Jump to content
  • 3

Настройка DoT/DoH


KorDen

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Link to comment
Share on other sites

Recommended Posts

  • 0

Лучше реально пример из которого можно что-то выбрать по приемлемым "ms"

    tls upstream 1.1.1.1 853 sni cloudflare-dns.com
    tls upstream 8.8.8.8 853 sni dns.google.com
    tls upstream 9.9.9.9 853 sni dns.quad9.net
    tls upstream 176.103.130.131 853 sni dns.adguard.com
    https upstream https://dns.adguard.com/dns-query dnsm
    https upstream https://cloudflare-dns.com/dns-query?ct=application/dns-json json

DNS Servers

                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
               127.0.0.1  40500     780      96       76      88ms     114ms     3  
               127.0.0.1  40501     855      70       84      72ms      78ms     3  
               127.0.0.1  40502     869      80       76      74ms     104ms     3  
               127.0.0.1  40503     936       0        1      83ms      83ms     0  
               127.0.0.1  40508     918      48       36      83ms     103ms     3  
               127.0.0.1  40509     791     119       97      71ms      71ms     3  

Что-то и выбрать из данного набора не чего, так чтоб 30-50ms

  • Upvote 1
Link to comment
Share on other sites

  • 0

Добавьте все, хуже не будет.

30-50 мс это труднодостижимое время для dot/doh, укладка в 100 мс - это уже отличный показатель для average response time.

Попробуйте через dnsperf бенчмарки провести, сравним результаты.

  • Thanks 1
Link to comment
Share on other sites

  • 0
58 минут назад, vasek00 сказал:

Что-то и выбрать из данного набора не чего, так чтоб 30-50ms

Оно на самом деле очень скачет, если подампить вывод несколько раз в течение продолжительного времени. Пиковые цифры как я понимаю выскакивают когда keepalive закончился и он пересогласовывает TLS - если активности в сети не много, оно кмк часто будет дохнуть. У меня например такая картина получается

tls upstream 8.8.8.8 sni dns.google
tls upstream 1.1.1.1 sni cloudflare-dns.com
tls upstream 9.9.9.9 sni dns.quad9.net

       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     184     168       11      24ms      32ms    10
127.0.0.1  40501     317     226       10     314ms    1102ms     4
127.0.0.1  40502      19       3        7     207ms    1296ms     5

---чуть позже---
       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     285     255       11      24ms      23ms    10
127.0.0.1  40501     336     236       10      52ms     250ms     8
127.0.0.1  40502      33       3        7     207ms    1296ms     3

 

Edited by KorDen
  • Upvote 1
Link to comment
Share on other sites

  • 0
15 часов назад, r777ay сказал:

На 1810 DoH работает? Пробовал разные публично доступные серверы.  Не могу попасть не на один сайт

У меня не работал DoT, пока не удалил adguard. Adguard при этом был выключен и просто присутствовал как компонент системы.

Link to comment
Share on other sites

  • 0
51 минуту назад, KorDen сказал:

Оно на самом деле очень скачет, если подампить вывод несколько раз в течение продолжительного времени. Пиковые цифры как я понимаю выскакивают когда keepalive закончился и он пересогласовывает TLS - если активности в сети не много, оно кмк часто будет дохнуть. У меня например такая картина получается


tls upstream 8.8.8.8 sni dns.google
tls upstream 1.1.1.1 sni cloudflare-dns.com
tls upstream 9.9.9.9 sni dns.quad9.net

       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     184     168       11      24ms      32ms    10
127.0.0.1  40501     317     226       10     314ms    1102ms     4
127.0.0.1  40502      19       3        7     207ms    1296ms     5

---чуть позже---
       Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank
127.0.0.1  40500     285     255       11      24ms      23ms    10
127.0.0.1  40501     336     236       10      52ms     250ms     8
127.0.0.1  40502      33       3        7     207ms    1296ms     3

 

Разумеется, нужно смотреть в момент, когда запросы идут непрерывно. В остальные времена это "погода на Марсе".

Link to comment
Share on other sites

  • 0
1 минуту назад, Кинетиковод сказал:

У меня не работал DoT, пока не удалил adguard. Adguard при этом был выключен и просто присутствовал как компонент системы.

Откуда проверялся DoT? С ПК или с роутера?

Link to comment
Share on other sites

  • 0
1 минуту назад, Le ecureuil сказал:

Откуда проверялся DoT? С ПК или с роутера?

C ПК. Причём не открывались не только страницы в интернете, но и вебморда роутера переставала отвечать и выходила из коматоза через некоторое время. Удивляло то, что при настройке DoT в логах шли сообщения о adguard, хотя adguard я не трогал. Решил в итоге его удалить и DoT заработал.

Link to comment
Share on other sites

  • 0
On 6/14/2019 at 8:55 PM, Le ecureuil said:

Тема уходит на свалку истории, потому что его реализовывать не будут. Ну а dnscrypt-proxy и протокол сами туда отойдут, без нас.

А блеклисты - это совсем другая фича, никак именно к DC не относящаяся. Можно создавать тему с голосовалкой по ней.

Тоже пользовался блокировкой рекламы через блеклисты в dnscrypt-proxy. Подскажите как теперь(используя DoT и DoH) реализовать блокировку? 

Через dnsmasq получится(я правда не силен в этом)? 

 

ps попробовал dnsmasq с конфигом,  не фильтрует.

user=nobody
bogus-priv
no-negcache
clear-on-reload
bind-dynamic
listen-address=192.168.0.1
listen-address=127.0.0.1
min-port=4096
cache-size=1536
expand-hosts
log-async

no-resolv

conf-file=/opt/etc/adblock.dnsmasq

 

Edited by Dima Babanakov
ps
Link to comment
Share on other sites

  • 0
3 минуты назад, Dima Babanakov сказал:

Тоже пользовался блокировкой рекламы через блеклисты в dnscrypt-proxy. Подскажите как теперь(используя DoT и DoH) реализовать блокировку? 

Через dnsmasq получится(я правда не силен в этом)?  

Ну так и оставайтесь на dnscrypt, в чем фишка перепрыгивания?

Link to comment
Share on other sites

  • 0
4 minutes ago, vasek00 said:

dnscrypt, в чем фишка перепрыгивания?

Он не работал у меня так как должен был почему то, подмена от провайдера так и лезла, а тут добавил 5 строк, что выше указаны и сайты стали открываться.

Link to comment
Share on other sites

  • 0
1 час назад, cmisha сказал:

Попробуйте 1.0.0.1 он находится в Москве. 

Как то не "реальная" картника от DNS Bench, например при

dns-proxy
1    tls upstream 1.0.0.1 853 sni cloudflare-dns.com
2    tls upstream 8.8.8.8 853 sni dns.google.com
3    tls upstream 176.103.130.131 853 sni dns.adguard.com

Total incoming requests: 1004
Proxy requests sent:     1956
Cache hits ratio:        0.213 (214)
Memory usage:            209.63K
DNS Servers
                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  
1               127.0.0.1  40500     692     175      130      46ms      46ms     7  
2               127.0.0.1  40501     731     101       86      72ms     122ms     5  
3               127.0.0.1  40502     533       0        3     114ms     106ms     0  

После запуска DNS Bench
1.0.0.1 cloudflare-dns.com = 46ms/46ms
8.8.8.8 dns.google.com = 72ms/122ms
176.103.130.131 dns.adguard.com = 114ms/106ms

956493297_-2.jpg.21311f1d19d95e047f12bb3c91bdc359.jpg

Link to comment
Share on other sites

  • 0
1 час назад, Кинетиковод сказал:

У меня не работал DoT, пока не удалил adguard. Adguard при этом был выключен и просто присутствовал как компонент системы.

удалил Adguard не помогло ☹️

С DoT проблем нет, а DoH на Console,PC Win10 1903 не пашет, на Android всё норм.

Edited by r777ay
Link to comment
Share on other sites

  • 0
5 часов назад, vasek00 сказал:

Лучше реально пример из которого можно что-то выбрать по приемлемым "ms"

Как получаете такой вывод? Какой командой?

У меня dns-proxy ничего не дает, а как будто входит в новый контекст.

А more temp:ndnproxymain.stat выдает чуть по другому

Скрытый текст

Total incoming requests: 709",
        "Proxy requests sent:     1340",
        "Cache hits ratio:        0.082 (58)",
        "Memory usage:            17.91K",
        "",
        "DNS Servers",
        "",
        "                      Ip   Port  R.Sent  A.Rcvd  NX.Rcvd  Med.Resp  Avg.Resp  Rank  ",
        "           91.217.137.37     53       0       0        0       0ms       0ms     3  ",
        "               127.0.0.1  40500     221      86      134     188ms     174ms     3  ",
        "               127.0.0.1  40501     135       0       67     186ms     162ms     1  ",
        "               127.0.0.1  40502     135       0      116     208ms     195ms     1  ",
        "               127.0.0.1  40503     148       4      102     194ms     168ms     3  ",
        "               127.0.0.1  40504     564     427      109      98ms     127ms     8  ",
        "               127.0.0.1  40505     137       0        0       0ms       0ms     0  ",

Кстати, старый добрый https://www.dnsleaktest.com/ может помочь при тестировании DoT/DoH серверов.

Edited by ankar84
Link to comment
Share on other sites

  • 0
11 минуту назад, ankar84 сказал:

Как получаете такой вывод? Какой командой?

У меня dns-proxy ничего не дает, а как будто входит в новый контекст. 

Все взято из selftest

Med.Resp/Avg.Resp - серьезный хххms у вас, вопрос только по каким серверам.
Link to comment
Share on other sites

  • 0
6 часов назад, Le ecureuil сказал:

Добавьте все, хуже не будет.

30-50 мс это труднодостижимое время для dot/doh, укладка в 100 мс - это уже отличный показатель для average response time.

Попробуйте через dnsperf бенчмарки провести, сравним результаты.

Может конечно глюк, но у меня один из серваков 6/8 мс показывает по dot в выводе show dns-proxy

Link to comment
Share on other sites

  • 0

Странная штука, ноуты на винде(10 и 7) не видят интернет. На сайты не выходят, даже на самые простые.

Явная проблема с DNS тк к примеру ping 8.8.8.8 проходит, а ping google.com нет.

в свойствах подключения в качестве шлюза и DNS 192.168.1.1

на других устройствах ПК(убунту), планшеты на андроид и ios все есть.

 

Похоже это dnsmasq мешал(

Edited by Dima Babanakov
 dnsmasq мешал
Link to comment
Share on other sites

  • 0
12 минуты назад, Dima Babanakov сказал:

Странная штука, ноуты на винде(10 и 7) не видят интернет

Тоже проблема была с устр. на Win. OPKG Не запущен.

Link to comment
Share on other sites

  • 0
4 часа назад, Le ecureuil сказал:

Да, важный момент.

На устройствах с 7628 DoH работает не через http/2, а через http/1.1 keepalive. Это связано с большим размером библиотеки nghttp2, места для которой не хватает. Нагрузка на CPU от DoH тоже заметно выше, чем от DoT, потому на 7628 DoH стоит рассмотривать в основном лишь как last resort - когда другое не работает или заблокировано провайдером.

Потому на 7628 рекомендуется в основном DoT.

А на уст-вах с 128 Мбайт памяти библиотекам nghttp2 хватит места?

Потому как я не увидел критически большой нагрузки на 7628 CPU при включенном DoH и DoT. Бывают лишь кратковременные и очень редкие всплески до 70%.

Link to comment
Share on other sites

  • 0
29 минут назад, Igor Puteev сказал:

А на уст-вах с 128 Мбайт памяти библиотекам nghttp2 хватит места?

Потому как я не увидел критически большой нагрузки на 7628 CPU при включенном DoH и DoT. Бывают лишь кратковременные и очень редкие всплески до 70%.

Не оперативки, а флешки наверное. 

Edited by r13
Link to comment
Share on other sites

  • 0
57 минут назад, r13 сказал:

Не оперативки, а флешки наверное. 

верно, заработался, но сути не меняет - флеша ведь в таких устройствах 16Mb вместо 8-ми)

Link to comment
Share on other sites

  • 0
32 минуты назад, Igor Puteev сказал:

верно, заработался, но сути не меняет - флеша ведь в таких устройствах 16Mb вместо 8-ми)

На самом деле из-за постоянно разбухающей прошивки 16 метров уже на исходе. Учтите что реально доступно где-то 14,6. У меня в запасе ещё 3 метра и я не ставил все доступные компоненты.

 

Link to comment
Share on other sites

  • 0
1 минуту назад, Кинетиковод сказал:

На самом деле из-за постоянно разбухающей прошивки 16 метров уже на исходе. Учтите что реально доступно где-то 14,6. У меня в запасе ещё 3 метра и я не ставил все доступные компоненты.

 

подскажите, какой командой можно посмотреть занятое компонентами место во флеше?

Link to comment
Share on other sites

  • 0
2 минуты назад, Кинетиковод сказал:

Я просто скачиваю её на комп.)))

все гениальное просто - 7.4Mb занято, а добавлено лишь немного компонентов))

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...