Настройка DoT/DoH

[KorDen]

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

[keenet07]

6 часов назад, bnsott сказал:

Подскажите, при настроенном DoH (NextDNS, через компонент Прокси-сервер DNS-over-HTTPS) адреса добавленные через ip host (сторонние, не для DoH сервера) игнорируются?

Конечно. А в чем сомнения?

[bnsott]

14 часа назад, keenet07 сказал:

Конечно. А в чем сомнения?

Хотел чтобы эти адреса использовались, это возможно сделать?

[kda2495]

В 24.04.2023 в 14:56, Existing2846 сказал:

Удалось ли кому-то найти источник проблем с too many failed requests при использовании профиля Cloudflare? Вижу в теме уже поднимался такой вопрос.

В системном профиле для DNS, DoT, DoH прописаны те же значения от Cloudflare но если я правильно понял - они должны игнорироваться при использовании профиля и роли не играть.

В логе происходит примерно следующее:

  Показать содержимое

[E] Apr 24 14:39:05 stubby: "cloudflare-dns.com": too many failed requests, try to reload process
[E] Apr 24 14:39:05 ndm: Service: "DoT "System" proxy #2": unexpectedly stopped.
[I] Apr 24 14:39:08 stubby: starting Stubby 0.4.0
[E] Apr 24 14:43:08 stubby: "cloudflare-dns.com": too many failed requests, try to reload process
[E] Apr 24 14:43:08 ndm: Service: "DoT "System" proxy #2": unexpectedly stopped.
[I] Apr 24 14:43:11 stubby: starting Stubby 0.4.0
[E] Apr 24 14:46:38 stubby: "cloudflare-dns.com": too many failed requests, try to reload process
[E] Apr 24 14:46:38 ndm: Service: "DoT "System" proxy #2": unexpectedly stopped.
[I] Apr 24 14:46:41 stubby: starting Stubby 0.4.0

 

Каким образом можно локализовать проблему?

А не связано ли это с тем, что у cloudflare-dns.com 2 IP-адреса: 104.16.248.249 и 104.16.249.249. Так вот, 104.16.248.249 заблокирован РКН, может роутер пытается достучаться до него, из-за блокировки не может и поэтому выводит ошибку?

Блокировку 104.16.248.249 можете проверить тут: https://blocklist.rkn.gov.ru/

Edited March 21 by kda2495

[Alexander]

@Le ecureuil, @hellonow, уважаемые разработчики и продвинутые пользователи!

Подскажите, с точки зрения работы Keenetic OS, есть ли разница что прописано в поле "Адрес сервера DNS" - IP-адрес или доменное имя FQDN? По скорости разрешения имён, общей производительности, иных проблем?

Плюсы использования FQDN очевидны - IP-адреса подтягиваются автоматически. Причем обычно в количестве более одного (зачастую 2 IPv4 и 2 IPv6). Кстати, сколько из полученных IP-адресов реально используется для DoT?

Минус, как я понимаю, необходимость периодически запускать bootstrap для FQDN🡒IP. А как часто?

В логе много сообщений типа:

Июл 7 20:47:38 ndm
Dns::Secure::Tools: unable to obtain addresses for "dns.google".
Июл 7 20:47:38 ndm
Dns::Secure::DotConfigurator: "default": skip service "dns.google:853", wait for bootstrap.

Это нормально?

 

 

[Mixin]

7 минут назад, Alexander сказал:

В логе много сообщений типа:

Июл 7 20:47:38 ndm
Dns::Secure::Tools: unable to obtain addresses for "dns.google".
Июл 7 20:47:38 ndm
Dns::Secure::DotConfigurator: "default": skip service "dns.google:853", wait for bootstrap.

Это нормально?

Кривой же адрес прописали.

[Alexander]

7 минут назад, Mixin сказал:

Кривой же адрес прописали.

Адрес правильный. Как сам google рекомендует. Точно так же "ругается" на другие адреса.

Скрытый текст

Июл 8 01:25:34 ndm
Dns::Secure::Tools: unable to obtain addresses for "common.dot.dns.yandex.net".
Июл 8 01:25:34 ndm
Dns::Secure::DotConfigurator: "default": skip service "common.dot.dns.yandex.net:853", wait for bootstrap.
Июл 8 01:35:14 ndm
Dns::Secure::Tools: unable to obtain addresses for "dns.quad9.net".
Июл 8 01:35:14 ndm
Dns::Secure::DotConfigurator: "default": skip service "dns.quad9.net:853", wait for bootstrap.

 

 

[Mixin]

Вам железка говорит, что не в состонии адрес получить. Соответственно, либо адрес неправильный, либо нечем разрешить имя в адрес. 

[Alexander]

14 часа назад, Mixin сказал:

Соответственно, либо адрес неправильный, либо нечем разрешить имя в адрес. 

У меня два провайдера работают в многопутевом режиме. Один из них АКАДО фильтрует запросы к сторонним DNS по 53 порту. Соответственно, такая ситуация может случиться, если bootstrap шлёт запросы в DNS через АКАДО, но при этом не используя DNS провайдера. Однако, где-то выше писалось, что bootstrap их использует, кроме своего списка публичных DNS.  @Le ecureuil Это так?

Edited July 8 by Alexander

[Mixin]

Если провайдеров физически два, почему не настроить DNS для каждого свой по интерфейсу?

[kda2495]

21 час назад, Alexander сказал:

@Le ecureuil, @hellonow, уважаемые разработчики и продвинутые пользователи!

Подскажите, с точки зрения работы Keenetic OS, есть ли разница что прописано в поле "Адрес сервера DNS" - IP-адрес или доменное имя FQDN? По скорости разрешения имён, общей производительности, иных проблем?

Плюсы использования FQDN очевидны - IP-адреса подтягиваются автоматически. Причем обычно в количестве более одного (зачастую 2 IPv4 и 2 IPv6). Кстати, сколько из полученных IP-адресов реально используется для DoT?

Минус, как я понимаю, необходимость периодически запускать bootstrap для FQDN🡒IP. А как часто?

В логе много сообщений типа:

Июл 7 20:47:38 ndm
Dns::Secure::Tools: unable to obtain addresses for "dns.google".
Июл 7 20:47:38 ndm
Dns::Secure::DotConfigurator: "default": skip service "dns.google:853", wait for bootstrap.

Это нормально?

 

 

Это нормально, до 4.1.6 bootstrap вообще был сломан, в 4.1.6 починили, но, видимо, сообщения не исправили. Как я понял, в примерах у Google по DoT вообще нигде IP не упоминаются, только FQDN dns.google: https://developers.google.com/speed/public-dns/docs/dns-over-tls

Поэтому прописываю в обоих полях FQDN. Bootstrap использует встроенные DNS на 53 порту для получения IP-адреса. Получение происходит раз в 12 часов. Что быстрее не знаю, но следую рекомендациям Google. Можете поправить, кстати, вдруг что-то неправильно понял.

Edited July 8 by kda2495

[Alexander]

3 часа назад, Mixin сказал:

Если провайдеров физически два, почему не настроить DNS для каждого свой по интерфейсу?

Так и настроено. Вопрос только правильно ли пользуется этими настройками bootstrap.

Скрытый текст

Впрочем, главный вопрос у меня был - какие ещё есть плюсы и минусы использования FQDN адреса сервера DoT?

[Alexander]

16 минут назад, kda2495 сказал:

Поэтому прописываю в обоих полях FQDN. Bootstrap использует встроенные DNS на 53 порту для получения IP-адреса. Получение происходит раз в 12 часов.

А сколько IP-адресов используется, из числа полученных при разрешении FQDN от DNS, не известно?

[Alexander]

3 часа назад, Mixin сказал:

Если провайдеров физически два, почему не настроить DNS для каждого свой по интерфейсу?

Но похоже дело тут не в двух провайдерах. Посмотрел лог другого своего кинетика (один провайдер) - те же регулярные сообщения.

38 минут назад, kda2495 сказал:

Получение происходит раз в 12 часов.

У меня, судя по сообщениям в логе, попытки идут заметно чаще...

[kda2495]

31 минуту назад, Alexander сказал:

А сколько IP-адресов используется, из числа полученных при разрешении FQDN от DNS, не известно?

Ну, у меня только IPv4 в Управление - Диагностика - Активные соединения 2 IP: 8.8.8.8 и 8.8.4.4

[kda2495]

40 минут назад, Alexander сказал:

Так и настроено. Вопрос только правильно ли пользуется этими настройками bootstrap.

  Скрыть содержимое

Впрочем, главный вопрос у меня был - какие ещё есть плюсы и минусы использования FQDN адреса сервера DoT?

А, понял о чем Вы) В общем, уже давно есть такой баг: при одновременном использовании DNS от провайдера и DoT/DoH Stubby (компонент для работы DoT/DoH) будет перезапускаться каждую минуту вроде. В общем, идете в Кабель Ethernet - Параметры IP и DNS - Показать дополнительные настройки IP и включаете Игнорировать DNS. Это отключит DNS провайдера и перезапуска Stubby каждую минуту не будет.

А насчет FQDN поддержка когда-то мне отвечала, что разницы нет. Но, при использовании IP запрос идет на один из IP, который самый быстрый, при использовании FQDN - сразу на все IP-адреса, что, как мне кажется, стабильнее и быстрее.

Edited July 8 by kda2495

[dimon27254]

8 часов назад, Alexander сказал:

Посмотрел лог другого своего кинетика (один провайдер) - те же регулярные сообщения.

У меня, судя по сообщениям в логе, попытки идут заметно чаще...

Нет ли у вас перед этими сообщениями строк с текстом вида "received ACK for *.*.*.* from *.*.*.* lease * sec"?

В 4.2 было исправление по этому поводу:

До появления исправления у меня сыпались аналогичные вашим сообщения при каждом продлении аренды IP-адреса на проводном подключении.

Edited July 9 by dimon27254

[Alexander]

4 часа назад, dimon27254 сказал:

Нет ли у вас перед этими сообщениями строк с текстом вида "received ACK for *.*.*.* from *.*.*.* lease * sec"?

Нет, не вижу. Вот фрагмент лога длительностью ~1 час:
 

Скрытый текст

[I] Jul  9 11:08:06 stubby: starting Stubby 0.4.0 
[I] Jul  9 11:20:11 stubby: Core::Syslog: last message repeated 7 times.
[I] Jul  9 11:21:43 ndm: Dns::Secure::Tools: unable to obtain addresses for "dns.quad9.net". 
[I] Jul  9 11:21:43 ndm: Dns::Secure::DotConfigurator: "default": skip service "dns.quad9.net:853", wait for bootstrap. 
[I] Jul  9 11:21:51 stubby: starting Stubby 0.4.0 
[I] Jul  9 11:48:02 stubby: Core::Syslog: last message repeated 16 times.
[I] Jul  9 11:48:09 ndm: Dns::Secure::Tools: unable to obtain addresses for "dns.google". 
[I] Jul  9 11:48:09 ndm: Dns::Secure::DotConfigurator: "default": skip service "dns.google:853", wait for bootstrap. 
[I] Jul  9 11:48:13 stubby: starting Stubby 0.4.0 
[I] Jul  9 11:57:12 stubby: Core::Syslog: last message repeated 3 times.
[I] Jul  9 11:58:03 ndm: Dns::Secure::Tools: unable to obtain addresses for "dns.quad9.net". 
[I] Jul  9 11:58:03 ndm: Dns::Secure::DotConfigurator: "default": skip service "dns.quad9.net:853", wait for bootstrap. 
[I] Jul  9 11:58:05 stubby: starting Stubby 0.4.0 
[I] Jul  9 11:58:56 ndm: Dns::Secure::Tools: unable to obtain addresses for "dns.quad9.net". 
[I] Jul  9 11:58:56 ndm: Dns::Secure::DotConfigurator: "default": skip service "dns.quad9.net:853", wait for bootstrap. 
[I] Jul  9 11:59:01 stubby: starting Stubby 0.4.0 
[I] Jul  9 12:05:15 stubby: Core::Syslog: last message repeated 4 times.
[I] Jul  9 12:07:59 ndm: Dns::Secure::Tools: unable to obtain addresses for "common.dot.dns.yandex.net". 
[I] Jul  9 12:07:59 ndm: Dns::Secure::DotConfigurator: "default": skip service "common.dot.dns.yandex.net:853", wait for bootstrap. 
[I] Jul  9 12:08:04 stubby: starting Stubby 0.4.0 
[I] Jul  9 12:18:23 stubby: Core::Syslog: last message repeated 7 times.
[I] Jul  9 12:19:45 ndm: Dns::Secure::Tools: unable to obtain addresses for "dns.quad9.net". 
[I] Jul  9 12:19:45 ndm: Dns::Secure::DotConfigurator: "default": skip service "dns.quad9.net:853", wait for bootstrap. 
[I] Jul  9 12:19:50 stubby: starting Stubby 0.4.0 
[I] Jul  9 12:27:46 stubby: Core::Syslog: last message repeated 4 times.
[I] Jul  9 12:27:57 ndm: Dns::Secure::Tools: unable to obtain addresses for "dns.google". 
[I] Jul  9 12:27:57 ndm: Dns::Secure::DotConfigurator: "default": skip service "dns.google:853", wait for bootstrap. 
[I] Jul  9 12:28:03 stubby: starting Stubby 0.4.0 
[I] Jul  9 12:29:46 stubby: Core::Syslog: last message repeated 2 times.

 

 

13 часа назад, kda2495 сказал:

В общем, идете в Кабель Ethernet - Параметры IP и DNS - Показать дополнительные настройки IP и включаете Игнорировать DNS. Это отключит DNS провайдера и перезапуска Stubby каждую минуту не будет.

К сожалению, заметного эффекта от отключения не вижу.

[Le ecureuil]

Провейряте на 4.2. В 4.1 все останется как есть.

[kda2495]

8 часов назад, Le ecureuil сказал:

Провейряте на 4.2. В 4.1 все останется как есть.

Подскажите, пожалуйста, для Google DoT как лучше указывать?

В поле адрес сервера: dns.google:853 и в поле доменное имя TLS: dns.google?

Или в поле адрес сервера всё-таки лучше IP подставлять?

В материалах Google вообще про IP ничего не нашёл, везде только dns.google.

Просто, как я понимаю, если везде указать FQDN, то в активных соединениях всегда 2 адреса: 8.8.8.8 и 8.8.4.4, в таком случае используются одновременно сразу 2 адреса?

А при указании IP в поле Адрес сервера в активных соединениях всегда только один адрес (который быстрее), не будет ли проблемы в том, что роутер постоянно будет метаться между 2-мя адресами, выясняя, который сейчас быстрее? 

Вот не могу определиться, как будет лучше по скорости и отклику?

Подскажите, пожалуйста, как разработчик.

Спасибо!

Edited July 9 by kda2495

[keenet07]

3 часа назад, kda2495 сказал:

А при указании IP в поле Адрес сервера в активных соединениях всегда только один адрес (который быстрее), не будет ли проблемы в том, что роутер постоянно будет метаться между 2-мя адресами, выясняя, который сейчас быстрее? 

Зачем ему метаться? Запрос отправляется сразу на все одновременно. Который первый ответил, тот и быстрее. И так с каждым запросом. Чем больше серверов, тем потенциально стабильнее. В какой-то момент основной может оказаться чуть более загружен, ответ быстрее придёт от второго или вообще от DNS другого сервера, если пропишите ещё пару сторонних.

Edited July 10 by keenet07

[Le ecureuil]

9 часов назад, kda2495 сказал:

Подскажите, пожалуйста, для Google DoT как лучше указывать?

В поле адрес сервера: dns.google:853 и в поле доменное имя TLS: dns.google?

Или в поле адрес сервера всё-таки лучше IP подставлять?

В материалах Google вообще про IP ничего не нашёл, везде только dns.google.

Просто, как я понимаю, если везде указать FQDN, то в активных соединениях всегда 2 адреса: 8.8.8.8 и 8.8.4.4, в таком случае используются одновременно сразу 2 адреса?

А при указании IP в поле Адрес сервера в активных соединениях всегда только один адрес (который быстрее), не будет ли проблемы в том, что роутер постоянно будет метаться между 2-мя адресами, выясняя, который сейчас быстрее? 

Вот не могу определиться, как будет лучше по скорости и отклику?

Подскажите, пожалуйста, как разработчик.

Спасибо!

Все равно, оба варианта будут нормально работать.

[kda2495]

22 минуты назад, Le ecureuil сказал:

Все равно, оба варианта будут нормально работать.

Спасибо! Ещё такой вопрос. Есть подозрение, что рейтинг DNS немного неправильно считается. К примеру, добавляем сервера: первый - dns.google, второй - one.one.one.one, в данном случае самым быстрым будет последний добавленный сервер (one.one.one.one), но стоит поменять их местами: первый - one.one.one.one, а второй - dns.google и самым быстрым будет уже dns.google, так как он в списке добавленных последний. Сужу по show dns-proxy. Это не баг? Так можно добавить максимальное количество серверов и самым быстрым будет последний добавленный.

Edited July 10 by kda2495