Jump to content
  • 2

Настройка DoT/DoH


KorDen

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Link to comment
Share on other sites

Recommended Posts

  • 0
16 часов назад, cheburashkaDNS сказал:

да, вы абсолютно правы. отключил - пропало.

я так понимаю для полного удаления KeenDNS нужно удалить компонент "Агент облачной службы Keenetic Cloud и KeenDNS" и тогда запросы по порту UDP/4044 прекратятся?

Скорее всего да.

Link to comment
Share on other sites

  • 0

Не могу понять, работает ли корректно DoT/DoH. Раньше при активации мог заходить на сайты которые заблокированы Роскомнадзором. В последние время не получается.

Хотя, если активировать приложение на телефоне 1.1.1.1 то сайты начинают прекрасно открываться.

В чем может быть проблема.. Не правильная настройка DoT/DoH?

KeeneticOS: 3.5 Beta 0

self-test.txt

Edited by Константин Костин
Link to comment
Share on other sites

  • 0
On 15.08.2020 at 16:08, Константин Костин said:

Не могу понять, работает ли корректно DoT/DoH. Раньше при активации мог заходить на сайты которые заблокированы Роскомнадзором. В последние время не получается.

Хотя, если активировать приложение на телефоне 1.1.1.1 то сайты начинают прекрасно открываться.

В чем может быть проблема.. Не правильная настройка DoT/DoH?

KeeneticOS: 3.5 Beta 0 

self-test.txt 605,21 kB · 6 загрузок

Вот вроде у Сloudflare можно првоерить работает или нет. https://www.cloudflare.com/ssl/encrypted-sni/

Link to comment
Share on other sites

  • 0
В 06.11.2019 в 23:37, Le ecureuil сказал:

Так оно уже есть - включаете adguard (или начиная с 3.3 еще и skydns), устанавливаете dot/doh - и вуаля! Вообще никуда не нужно тыкать :)

Вчера убрал весь ручной ввод DoT/DoH и перестали резолвиться имена. Ни одна страничка не открывается естественно. Ребут роутера не помог. Пришлось заново ручками вписать предыдущие значения. KN-1010 (3.5.6)

Edited by stefbarinov
Link to comment
Share on other sites

  • 0
1 час назад, stefbarinov сказал:

Вчера убрал весь ручной ввод DoT/DoH и перестали резолвиться имена. Ни одна страничка не открывается естественно. Ребут роутера не помог. Пришлось заново ручками вписать предыдущие значения. KN-1010 (3.5.6)

На скринах ситуация, когда удалены введённые ручками DoT/DoH

Screenshot_1.jpg

Screenshot_2.jpg

Screenshot_3.jpg

Link to comment
Share on other sites

  • 0

Здравствуйте!

Есть проблемы при работе DNS over HTTPS. Постоянно получаю ошибки в системном журнале: "TLS certificate verify error: Error" (https-dns-proxy)

Хотя при проверке в командной строке через обе команды вроде бы всё работает. (Но, правда иногда, эти 2 команды показывают разные результаты, особенно "show cloudflare-dns availability")...

("show adguard-dns availability" и "show cloudflare-dns availability").

DoT_DoH.png.e6cede4d94218c749c27e315d7d75a52.png

 

Использую следующие сервера:

https://mozilla.cloudflare-dns.com/dns-query и https://dns.google/dns-query

Sys_log.thumb.png.1860f76b3ca8b01bca698454146b144f.png

Вопросы:

1) Что нужно сделать, чтобы избежать ошибки "TLS certificate verify error: Error" (https-dns-proxy) ???

2) Насколько я понимаю, то в полях DNS over TLS и DNS over HTTPS не поддерживается протокол IPv6.

Тогда, планируется ли (и примерно когда?) поддержка IPv6 для DoT и DoH ???

P.S. KeeneticOS: 3.6.1 (последняя, стабильная).

Edited by Nick_
Link to comment
Share on other sites

  • 0
В 16.03.2021 в 11:57, Le ecureuil сказал:

1) Если все работает, можете пока игнорировать.

ОК. Может быть в следующих версиях KeeneticOS что-нибудь подправят в работе DNS over HTTPS...

В 16.03.2021 в 11:57, Le ecureuil сказал:

2) А зачем IPv6?

К примеру все соединения в IPv6 шифруются через IPsec, да и улучшенная маршрутизация пакетов происходит несколько быстрее...

Link to comment
Share on other sites

  • 0
1 час назад, Nick_ сказал:

К примеру все соединения в IPv6 шифруются через IPsec, да и улучшенная маршрутизация пакетов происходит несколько быстрее...

Это кто вам такое сказал? :) И зачем вам двойное шифрование, если в TLS-уровне оно уже есть?

Link to comment
Share on other sites

  • 0
20 часов назад, Le ecureuil сказал:

Это кто вам такое сказал?

Может быть, конечно, не совсем корректно написал, но ведь в IPv6 убрали контрольную сумму из заголовка, а также фрагментацию пакетов, да и технология NAT больше не нужна (для IPv6). Исходя из этого, должна быть меньшая нагрузка на маршрутизатор и соответственно более быстрая обработка маршрутизируемых пакетов... (Разве не так???)

  

20 часов назад, Le ecureuil сказал:

И зачем вам двойное шифрование, если в TLS-уровне оно уже есть?

На мой взгляд дополнительная безопасность не помешает... IMHO. 

 

И ещё вопрос:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Edited by Nick_
Link to comment
Share on other sites

  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Может быть, конечно, не совсем корректно написал, но ведь в IPv6 убрали контрольную сумму из заголовка, а также фрагментацию пакетов, да и технология NAT больше не нужна (для IPv6). Исходя из этого, должна быть меньшая нагрузка на маршрутизатор и соответственно более быстрая обработка маршрутизируемых пакетов... (Разве не так???)

Это все никак не связано с IPsec, если что. А нагрузка даже повыше в чем-то: аппаратная маршрутизация не везде работает для IPv6.

Link to comment
Share on other sites

  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

На мой взгляд дополнительная безопасность не помешает... IMHO. 

Не верю, что у вас НАСТОЛЬКО важные DNS запросы, что их нельзя показывать никому в мире. Причем скорее всего с CF или там Quad9 коннектитесь, а что они делают дальше никто не знает.

Link to comment
Share on other sites

  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Оба используются в равной мере. А вот нешифрованные варианты отключаются полностью.

Link to comment
Share on other sites

  • 0
В 18.03.2021 в 16:28, Nick_ сказал:

Чему отдаётся больший приоритет, если включены одновременно и DoT и DoH ???

Мне для AdguardHome больше нравяться dot, пробовал как и оба так и один doh.

Link to comment
Share on other sites

  • 0
В 16.03.2021 в 10:31, Nick_ сказал:

Есть проблемы при работе DNS over HTTPS. Постоянно получаю ошибки в системном журнале: "TLS certificate verify error: Error" (https-dns-proxy)

Всем привет.

Имею такую же ошибку https-dns-proxy TLS certificate verify error: Error

Не обращал внимания пока сегодня не отвалилось разрешение имен через интернет фильтр cloudflare-dns.com. 

Если профиль фильтрации отключить  и перейти на DoT  то  имена резолвятся на ура.

Куда копать ?

 

 

  • Upvote 1
Link to comment
Share on other sites

  • 0
4 часа назад, Andrey Mindrin сказал:

Всем привет.

Имею такую же ошибку https-dns-proxy TLS certificate verify error: Error

Не обращал внимания пока сегодня не отвалилось разрешение имен через интернет фильтр cloudflare-dns.com. 

Если профиль фильтрации отключить  и перейти на DoT  то  имена резолвятся на ура.

Куда копать ?

 

Не Ваш случай?:

Цитата

 

 

Link to comment
Share on other sites

  • 0

С обновлением на 3.7 Alpha 9 началась такая шляпа и из-за этого страницы с глюками открываются периодически.

image.png
 

Spoiler

А почему бы основу прошивок не перевести там на, например, Windows IoT? Столько проблем разом решилось и за одно выделяться на рынке можно мощно.

 

Edited by funkerwolf
  • Confused 1
Link to comment
Share on other sites

  • 0

Привет. Подскажите пожалуйста: Я установил стандартный компонент DOH-proxy, прописал DOH-сервер Adguard, смотрю активные соединения и из сети провайдера идёт трафик к Adguard-DNS по 443 порту. НО, раз приблизительно в 3 минуты идут запросы к стандартным серверам моего провайдера по порту 53. Это нормально? Причём шлёт их видимо сам роутер, по скольку из домашней сети все dns-запросы идут только к 192.168.1.1 (Роутеру) по udp/53 порту.

Link to comment
Share on other sites

  • 0
34 минуты назад, Mihail_Boyanskiy сказал:

Привет. Подскажите пожалуйста: Я установил стандартный компонент DOH-proxy, прописал DOH-сервер Adguard, смотрю активные соединения и из сети провайдера идёт трафик к Adguard-DNS по 443 порту. НО, раз приблизительно в 3 минуты идут запросы к стандартным серверам моего провайдера по порту 53. Это нормально? Причём шлёт их видимо сам роутер, по скольку из домашней сети все dns-запросы идут только к 192.168.1.1 (Роутеру) по udp/53 порту.

Да, несколько служебных открытых DNS запросов роутер будет периодически слать при работе DOH. Это нормально. Основной трафик к DNS внутри DOH.

Вот вам https://www.dnsleaktest.com

Edited by keenet07
Link to comment
Share on other sites

  • 0
2 часа назад, keenet07 сказал:

Да, несколько служебных открытых DNS запросов роутер будет периодически слать при работе DOH. Это нормально. Основной трафик к DNS внутри DOH.

Вот вам https://www.dnsleaktest.com

 

Ага, тут возникает следующий вопрос, если честно хотелось бы даже услышать мнение разработчиков.

При работе Adgurrd-DNS через HTTPS роутер шлёт запросы через разные DNS.

Ниже напишу через какие.

В разделе проводные подключения, там где провайдер, я удалил все DNS и поставил галочку "Игнорировать DNS, но раз в некоторое время вижу открытые запросы. И если служебные dns-запросы через udp/53 норма, возникает вопрос почему эти запросы каждый раз через разные серверы: То через Гугл, то через Cloudflare, ну и как собственно этого избежать?

Через Wireshark я выяснил что хоть все запросы и через разные серверы, но запрос всё время один, запрашивается домен "dns.adguard.com".

Вот IP серверов:

1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4 и это бы ладно, но ведь это не все. Вот ещё: 145.100.185.15, 145.100.185.16, 185.49.141.37 (getdnsapi.net).

Чьи вот эти dns? Какая политика у них? Я о них абсолютно ничего не знаю, я их в роутер не прописывал.

Как сделать так, чтобы не иметь дел с DNS которым я не доверяю?

Link to comment
Share on other sites

  • 0
11 час назад, funkerwolf сказал:

 

  Скрыть содержимое

А почему бы основу прошивок не перевести там на, например, Windows IoT? Столько проблем разом решилось и за одно выделяться на рынке можно мощно.

 

ШТА?

Link to comment
Share on other sites

  • 0

@Mihail_Boyanskiy

Это лучшие публичные DNS сервера. Используются все и сразу для лучшей отказоустойчивости. Нужны для резолвинга рабочих доменов DOH или  "dns.adguard.com" как вы выше уже писали.

Отключить это нельзя. Если хотите чтоб прям роутер совсем не обращался ни к каким обычным DNS серверам, то работайте только через DOT. Для него эта процедура не требуется.

Edited by keenet07
  • Thanks 1
Link to comment
Share on other sites

  • 0
42 минуты назад, keenet07 сказал:

@Mihail_Boyanskiy

Это лучшие публичные DNS сервера. Используются все и сразу для лучшей отказоустойчивости. Нужны для резолвинга рабочих доменов DOH или  "dns.adguard.com" как вы выше уже писали.

Отключить это нельзя. Если хотите чтоб прям роутер совсем не обращался ни к каким обычным DNS серверам, то работайте только через DOT. Для него эта процедура не требуется.

 

Возможно это и лучшие сервера, но о последних трёх я абсолютно ничего не слышал. Более того, даже в Яндексе инфы о них не так много. Ну да ладно. Как бы там нибыло, было бы просто замечательно если бы сделали выбор через какой открытый DNS-сервер получать информацию о DOH. Так например сделано вот здесь:

https://github.com/AdguardTeam/dnsproxy

Link to comment
Share on other sites

  • 0
1 час назад, Mihail_Boyanskiy сказал:

 

1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4 и это бы ладно, но ведь это не все. Вот ещё: 145.100.185.15, 145.100.185.16, 185.49.141.37 (getdnsapi.net).

Чьи вот эти dns? Какая политика у них? Я о них абсолютно ничего не знаю, я их в роутер не прописывал.

https://kb.adguard.com/ru/general/dns-providers

Link to comment
Share on other sites

  • 0
1 час назад, Mihail_Boyanskiy сказал:

И если служебные dns-запросы через udp/53 норма, возникает вопрос почему эти запросы каждый раз через разные серверы: То через Гугл, то через Cloudflare, ну и как собственно этого избежать?

Если речь действительно о служебном, то вот статья, что и как. Пункт 6. И отключить можно. Служебный трафик

Вообще, на сайте много очень полезных статей. В том числе и по DoT/DoH, и про чеки интернета, и пр.

Link to comment
Share on other sites

  • 0

Продублирую тут свой вопрос из ветки 4pda.

День добрый, как я понял по данному комментарию, лучше не использовать DoH в данной модели (Keenetic Lite KN-1310), на данном чипе?

 

1).
В настройках роутера установлена галочка "Игнорировать DNS"
Прописаны DoT адреса от cloudflare:
1.1.1.2 - security.cloudflare-dns.com
1.0.0.2 - security.cloudflare-dns.com

компонент DoH установлен но пока не используется.

Почему в интерфейсе выхода в интернет, проскакивает 53 порт?
на скрине с адресом 1.0.0.1, так же был 1.1.1.1

 

Скрытый текст

1.thumb.png.5ae1a2ddda842a62240f2a014aeca5f0.png

 

2).
В соединениях моего ПК не видно 853 порта, есть 80, 53, 443 и остальные которые используют различные приложения такие как гугл, антивирус, сам майкрософт...
Я так понял это норма?

 

Скрытый текст

2.thumb.png.498e5a5a0163d51b84124c88b5c83962.png

 

3).

Если допустим активировать фильтр "AdGuard DNS"
На некоторые ус-ва выставить профиль "семейный", а на остальные "Без фильтрации". Будут ли работать устройства на которых выставлен профиль "Без фильтрации", с прописанными вручную DoT (в моём случае от Cloudflare) и DoH?

KeeneticOS 3.6.10

Link to comment
Share on other sites

  • 0
2 часа назад, Le ecureuil сказал:

1. Да, все норм. 53 порт используется для bootstrap.

2. Да, норм.

3. Да.

Благодарю. Не совсем понял что такое bootstrap. мои проблемы.

 

На этот ответьте пожалуйста:

День добрый, как я понял по данному комментарию, лучше не использовать DoH в данной модели (Keenetic Lite KN-1310), на данном чипе?

Если не против ссылку на ваш ответ скину обратно в ветку по данному роутеру на 4pda, для будущих любопытных пользователей.

Link to comment
Share on other sites

  • 0
В 16.04.2020 в 22:03, cmisha сказал:

это не правильно: https upstream https://cloudflare-dns.com/dns-query json

должно быть:  https upstream https://cloudflare-dns.com/dns-query dnsm

а лучше так;

----DoH----
DNS Message:
https://1.0.0.1/dns-query

https://1.1.1.1/dns-query

 

В 17.04.2020 в 14:57, Le ecureuil сказал:

Без sni нехорошо, не будет валидации сертификата и провайдер может подменить вашу сессию с CF.

Le ecureuil, скажите, это вы ответили на сообщение cmisha ?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...