Jump to content

Защищаем DNS запросы с помощью dnscrypt-proxy2. Бонусом блокировка рекламы.


Recommended Posts

58 минут назад, ankar84 сказал:

Что-то не пойму, куда именно добавлен патч. Установил самый свежий драфт 2.15.A.3.0-1, в Entware сделал update&&upgrade, а ошибка осталась.

Ещё рано для `opkg update`. Но можете затестить предварительную версию пакета )))

iptables_1.4.21-2b_mipsel-3.4.ipk

  • Thanks 2
Link to comment
Share on other sites

1 час назад, TheBB сказал:

Ещё рано для `opkg update`. Но можете затестить предварительную версию пакета )))

iptables_1.4.21-2b_mipsel-3.4.ipk

Теперь понял где и что поправлено.

Подожду штатного обновления, так как проблема не слишком критичная.

Link to comment
Share on other sites

В 09.12.2018 в 08:19, TheBB сказал:

Ещё рано для `opkg update`. Но можете затестить предварительную версию пакета )))

iptables_1.4.21-2b_mipsel-3.4.ipk

после ввода команды

iptables-save | grep " --dport 53 -j DNAT --to-destination 192.168.1.1"

дает адекватный ответ без ругани. И в журнале пропала запись.

Цитата

-A PREROUTING -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.1:53

 

Link to comment
Share on other sites

3 часа назад, rotor сказал:

дает адекватный ответ без ругани. И в журнале пропала запись.

А у меня всё по прежнему, вывод с ошибкой. Пока вроде нечего не обновилось.

Link to comment
Share on other sites

2 часа назад, ankar84 сказал:

А у меня всё по прежнему, вывод с ошибкой.

Ошибку выдает iptables-save. Это не мешает работоспособности скрипта из этой темы. Я помню, мы обсуждали - нужно ли включать патчи, о которых писал @Le ecureuil в entware или нет. Entware это же универсальный репозиторий, а не только для кинетиков.

Если не включили, можно включить только для mips* по схеме https://github.com/Entware/Entware/commit/846502743e2335cbec1634cc612cb31e5f4ee688

Link to comment
Share on other sites

Всё это конечно классно. Но долго разбираться нужно. Есть способ для ленивых. Никаких OPKG, телнетов и установки сторонних пакетов не требуется.

Всё настраивается в web-интерфейсе роутера. Если у вас используется какое-нибудь PPPOE или VPN соединение для входа в инет, перенастраиваем его чтоб подключалось по IP. Провайдерские DNS везде убираем. В клиенте роутера настраиваем любой бесплатный VPN по IP адресу с шифрованием. (выбирайте стабильный, чтоб соединение не разрывалось часто). Прописываем на вкладке Интернет-Фильтр гугловские или клаудовские DNS сервера в роутере и там же выбираем "Подключение" через вашу бесплатную VPN. Тем самым заворачиваем работу DNS на этот VPN тунель. И всё. Весь DNS трафик спрятан. У данного решения есть rконечно и свои минусы. За то предельно просто.

Edited by keenet07
  • Thanks 1
Link to comment
Share on other sites

11 час назад, zyxmon сказал:

Мне кажется следует в скрипте заменить iptables-save на выдачу правил только из PREROUTING - и быстрее чуть работать будет

А может быть уже есть готовая реализация? А то я далек от баша и iptables.

Link to comment
Share on other sites

58 минут назад, ankar84 сказал:

А может быть уже есть готовая реализация? А то я далек от баша и iptables.

Все от этого далеки. Что-нибудь в духе

`

.... iptables -nvL PREROUTING | grep "udp dpt:53" .....

Допилить предлагаю самостоятельно. Я dnscrypt-proxy2 не юзаю.

 

  • Thanks 1
Link to comment
Share on other sites

В 12.12.2018 в 23:46, zyxmon сказал:

Допилить предлагаю самостоятельно. Я dnscrypt-proxy2 не юзаю.

В итоге получилось почти так как вы указали, только добавил вывод таблицы nat, так как без этого наше правило не выводилось.

#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "nat" ] && exit 0
[ -z "$(iptables -nvL -t nat | grep "to:192.168.1.1:53")" ] && iptables -t nat -I PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1:53
exit 0

После перезагрузки проверил - правило на месте, ошибки разумеется нет.

Edited by ankar84
  • Thanks 1
Link to comment
Share on other sites

  • 3 weeks later...
17 часов назад, Andrey Che сказал:

В чём может быть проблема?

Очень странно.

Прикладываю свой скрипт (там в самом начале и строка запуска показана)generate-domains-blacklist.py

 

 

Link to comment
Share on other sites

Вот что выдало:

/opt/etc/dnscrypt # python generate-domains-blacklist.py > list.txt.tmp && mv -f
 list.txt.tmp list
Loading data from [<!DOCTYPE html>]
unknown url type: !DOCTYPE html/opt/etc/dnscrypt #

PS: система стоит свежая. Установлен tor, dnsmasq, dnscrypt2, python, ca и зависимые библиотеки.

Скрытый текст

bind-dig - 9.11.5-2
bind-libs - 9.11.5-2
busybox - 1.29.2-1
ca-bundle - 20180409-3
ca-certificates - 20180409-3
cron - 4.1-3
curl - 7.62.0-1
dnscrypt-proxy2 - 2.0.19-1
dnsmasq-full - 2.80-1
dropbear - 2017.75-8
entware-release - 1.0-2
findutils - 4.6.0-1
glib2 - 2.58.1-2
grep - 3.1-1
ipset - 6.38-1
iptables - 1.4.21-2a
ldconfig - 2.27-8
libattr - 2.4.48-1
libblkid - 2.32.1-1
libbz2 - 1.0.6-4
libc - 2.27-8
libcap - 2.25-2
libcurl - 7.62.0-1
libdb47 - 4.7.25.4.NC-5
libevent2 - 2.1.8-2
libexpat - 2.2.6-1
libffi - 3.2.1-3
libgcc - 7.3.0-8
libgdbm - 1.11-1
libiconv-full - 1.11.1-3
libintl-full - 0.19.8.1-1
libipset - 6.38-1
libmbedtls - 2.13.0-1
libmnl - 1.0.4-1
libmount - 2.32.1-1
libncurses - 6.1-1
libncursesw - 6.1-1
libndm - 1.1.9-1
libnetfilter-conntrack - 2017-07-25-e8704326-1
libnfnetlink - 1.0.1-1
libopenssl - 1.0.2p-1a
libpcre - 8.42-1
libpthread - 2.27-8
librt - 2.27-8
libslang2 - 2.3.2-1
libsqlite3 - 3250300-1
libssh2 - 1.8.0-3
libssp - 7.3.0-8
libstdcpp - 7.3.0-8
libtirpc - 1.1.4-1
libuuid - 2.32.1-1
libxml2 - 2.9.8-3
locales - 2.27-8
mc - 4.8.21-4
ndmq - 1.0.2-4a
openssh-sftp-server - 7.9p1-2
opkg - 2011-04-08-9c97d5ec-17c
opt-ndmsv2 - 1.0-10a
polipo - 1.1.1-2
privoxy - 3.0.26-4
python - 2.7.15-2
python-base - 2.7.15-2
python-codecs - 2.7.15-2
python-compiler - 2.7.15-2
python-ctypes - 2.7.15-2
python-db - 2.7.15-2
python-decimal - 2.7.15-2
python-distutils - 2.7.15-2
python-email - 2.7.15-2
python-gdbm - 2.7.15-2
python-light - 2.7.15-2
python-logging - 2.7.15-2
python-multiprocessing - 2.7.15-2
python-ncurses - 2.7.15-2
python-openssl - 2.7.15-2
python-pydoc - 2.7.15-2
python-sqlite3 - 2.7.15-2
python-unittest - 2.7.15-2
python-xml - 2.7.15-2
terminfo - 6.1-1
tor - 0.3.4.9-1
tor-geoip - 0.3.4.9-1
zlib - 1.2.11-2
zoneinfo-asia - 2018g-1
zoneinfo-europe - 2018g-1

 

 

Edited by Andrey Che
Link to comment
Share on other sites

8 часов назад, Andrey Che сказал:

Вот что выдало:

У меня выдача вот такая:

 # /opt/etc/cron.weekly/1-generate-blacklist
Loading data from [file:domains-blacklist-local-additions.txt]
.....

Значит проблема где-то в районе загружаемых источников для генерации итогового файла блокировки. Первым источником стоит локальный файл domains-blacklist-local-additions.txt

Посмотрите что у вас в этом файле. Может ошибка именно оттуда.

Так же в качестве конфигурационного файла по умолчанию для скрипта является файл domains-blacklist.conf, который должен находиться рядом со скриптом. 

Вот содержимое моего файла. Посмотрите внимательно, что в вашем.

##################################################################################
#                                                                                #
#   Generate a black list of domains using public data sources, and the local    #
#   domains-blacklist-local-additions.txt file.                                  #
#                                                                                #
#   The default configuration is just indicative, and corresponds to the one     #
#   used to produce the public "mybase" set.                                     #
#                                                                                #
#   Comment out the URLs of the sources you wish to disable, leave the ones      #
#   you would like enabled uncommented.  Then run the script to build the        #
#   dnscrypt-blacklist-domains.txt file:                                         #
#                                                                                #
#   $  generate-domains-blacklist.py > dnscrypt-blacklist-domains.txt            #
#                                                                                #
#   Domains that should never be blocked can be put into a file named            #
#   domains-whitelist.txt.                                                       #
#                                                                                #
#   That blacklist file can then be used in the dnscrypt-proxy.toml file:        #
#                                                                                #
#   [blacklist]                                                                  #
#                                                                                #
#   blacklist_file = 'dnscrypt-blacklist-domains.txt'                            #
#                                                                                #
##################################################################################

# Local additions
file:domains-blacklist-local-additions.txt

#StevenBlack
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts

# Bambenek malware C2s
https://osint.bambenekconsulting.com/feeds/c2-dommasterlist.txt

# hpHosts’ Ad and tracking servers
https://hosts-file.net/.%5Cad_servers.txt

# Malware domains
https://mirror1.malwaredomains.com/files/justdomains

# Abuse.ch Ransomware Tracker
https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt

# Malware Domain List
http://www.malwaredomainlist.com/mdlcsv.php?inactive=off

# Adblock Warning Removal List
https://easylist-downloads.adblockplus.org/antiadblockfilters.txt

# EasyList
https://easylist-downloads.adblockplus.org/easylist_noelemhide.txt

# EasyList China
https://easylist-downloads.adblockplus.org/easylistchina.txt

# RU AdList
https://easylist-downloads.adblockplus.org/advblock.txt

# Fanboy’s Social Blocking List
https://easylist-downloads.adblockplus.org/fanboy-social.txt

# Peter Lowe’s Ad and tracking server list
https://pgl.yoyo.org/adservers/serverlist.php

# Spam404
https://raw.githubusercontent.com/Dawsey21/Lists/master/adblock-list.txt

# CJX Annoyance List
https://raw.githubusercontent.com/cjx82630/cjxlist/master/cjxlist.txt

# EU: Prebake - Filter Obtrusive Cookie Notices
https://raw.githubusercontent.com/liamja/Prebake/master/obtrusive.txt

# Malvertising filter list by Disconnect
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt

# Malware filter list by Disconnect
https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt

# Basic tracking list by Disconnect
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt

# Sysctl list (ads)
http://sysctl.org/cameleon/hosts

# KAD host file (fraud/adware) - https://github.com/azet12/KADhosts
https://raw.githubusercontent.com/azet12/KADhosts/master/KADhosts.txt

# BarbBlock list (spurious and invalid DMCA takedowns)
https://ssl.bblck.me/blacklists/domain-list.txt

# Dan Pollock's hosts list
http://someonewhocares.org/hosts/hosts

# NoTracking's list - blocking ads, trackers and other online garbage
https://raw.githubusercontent.com/notracking/hosts-blocklists/master/domains.txt

# CoinBlockerLists: blocks websites serving cryptocurrency miners - https://zerodot1.github.io/CoinBlockerLists/ - Contains false positives
# https://raw.githubusercontent.com/ZeroDot1/CoinBlockerLists/master/list_browser.txt

# Websites potentially publishing fake news
# https://raw.githubusercontent.com/marktron/fakenews/master/fakenews

# Quidsup NoTrack - Contains too many false positives to be enabled by default
# https://raw.githubusercontent.com/quidsup/notrack/master/trackers.txt

# Dynamic DNS services, sadly often used by malware
# https://mirror1.malwaredomains.com/files/dynamic_dns.txt

# Block pornography
# https://raw.githubusercontent.com/Clefspeare13/pornhosts/master/0.0.0.0/hosts
# https://raw.githubusercontent.com/Sinfonietta/hostfiles/master/pornography-hosts
# http://securemecca.com/Downloads/hosts.txt

# Block gambling sites
# https://raw.githubusercontent.com/Sinfonietta/hostfiles/master/gambling-hosts

# Block social media sites
# https://raw.githubusercontent.com/Sinfonietta/hostfiles/master/social-hosts

 

Link to comment
Share on other sites

~ # cat get-dnscrypt-files.sh 
#!/opt/bin/sh

DIR="/opt/etc/dnscrypt"
FILE="generate-domains-blacklist.py"
URL="https://raw.githubusercontent.com/jedisct1/dnscrypt-proxy/master/utils/generate-domains-blacklists"

# check curl
if [ ! -f "/opt/bin/curl" ]; then
	opkg install curl --force-reinstall
fi

# check dir
if [ ! -d "$DIR" ]; then
	mkdir -p $DIR
fi

cd $DIR

# download files
curl -O $URL/domains-blacklist-all.conf \
	-O $URL/domains-blacklist-local-additions.txt \
	-O $URL/domains-blacklist.conf \
	-O $URL/domains-time-restricted.txt \
	-O $URL/domains-whitelist.txt \
	-O $URL/$FILE

# fix shebang & make executable
sed -i -e 's,#!.*,#!/opt/bin/python,' $FILE && chmod +x $FILE

# create blacklist
./$FILE -i > domains-blacklist.txt

для "облегчения страданий" в получении контента... )))

  • Thanks 4
Link to comment
Share on other sites

36 минут назад, TheBB сказал:

для "облегчения страданий" в получении контента

Добавил ссылку на ваше сообщение в "шапку" темы.

Спасибо за скрипт!

  • Thanks 1
Link to comment
Share on other sites

В 05.06.2018 в 19:33, ankar84 сказал:

... конструктивная критика крайне приветствуется...

"Заметьте, не я это предложил!" (х/ф "Покровские ворота")

 

Не совсем очевидно, что файлы для генерации списка должны быть в наличии.

Как имена файлов, так и пути различаются.

В 05.06.2018 в 19:33, ankar84 сказал:

blacklist_file = '/opt/etc/dnscrypt/blacklist-domains.txt'

 

В 05.06.2018 в 19:33, ankar84 сказал:

blacklist_file = '/opt/etc/dnscrypt/dnscrypt-blacklist-domains.txt'

 

В 05.06.2018 в 19:33, ankar84 сказал:

whitelist_file = '/opt/etc/dnscrypt/domains-whitelist.txt'

 

В 05.06.2018 в 19:33, ankar84 сказал:

 whitelist_file = '/opt/etc/dnscrypt-proxy/generate-domains-blacklists/domains-whitelist.txt'

При генерации списка с ключом "-i" можно обойтись без промежуточного файла. В случае ошибки, файл с неполным списком всё равно будет создан.

костыль нумер два (расположить в любом удобном месте и сделать исполняемым) ))):

/opt/etc # cat ./generate.sh 
#!/opt/bin/sh

DIR="/opt/etc/dnscrypt"
SCRIPT="/opt/etc/init.d/S09dnscrypt-proxy2"
num=5

#cd /opt/etc/dnscrypt
cd $DIR

while [ $num -gt 0 ]; do
    ./generate-domains-blacklist.py > blacklist.txt;
    if [ $? -eq 0 ]; then
        mv blacklist.txt domains-blacklist.txt
	logger -t dnscrypt-proxy "blacklist  updated successfully"
#	echo "OK!"
	$SCRIPT restart
        exit 0;
    fi
    logger -t dnscrypt-proxy "try again"
#    echo "Failed! Try again..."
    sleep 10
    let num=$num-1
done
exit 1;

до 5 попыток (меняем на нужное самостоятельно) генерации списка, с интервалом перезапуска в 10 сек (взято "с потолка", можно выставить своё значение); после первой удачной попытки генерации, промежуточный файл переносится взамен старого и dnscrypt-proxy перезапускается; если все попытки окажутся неудачными, скрипт завершается до следующего запуска (вручную или по заданию cron`a), файл списка остаётся нетронутым.

Скрытый текст

запуск вручную с моделированием падения


/opt/etc # ./generate.sh 
Loading data from [file:domains-blacklist-local-additions.txt]
Loading data from [https://osint.bambenekconsulting.com/feeds/c2-dommasterlist.txt]
Loading data from [https://hosts-file.net/.%5Cad_servers.txt]
Loading data from [https://mirror1.malwaredomains.com/files/justdomains]
Loading data from [https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt]
Loading data from [http://www.malwaredomainlist.com/mdlcsv.php?inactive=off]
Loading data from [https://easylist-downloads.adblockplus.org/antiadblockfilters.txt]
Loading data from [https://easylist-downloads.adblockplus.org/easylist_noelemhide.txt]
Loading data from [https://easylist-downloads.adblockplus.org/easylistchina.txt]
Loading data from [https://easylist-downloads.adblockplus.org/fanboy-social.txt]
Loading data from [https://pgl.yoyo.org/adservers/serverlist.php]
[https://pgl.yoyo.org/adservers/serverlist.php] could not be loaded: <urlopen error ('_ssl.c:710: The handshake operation timed out',)>
Failed. Try againe
Loading data from [file:domains-blacklist-local-additions.txt]
Loading data from [https://osint.bambenekconsulting.com/feeds/c2-dommasterlist.txt]
Loading data from [https://hosts-file.net/.%5Cad_servers.txt]
Loading data from [https://mirror1.malwaredomains.com/files/justdomains]
Loading data from [https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt]
Loading data from [http://www.malwaredomainlist.com/mdlcsv.php?inactive=off]
Loading data from [https://easylist-downloads.adblockplus.org/antiadblockfilters.txt]
Loading data from [https://easylist-downloads.adblockplus.org/easylist_noelemhide.txt]
Loading data from [https://easylist-downloads.adblockplus.org/easylistchina.txt]
Loading data from [https://easylist-downloads.adblockplus.org/fanboy-social.txt]
Loading data from [https://pgl.yoyo.org/adservers/serverlist.php]
Loading data from [https://raw.githubusercontent.com/Dawsey21/Lists/master/adblock-list.txt]
Loading data from [https://raw.githubusercontent.com/cjx82630/cjxlist/master/cjxlist.txt]
Loading data from [https://raw.githubusercontent.com/liamja/Prebake/master/obtrusive.txt]
Loading data from [https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt]
Loading data from [https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt]
Loading data from [https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt]
Loading data from [http://sysctl.org/cameleon/hosts]
Loading data from [https://raw.githubusercontent.com/azet12/KADhosts/master/KADhosts.txt]
Loading data from [https://ssl.bblck.me/blacklists/domain-list.txt]
Loading data from [https://someonewhocares.org/hosts/hosts]
Loading data from [https://raw.githubusercontent.com/notracking/hosts-blocklists/master/domains.txt]
Loading data from [file:domains-time-restricted.txt]
Loading data from [file:domains-whitelist.txt]
OK
 Shutting down dnscrypt-proxy...              done. 
 Starting dnscrypt-proxy...              done. 
/opt/etc # 

вид из журнала


...
[I] Jan  8 17:00:00 crond[2801]: USER root pid 11442 cmd /opt/etc/generate.sh 2>&1 
[I] Jan  8 17:04:28 dnscrypt-proxy: blacklist  updated successfully
[I] Jan  8 17:04:30 root: Started dnscrypt-proxy from .
[I] Jan  8 17:05:00 crond[2801]: USER root pid 11969 cmd /opt/etc/generate.sh 2>&1 
[I] Jan  8 17:10:00 crond[2801]: user root: process already running: /opt/etc/generate.sh 2>&1 
[I] Jan  8 17:10:18 dnscrypt-proxy: blacklist  updated successfully
[I] Jan  8 17:10:19 root: Started dnscrypt-proxy from .
[I] Jan  8 17:15:00 crond[2801]: USER root pid 13053 cmd /opt/etc/generate.sh 2>&1 
[I] Jan  8 17:15:21 dnscrypt-proxy: try again
[I] Jan  8 17:19:25 dnscrypt-proxy: blacklist  updated successfully
[I] Jan  8 17:19:27 root: Started dnscrypt-proxy from .
...

 

 

  • Thanks 3
Link to comment
Share on other sites

15 часов назад, TheBB сказал:

Заметьте, не я это предложил!

я от своих слов не отказываюсь, инструкция далека от идеала, и конструктивная критика безусловно необходима и приветствуется!

15 часов назад, TheBB сказал:

Как имена файлов, так и пути различаются.

Здесь да. Инструкция создавалась и позже редактировалась в течении определенного времени, где я для своего удобства менял имена файлов и их расположение. Имена менял в основном для того, чтобы они начинались не одинаково, чтобы можно было с помощью табуляции удобно ими оперировать. Именно поэтому удалил у большинства файлов начало в виде "dnscrypt-". Так же перестал собирать файлы, необходимые для генерации блеклиста в отдельной папке, а разместил их рядом с файлом конфигурации dnscrypt в /opt/etc/dnscrypt/

15 часов назад, TheBB сказал:

При генерации списка с ключом "-i" можно обойтись без промежуточного файла. В случае ошибки, файл с неполным списком всё равно будет создан.

Вот этого не знал, спасибо!

Итого - постараюсь привести первый пост темы в порядок, может что-то оптимизировать.

  • Upvote 1
Link to comment
Share on other sites

  • 3 weeks later...

Восстанавливаю Entware, пара копеек про установку dnscypt-proxy2 на "чистую" систему:

Для того, чтобы блэклисты нормально скачивались, сначала нужно установить пакет ca_certificates:
opkg update && opkg install ca_certificates

  • Thanks 1
Link to comment
Share on other sites

7 минут назад, HuduGuru сказал:

Восстанавливаю Entware, пара копеек про установку dnscypt-proxy2 на "чистую" систему:

Для того, чтобы блэклисты нормально скачивались, сначала нужно установить пакет ca_certificates:
opkg update && opkg install ca_certificates

Всё верно. И это есть в инструкции. Ещё и python нужен для генерации списка заблокированных ресурсов.

Link to comment
Share on other sites

Добрый день.

Пытаюсь ставить dnscypt-proxy2 по инструкции, даже файл конфигурации делал такой же, как и автор,  после запуска пропадает интернет на компьюетере и по сети вифи, ТВ приставка работает нормально. Дело в ДНСах , в ipconfig /all вижу свой роутер в  качестве основного днс. При отключении флешки entware интернет сразу начинает работать нормально (то есть днс сбрасываются) Куда копать?

И еще пару вопросов: что должно быть в папке /opt/etc/dnscrypt/ - у меня там лежит только файл конфигурации dnscrypt-proxy.toml и больше там ничего нет. Вроде сам dnscrypt-proxy2 запускается , должен ли сам скрипт S09dnscrypt-proxy2 лежать там же? Пробовал уже флешку форматировать , проделывал все шаги еще раз - результат тот же.

Спасибо заранее.

 

Edited by Popov
лень
Link to comment
Share on other sites

4 часа назад, Popov сказал:

Добрый день.

Пытаюсь ставить dnscypt-proxy2 по инструкции, даже файл конфигурации делал такой же, как и автор,  после запуска пропадает интернет на компьюетере и по сети вифи, ТВ приставка работает нормально. Дело в ДНСах , в ipconfig /all вижу свой роутер в  качестве основного днс. При отключении флешки entware интернет сразу начинает работать нормально (то есть днс сбрасываются) Куда копать?

И еще пару вопросов: что должно быть в папке /opt/etc/dnscrypt/ - у меня там лежит только файл конфигурации dnscrypt-proxy.toml и больше там ничего нет. Вроде сам dnscrypt-proxy2 запускается , должен ли сам скрипт S09dnscrypt-proxy2 лежать там же? Пробовал уже флешку форматировать , проделывал все шаги еще раз - результат тот же.

Спасибо заранее.

 

Конечно трудно понять что вы делали и что у вас настроено (получилось), но начните с того, что посмотрите что и как у вас в текущем состоянии - "netstat -ntulp | grep dns" и "netstat -ntulp | grep 53"

Link to comment
Share on other sites

Мои действия: кинул install с entware на флешку, установил dns-crypt2, подправил файл конфигурации, сделал в CLI opkg dns-override  system configuration save ; запустил скрипт  /opt/etc/init.d/S09dnscrypt-proxy2, все. Во вложении скрины netstat и ipconfig с компа.  

 

cmd.png

netstat.png

Edited by Popov
Link to comment
Share on other sites

39 минут назад, Popov сказал:

Мои действия: кинул install с entware на флешку, установил dns-crypt2, подправил файл конфигурации, сделал в CLI opkg dns-override  system configuration save ; запустил скрипт  /opt/etc/init.d/S09dnscrypt-proxy2, все. Во вложении скрины netstat и ipconfig с компа

Все таки давайте начнем диагностику с того, что рекомендовал чуть выше уважаемый @vasek00 и что указано в инструкции в разделе Диагностика проблем с запуском\работой.

По умолчанию после установки dnscrypt-proxy2 в Entware запускается с конфигурационным файлов, который расположен по следующему пути /opt/etc/dnscrypt-proxy.toml  (в этом можно убедиться посмотрев файл /opt/etc/init.d/S09dnscrypt-proxy2)

После каждого обновления я правлю скрипт запуска указывая свой файл конфигурации, который у меня расположен по пути /opt/etc/dnscrypt/dnscrypt-proxy.toml так как у меня достаточно много различных файлов для работы dnscrypt-proxy2, мне удобно их держать в одной отдельной папке.

Если вы в запускающем файле не правили путь до файла конфигурации, то он у вас остался по умолчанию /opt/etc/dnscrypt-proxy.toml и править нужно именно его (если хотите что-то изменить).

Для начала, чтобы разобраться в проблеме я бы не стал его сильно изменять, нужно, чтобы просто заработало и не падало.

После команды /opt/etc/init.d/S09dnscrypt-proxy2 start необходимо посмотреть слушает ли dnscrypt-proxy2 на порту 53, запущен ли он

~ # ps | grep dnscrypt
~ # netstat -tulnp | grep dnscrypt

Так же рекомендую попробовать просто запустить dnscrypt из командной строки следующей командой и посмотреть, что произойдет.

~ # dnscrypt-proxy -config /opt/etc/dnscrypt/dnscrypt-proxy.toml

Ну, и ждем результаты сюда, можно скриншотами, можно текстом.

Link to comment
Share on other sites

  • 2 weeks later...

Сделал всё как описано здесь.

Интернет есть на всех устройствах сети, но в вебе нет доступа в Интернет и Обновления    Отсутствует подключение, лампочка тоже не горит. В журнале: Core::Ndss: [10305] cannot connect to the server.

Как исправить?

Скрытый текст

 

2019-02-20_214647.png.6d7e9140d5da2b09d0b958ae147c6456.png2019-02-20_214217.png.ebe2bdff50ff4a501c3de3bb243bc1ad.png

 

 

Edited by Buha
Link to comment
Share on other sites

14 часа назад, Buha сказал:

Как исправить?

Попробуйте прописать адрес 192.168.1.1 согласно статье Использование публичных DNS-серверов в интернет-центре

image.png.fa57e3d842e76e7fc10d36b948d54665.png

Лично у меня так и сделано. DNS указан только в этом месте и все работает как описано в инструкции.

 

  • Upvote 1
Link to comment
Share on other sites

А почему бы вместо

 #[sources.'public-resolvers']
  #urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/public-resolvers.md', 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md']
  #cache_file = '/opt/etc/dnscrypt/public-resolvers.md'
  #minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  #refresh_delay = 72
  #prefix = ''

  [sources.'opennic']
  urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/opennic.md', 'https://download.dnscrypt.info/resolvers-list/v2/opennic.md']
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  cache_file = '/opt/etc/dnscrypt/opennic.md'
  refresh_delay = 72
  prefix = ''

не задать

 [sources.'public-resolvers']
  urls = ['https://download.dnscrypt.info/dnscrypt-resolvers/v2/public-resolvers.md']
  cache_file = '/opt/etc/dnscrypt/public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

и указывать нужный резолвер так:

server_names = ['opennic-bongobow', 'opennic-R4SAS']
opennic-bongobow - Германия.

opennic-R4SAS - Франция.

Или adguard dns для блокировки рекламы. Весь список: public-servers и в файле /opt/etc/dnscrypt/public-resolvers.md

Если закомментировать server_names , то будет выбираться из всего списка по наименьшему пингу.

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...