      lenta.ru
Address 1: 81.19.72.35 lenta.ru
Address 2: 81.19.72.34 lenta.ru
Address 3: 81.19.72.39 lenta.ru
Address 4: 81.19.72.36 lenta.ru
Address 5: 81.19.72.38 lenta.ru
Address 6: 81.19.72.37 lenta.ru
/ # nslookup mail.ru
Server:    192.168.1.100
Address 1: 192.168.1.100 My-Keen

Name:      mail.ru
Address 1: 217.69.139.200 mail.ru
Address 2: 217.69.139.201 mail.ru
Address 3: 94.100.180.201 mail.ru
Address 4: 94.100.180.200
Address 5: 2a00:1148:db00:0:b0b0::1 mail.ru
/ #

 

Link to comment
Share on other sites

07.06.2018 22:59  Cloudflare ввёл в строй DNS-резолвер в форме скрытого сервиса Tor

Компания Cloudflare продолжила развитие своего публичного DNS-сервера 1.1.1.1 и для тех кто не хочет раскрывать свой IP-адрес при обращении к DNS ввела в строй DNS-резолвер, реализованный в виде скрытого сервиса Tor. Компания также напомнила, что для DNS-сервера 1.1.1.1, а также сопутствующих сервисов "DNS over HTTPS" и "DNS over TLS", действует правило, в соответствии с которым IP-адреса клиентов не записываются на диск и все логи полностью удаляются каждые 24 часа.

До сих пор для пользователей Tor было доступно два метода резолвинга IP-адресов - использование DNS-сервера провайдера и использование резолвера выходного узла Tor. В первом случае DNS-резолвер получает информацию о клиентском IP, а провайдер, если не применяется DNS-over-HTTPS или DNS-over-TLS, получает сведения об определяемом имени хоста. Во втором случае возникает опасность манипуляции с DNS нечистыми на руку владельцами выходных узлов.

Cloudflare предложил свой вариант решения - реализацию DNS-резолвера в виде скрытого сервиса, который перенаправляет все обращения к DNS на сервер 1.1.1.1, благодаря применению Tor сохраняя полную анонимность пользователя. Для быстрого проброса на onion-адрес dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion запущен специальный домен tor.cloudflare-dns.com.

https://www.opennet.ru/opennews/art.shtml?num=48733

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

19 часов назад, vladrnd сказал:

ну вот как-то он периодически отвечает не по мужски, через раз ... вторичный DNS ответил, первичный (dnsproxy2) проскочил запрос.

Предлагаю ознакомиться с темой, возможно там есть ответ на ваш запрос:

От себя добавлю (хотя это есть в моем первом посте) - рекомендую использовать dnscrypt-proxy2 как единственный DNS сервер на роутере и дать ему выбирать самый быстрый из серверов из предложенных ему вами. Именно так поступает, насколько я понял, @vasek00

 

 

Link to comment
Share on other sites

Цитата

Именно так поступает, насколько я понял

Вопрос зачем иметь альтернативный провайдерский DNS :

1. если не работает один из DNSCrypt то есть другой из списка  "server_names = ['cloudflare', 'cs-fi', 'adguard-dns', 'yandex'] "

2. если нет интернета то и провайдерский не поможет

В итоге

Скрытый текст

[2018-06-08 14:56:14] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 21ms
[2018-06-08 14:56:16] [NOTICE] [cloudflare] OK (DoH) - rtt: 49ms
[2018-06-08 14:56:16] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 61ms
[2018-06-08 14:56:16] [NOTICE] [yandex] OK (crypto v1) - rtt: 18ms
[2018-06-08 14:56:16] [NOTICE] Server with the lowest initial latency: yandex (rtt: 18ms)
[2018-06-08 14:56:16] [NOTICE] dnscrypt-proxy is ready - live servers: 4
[2018-06-08 15:56:19] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-08 16:56:21] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-08 17:56:23] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms)
[2018-06-08 18:56:27] [NOTICE] [yandex] TIMEOUT
[2018-06-08 18:56:27] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-08 19:56:29] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-08 20:56:32] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-08 21:56:34] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-08 22:56:36] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 31ms)
[2018-06-08 23:56:39] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms)
[2018-06-09 00:56:41] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 20ms)
[2018-06-09 01:56:43] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-09 02:56:45] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-09 03:56:47] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-09 04:56:49] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-09 05:56:51] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 26ms)
[2018-06-09 06:56:53] [NOTICE] Server with the lowest initial latency: yandex (rtt: 22ms)
[2018-06-09 07:56:53] [NOTICE] Server with the lowest initial latency: yandex (rtt: 25ms)
[2018-06-09 08:56:55] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
....

как видно выше стоит проверка через 60мин и как перепрыгивает с одного на другой.

 

Link to comment
Share on other sites

Инструкция рабочая, только раз уж автор начал про про чёрный список и "Я свой файл получаю скриптом автора dnscrypt-proxy", её следовало бы дополнить командами установки питона и скачивания с гитхаба подкаталога, где живёт этот скрипт. Можно и без них - ошибки при лобовом следовании инструкции выдаются вполне понятные - но уровень сложности получается неравномерным: начало для совсем чайников, а продолжение - уже для умеющих читать чайников.

И предупредить, что после некоторых команд cli параллельно открытая ssh-сессия отвалится, тоже бы не помешало.

  • Thanks 1
Link to comment
Share on other sites

Два дня бился пытаясь запустить dnscrypt-proxy2 на Ultra. Он банально не стартует (точнее по ssh команду на старт как бы отрабатывает, но по факту не стартует). Соответственно лог не создаётся. Но через вэб-интерфейс entware заглянул в файловый менеджер и там увидел от dnscrypt-proxy следующее:

"Содержимое файла /opt/sbin/dnscrypt-proxy

<br />
<b>Fatal error</b>:  Allowed memory size of 8388608 bytes exhausted (tried to allocate 7648664 bytes) in <b>/opt/share/www/addons/filemgr.php</b> on line <b>1006</b><br /> "

Что можно предпринять?

 

 

Edited by SigmaPlus
Link to comment
Share on other sites

Большое спасибо за инструкцию.

Проблему с неполной инструкцией по блеклисту решил методом тыка. Возможно неправильно, но главное работает :D

В этой команде как я понял интерфейс нужно заменить на свой

interface ISP no ip dhcp client name-servers

в моем случае Yota0 единственный источник интернета на данном роутере (4G USB модем).

Только вот после ввода команды разрешение имен работает везде, кроме самого роутера. Например, на клиентах все ОК, а роутер не может соединиться даже с сервером обновлений. Я не шарю в настройках сетей, но возможно причина тому - блокировка fallback_dns, который шлет запросы без шифрования, а йота в свою очередь блокирует не шифрованные запросы/DNS. Как мне поступить в таком случае?

в логах dnscrypt: [2018-06-16 14:53:11] [ERROR] dial udp 8.8.8.8:53: connect: network is unreachable (это fallback dns)

Edited by Вежливый Снайпер
Link to comment
Share on other sites

3 часа назад, Вежливый Снайпер сказал:

Только вот после ввода команды разрешение имен работает везде, кроме самого роутера. Например, на клиентах все ОК, а роутер не может соединиться даже с сервером обновлений. Я не шарю в настройках сетей, но возможно причина тому - блокировка fallback_dns, который шлет запросы без шифрования, а йота в свою очередь блокирует не шифрованные запросы/DNS. Как мне поступить в таком случае?

Тоже столкнулся с данной проблемой. При прописывании данной команды работает все, но роутер не может обновить пакеты.

В 08.06.2018 в 12:23, vladrnd сказал:

 Checking dnscrypt-proxy...              dead.

По поводу этой проблемы, тоже пол дня бился, и права проверял и все остальное, оказалось проблема в том, что мануал написан под использование IPv6, у меня же он не работает и я его не включал, поэтому в параметре:

В 05.06.2018 в 19:33, ankar84 сказал:

listen_addresses = ['192.168.1.1:53', '[::1]:53']

надо убрать [::1]:53 (т.к. это под IPv6) и тогда пакет не будет "умирать" и все будет работать нормально.

P.S. А вообще есть способ проверить работает ли dnscrypt или нет?

Link to comment
Share on other sites

3 часа назад, Boomer сказал:

P.S. А вообще есть способ проверить работает ли dnscrypt или нет?

Берете захват пакетов для анализа, данные для это берете из логов dnscrypt-proxy или в других местах. Найдя IP сервера которые используете из строки "server_names" ишите запросы UDP

типа от роутера

User Datagram Protocol, Src Port: 46287, Dst Port: 15353
Data (512 bytes)
    Data: 90e3ce87d09521ad9f2ebda3b32e9d1243e0ed2856beca8c...
    [Length: 512]

и ответ к роутеру

User Datagram Protocol, Src Port: 15353, Dst Port: 46287
Data (365 bytes)
    Data: 7236666e76576a38f7da7e5baaef2815769d9efd1528efaa...
    [Length: 365]

 

Цитата

Тоже столкнулся с данной проблемой. При прописывании данной команды работает все, но роутер не может обновить пакеты.

Без проблем все работает при описанном ниже, попробуйте через WEB прописать лок.IP своего роутера в "Интернет-прочие-Сервера DNS"

Скрытый текст

На самом роутере на котором dnscrypt, опишу свою связку dnsmasq+dnscrypt-proxy. В WEB самого роутера " Интернет-прочие-Сервера DNS " ---- указан 192.168.13.100 сам роутер тогда  с самого роутера

/ # ping ya.ru
PING ya.ru (87.250.250.242): 56 data bytes
64 bytes from 87.250.250.242: seq=0 ttl=58 time=27.103 ms
64 bytes from 87.250.250.242: seq=1 ttl=58 time=26.960 ms
^C
--- ya.ru ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 26.960/27.031/27.103 ms
/ # ping warfiles.ru
PING warfiles.ru (95.163.214.96): 56 data bytes
64 bytes from 95.163.214.96: seq=0 ttl=55 time=56.621 ms
64 bytes from 95.163.214.96: seq=1 ttl=55 time=56.997 ms
^C
--- warfiles.ru ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 56.621/56.809/56.997 ms

/ # netstat -ntulp | grep :53
tcp        0      0 192.168.13.100:53      0.0.0.0:*               LISTEN      578/dnsmasq
tcp        0      0 хх:хххх:ххххх:хххххх:ххххх:53 :::*                    LISTEN      578/dnsmasq
udp        0      0 192.168.13.100:53      0.0.0.0:*                           578/dnsmasq
udp        0      0 хх:хххх:ххххх:хххххх:ххххх:53 :::*                                578/dnsmasq

/ # cat /opt/etc/dnsmasq.conf
no-resolv
interface=br0
bind-interfaces
except-interface=lo
listen-address=192.168.13.100
####server=127.0.0.2#60153
server=127.0.0.2#60253
cache-size=1500
####all-servers

#resolv-file=/opt/etc/resolv-dnsmasq.conf
addn-hosts=/opt/tmp/hosts0.txt
addn-hosts=/opt/tmp/malware_adblock.txt
addn-hosts=/opt/tmp/anti_webm.hosts
#addn-hosts=/opt/tmp/mvps_block.host
#      
bogus-priv
#      
domain-needed

#no-negcache
##bogus-nxdomain=64.94.110.11
##proxy-dnssec

#log-queries ****** для ведения логов
#log-facility=/opt/var/log/dnsmasq.log ****** для ведения логов

 

/ # netstat -ntulp | grep dnscrypt
tcp        0      0 127.0.0.2:60253         0.0.0.0:*               LISTEN      581/dnscrypt-proxy
udp        0      0 127.0.0.2:60253         0.0.0.0:*                           581/dnscrypt-proxy
/ #

По dnscrypt-proxy по конфу

...

listen_addresses = ['127.0.0.2:60253']

...

## Log level (0-6, default: 2 - 0 is very verbose, 6 only contains fatal errors)
log_level = 2
log_file = '/opt/tmp/dnscrypt-proxy.log'

...

## Log client queries to a file
[query_log]
file = '/opt/tmp/query.log'

 

В итоге логи по dnscrypt-proxy

1. /opt/tmp/dnscrypt-proxy.log

[2018-06-16 15:01:57] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-16 16:01:59] [NOTICE] Server with the lowest initial latency: adguard-dns (rtt: 21ms)
[2018-06-16 17:02:01] [NOTICE] Server with the lowest initial latency: yandex (rtt: 17ms)
[2018-06-16 18:02:03] [NOTICE] Server with the lowest initial latency: yandex (rtt: 23ms)

2. /opt/tmp/query.log ---- в данном случае клиентом будет только dnsmasq от которого и идут запросы.

[2018-06-16 18:25:14]    127.0.0.1    ftp.mozilla.org    A
[2018-06-16 18:25:14]    127.0.0.1    versioncheck.prod.mozaws.net    AAAA
[2018-06-16 18:25:14]    127.0.0.1    d34chcsvb7ug62.cloudfront.net    AAAA
[2018-06-16 18:25:27]    127.0.0.1    suggest.yandex.ru    A
[2018-06-16 18:25:27]    127.0.0.1    suggest.yandex.net    AAAA
[2018-06-16 18:25:28]    127.0.0.1    warfiles.ru    A
[2018-06-16 18:25:28]    127.0.0.1    warfiles.ru    AAAA
[2018-06-16 18:25:32]    127.0.0.1    www.rusvesna.su    A
[2018-06-16 18:25:32]    127.0.0.1    www.rusvesna.su    AAAA
[2018-06-16 18:25:32]    127.0.0.1    rusvesna.su    A
[2018-06-16 18:25:32]    127.0.0.1    rusvesna.su    AAAA
[2018-06-16 18:25:35]    127.0.0.1    topwar.ru    A
[2018-06-16 18:25:36]    127.0.0.1    topwar.ru    AAAA
[2018-06-16 18:25:38]    127.0.0.1    ocsp.int-x3.letsencrypt.org    A

Примечание по использованию в место прошивочного сервис dnsmasq слушает interface=br0 и 53 порт, далее от него все запросы на "server=127.0.0.2#60253" на данном порту 60253 весит сам dnscrypt-proxy

 

Edited by vasek00
  • Thanks 1
Link to comment
Share on other sites

1 час назад, vasek00 сказал:

Без проблем все работает при описанном ниже, попробуйте через WEB прописать лок.IP своего роутера в "Интернет-прочие-Сервера DNS"

Спасибо добрый человек, заработало :)

Link to comment
Share on other sites

А теперь еще, подскажите, после установки iptables прошивочное открытие портов не работает, правильно же?

Я попытался открыть порт через 10-ClientDNS-Redirect.sh   дописав туда строки:

iptables -A INPUT -p tcp --dport номер порта -j ACCEPT
iptables -A INPUT -p udp --dport номер порта -j ACCEPT

Но порты не открылись, роутер перезагружал, права на скрипт выставлял, что может быть не так?

Link to comment
Share on other sites

/ # iptables -I INPUT -p tcp --dport 60001 -j ACCEPT
/ # iptables -nvL | grep 60001
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:60001
/ # 

или

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:60001

Первая строчка

"#!/bin/sh"

Link to comment
Share on other sites

    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8090
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8090
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.1          udp spt:8090 dpt:8090

Открыл... и все равно не пускает.

До ввода команд был такой список:

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8090
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8090
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8090
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8090
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8090
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8090
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.1.1          udp spt:8090 dpt:8090

В админ панели этот порт открыт.

теперь теряюсь в догадках что может быть.

Link to comment
Share on other sites

4 минуты назад, Boomer сказал:

Открыл... и все равно не пускает.

теперь теряюсь в догадках что может быть.

Кого и куда?

Link to comment
Share on other sites

48 минут назад, vasek00 сказал:

Кого и куда?

не пускает в панель Transmission из интернета. Доменное имя прописано, все работало до того как поставил DNSCrypt

Edited by Boomer
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...