Jump to content
  • 2

Настройка DoT/DoH


KorDen

Question

Хотелось бы понять логику работы DoT/DoH и взаимодействие с name-server.

Пробуем прописать, при включенном opkg dns-override и полном отсутствии ydns/adguard/...:

(config)> dns-proxy tls upstream 1.1.1.1 sni cloudflare-dns.com
Dns::Secure::ManagerDot: DNS-over-TLS name server "1.1.1.1" is disregarded while Internet Filter is active.

Т.е. как я понимаю, для резолва запросов самим роутером (RPC) DoT/DoH использовать нельзя, они будут ходить напрямую? (использовать name-server только для необходимых резолвов для DoH, и затем переходить полностью на DoH/DoT)

Как можно диагностировать работу DoT/DoH?

Link to comment
Share on other sites

Recommended Posts

  • 0
10 минут назад, stefbarinov сказал:

Я правильно понимаю, что маркер в чек-боксе "Игнорировать DNS" можно снять?

В вашей конфигурации со включенным AdGuard он не должен оказывать никакого влияния.

Проверьте утечки DNS в обоих случаях на этом https://www.dnsleaktest.com/ сайте.

Заметил что у вас в Адгуарде стоит Без фильтрации для незарегистрированных и при этом вы упомянули что у вас не прописан вручную ни один DoT или DoH сервер. В этом случае, возможно, что запросы для незарегистрированных устройств проходили через то что выдал провайдер. А когда вы его заигнорили,то они вообще не должны были куда-то проходить с незарегистрированных. В общем пропишите хотя бы один DoT в ручную для них.

Edited by keenet07
Link to comment
Share on other sites

  • 0
11 минуту назад, keenet07 сказал:

В вашей конфигурации со включенным AdGuard он не должен оказывать никакого влияния.

Проверьте утечки DNS в обоих случаях на этом https://www.dnsleaktest.com/ сайте.

Заметил что у вас в Адгуарде стоит Без фильтрации для незарегистрированных и при этом вы упомянули что у вас не прописан вручную ни один DoT или DoH сервер. В этом случае, возможно, что запросы для незарегистрированных устройств проходили через то что выдал провайдер. А когда вы его заигнорили,то они вообще не должны были куда-то проходить с незарегистрированных. В общем пропишите хотя бы один DoT в ручную для них.

Незарегистрированных устройств у меня в сети нет!

Screenshot_1.jpg

Link to comment
Share on other sites

  • 0
1 час назад, stefbarinov сказал:

Незарегистрированных устройств у меня в сети нет!

Screenshot_1.jpg

Устройств нет, а режим для них выбран.

В многопроходном режиме нужен тест.

Edited by keenet07
Link to comment
Share on other sites

  • 0

Пару дней "чудил" интернет, не резолвились домены и, как результат, Chrome не отображал, Steam ругался на оффлайн режим и тд. Проблема проявлялась через минут 5 после загрузки роутера (половина программ на телефонах переставала работать, на компьютере Стим), при этом nslookup на удивление работал. Стоит DoH и DoT, для блокировки транзитного трафика стоял AdGuard DNS с профилем по умолчанию "Без фильтрации". Прошивка 3.3.16, пробовал ещё 3.4 Alpha 15.

Проблема оказалась в AdGuard, сначала убрал интернет фильтр, потом поставил Яндекс "Без фильтрации" - проблема пропала.

Link to comment
Share on other sites

  • 0
2 часа назад, Alex M. Jake сказал:

для блокировки транзитного трафика стоял AdGuard DNS с профилем по умолчанию "Без фильтрации"

К сожалению это так не работает. Если выбрано "Без фильтрации" применяются установленные вами DoH/DoT сервера, но никакие транзитные при этом не ловятся. Они ловятся только в случае когда выбран какой-то из режимов фильтрации для того чтоб никто мимо не убежал. 

Link to comment
Share on other sites

  • 0
5 hours ago, keenet07 said:

К сожалению это так не работает. Если выбрано "Без фильтрации" применяются установленные вами DoH/DoT сервера, но никакие транзитные при этом не ловятся. Они ловятся только в случае когда выбран какой-то из режимов фильтрации для того чтоб никто мимо не убежал. 

 

Link to comment
Share on other sites

  • 0
5 минут назад, Alex M. Jake сказал:

 

Да. Год назад я так и считал, так же почитав форум. Позже программисты подсказали, что это не совсем так.

6 минут назад, Alex M. Jake сказал:

Да и не в этом вопрос. Вопрос почему при DoH/DoT и AdGuard "Без фильтрации" перестали резолвится имена?

А в дох/дот у вас какие сервера прописаны? У меня к примеру при использовании только серверов cloudflare периодически возникают подтупливания при открытии страниц. А если добавляю дополнительно сервер от гугла, всё становится нормально. Чем больше всяких разных серверов добавлено, тем стабильнее по идее должно работать. Запрос отправляется на все сразу, а ответ используется от того кто вперед ответит.

Link to comment
Share on other sites

  • 0
57 minutes ago, keenet07 said:

А в дох/дот у вас какие сервера прописаны?

dns-proxy
    tls upstream 8.8.8.8 sni dns.google.com
    tls upstream 8.8.4.4 sni dns.google.com
    tls upstream 1.1.1.1 sni cloudflare-dns.com
    tls upstream 1.0.0.1 sni cloudflare-dns.com
    tls upstream 9.9.9.9 sni dns.quad9.net
    https upstream https://cloudflare-dns.com/dns-query json
    https upstream https://dns.google/dns-query dnsm
    https upstream https://dns.google/resolve json

 

58 minutes ago, keenet07 said:

У меня к примеру при использовании только серверов cloudflare периодически возникают подтупливания при открытии страниц.

У меня не подтупливает, а сразу отлуп о неразрезолвенном имени.

Link to comment
Share on other sites

  • 0

Техподдержка предположила, что DoH фильтруется провайдером (Дом.ру, будь он неладен, их уже не раз ловили на играх с DNS серверами и запросами).

Оставил только DoT, тестирую....

Link to comment
Share on other sites

  • 0

Подскажите, постоянно в журнале ошибка 

Цитата
Май 4 21:27:02

 

https-dns-proxy
TLS certificate verify error: Error

Ставил по инструкции через CLI, один в один как в шапке. С чем может быть связана проблема?

Link to comment
Share on other sites

  • 0
1 час назад, Alexei сказал:

Подскажите, постоянно в журнале ошибка 

Ставил по инструкции через CLI, один в один как в шапке. С чем может быть связана проблема?

Попробуйте удалять по одному DNS серверу, делайте DNS запросы и наблюдайте не пропадет ли ошибка. Если и на последнем останется, удаляйте и его и ставьте один из ранее удаленных, затем ещё один, если ошибки нет. Ну вы поняли схему. Нужно определить какой из серверов  возможно глючит и исключить его.

Edited by keenet07
  • Thanks 1
Link to comment
Share on other sites

  • 0
4 минуты назад, keenet07 сказал:

Попробуйте удалять по одному DNS серверу, делайте DNS запросы и наблюдайте не пропадет ли ошибка. Если и на последнем останется, удаляйте и его и ставьте один из ранее удаленных, затем ещё один, если ошибки нет. Ну вы поняли схему. Нужно определить какой из серверов  возможно глючит и исключить его.

Да, спасибо. Решил не париться, удалил DoH и оставил только DoT. В журнале чисто. 

Link to comment
Share on other sites

  • 0
[W] May  4 20:11:00 https-dns-proxy: Unknown rrtype 'TLSA'
[W] May  4 20:11:00 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00000000
[W] May  4 20:11:00 kernel: epc = 77a02418 in libuClibc-1.0.32.so[779b3000+b6000]
[W] May  4 20:11:00 kernel: ra  = 77a01fd4 in libuClibc-1.0.32.so[779b3000+b6000]
[E] May  4 20:11:00 ndm: Service: "DoH "Policy1" proxy #0": unexpectedly stopped.
[W] May  4 20:11:01 https-dns-proxy: Unknown rrtype 'TLSA'
[W] May  4 20:11:01 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00000000
[W] May  4 20:11:01 kernel: epc = 77e76418 in libuClibc-1.0.32.so[77e27000+b6000]
[W] May  4 20:11:01 kernel: ra  = 77e75fd4 in libuClibc-1.0.32.so[77e27000+b6000]
[E] May  4 20:11:01 ndm: Service: "DoH "Policy1" proxy #1": unexpectedly stopped.

Периодически в логе вижу такие записи, кажется что их не должно быть. Через пару секунд после них сообщения о том что https-dns-proxy подялись. С этим в поддержку или здесь смогут помочь?

Link to comment
Share on other sites

  • 0
13 часа назад, keenet07 сказал:

Нужно определить какой из серверов  возможно глючит и исключить его.

Вот только непонятно почему в лог нельзя выводить адрес сервера, при обращении к которому возникает ошибка.

Link to comment
Share on other sites

  • 0
13 часа назад, Alexander Kudrevatykh сказал:

[W] May  4 20:11:00 https-dns-proxy: Unknown rrtype 'TLSA'
[W] May  4 20:11:00 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00000000
[W] May  4 20:11:00 kernel: epc = 77a02418 in libuClibc-1.0.32.so[779b3000+b6000]
[W] May  4 20:11:00 kernel: ra  = 77a01fd4 in libuClibc-1.0.32.so[779b3000+b6000]
[E] May  4 20:11:00 ndm: Service: "DoH "Policy1" proxy #0": unexpectedly stopped.
[W] May  4 20:11:01 https-dns-proxy: Unknown rrtype 'TLSA'
[W] May  4 20:11:01 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00000000
[W] May  4 20:11:01 kernel: epc = 77e76418 in libuClibc-1.0.32.so[77e27000+b6000]
[W] May  4 20:11:01 kernel: ra  = 77e75fd4 in libuClibc-1.0.32.so[77e27000+b6000]
[E] May  4 20:11:01 ndm: Service: "DoH "Policy1" proxy #1": unexpectedly stopped.

Периодически в логе вижу такие записи, кажется что их не должно быть. Через пару секунд после них сообщения о том что https-dns-proxy подялись. С этим в поддержку или здесь смогут помочь?

Могут, я посмотрю.

Link to comment
Share on other sites

  • 0
23 часа назад, Alexander Kudrevatykh сказал:

[W] May  4 20:11:00 https-dns-proxy: Unknown rrtype 'TLSA'
[W] May  4 20:11:00 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00000000
[W] May  4 20:11:00 kernel: epc = 77a02418 in libuClibc-1.0.32.so[779b3000+b6000]
[W] May  4 20:11:00 kernel: ra  = 77a01fd4 in libuClibc-1.0.32.so[779b3000+b6000]
[E] May  4 20:11:00 ndm: Service: "DoH "Policy1" proxy #0": unexpectedly stopped.
[W] May  4 20:11:01 https-dns-proxy: Unknown rrtype 'TLSA'
[W] May  4 20:11:01 kernel: do_page_fault(): sending SIGSEGV to https_dns_proxy for invalid read access from 00000000
[W] May  4 20:11:01 kernel: epc = 77e76418 in libuClibc-1.0.32.so[77e27000+b6000]
[W] May  4 20:11:01 kernel: ra  = 77e75fd4 in libuClibc-1.0.32.so[77e27000+b6000]
[E] May  4 20:11:01 ndm: Service: "DoH "Policy1" proxy #1": unexpectedly stopped.

Периодически в логе вижу такие записи, кажется что их не должно быть. Через пару секунд после них сообщения о том что https-dns-proxy подялись. С этим в поддержку или здесь смогут помочь?

Вроде поправил, но падение так и не смог воспроизвести.

Нельзя ли снять дамп dns-запросов на LAN-интерфейсе в этот момент?

Link to comment
Share on other sites

  • 0
On 5/5/2020 at 8:30 PM, Le ecureuil said:

Вроде поправил, но падение так и не смог воспроизвести.

Нельзя ли снять дамп dns-запросов на LAN-интерфейсе в этот момент?

Запустил tcpdump но за сутки падение не воспроизвелось, если получится воспроизвести - напишу.

Link to comment
Share on other sites

  • 0

Прописал 7 серверов DoT и  2 DoH.

(config)> show dns-proxy

     proxy-status:
              proxy-name: System

            proxy-config:

rpc_port = 54321
rpc_ttl = 10000
rpc_wait = 10000
timeout = 7000
proceed = 500
stat_file = /var/ndnproxymain.stat
stat_time = 10000
dns_server = 127.0.0.1:40500 .
dns_server = 127.0.0.1:40501 .
dns_server = 127.0.0.1:40502 .
dns_server = 127.0.0.1:40503 .
dns_server = 127.0.0.1:40504 .
dns_server = 127.0.0.1:40505 .
dns_server = 127.0.0.1:40506 .
dns_server = 127.0.0.1:40508 .
dns_server = 127.0.0.1:40509 .
static_a = my.keenetic.net 78.47.125.180
static_a = aedb814b5517802488eb4160.keenetic.io 78.47.125.180
set-profile-ip 127.0.0.1 0
set-profile-ip ::1 0
dns_tcp_port = 53
dns_udp_port = 53

Смущают две последних строки. Фильтры отключены.

Link to comment
Share on other sites

  • 0
12 минуты назад, sng сказал:

dns_tcp_port = 53
dns_udp_port = 53

Смущают две последних строки. Фильтры отключены.

А чем смущают? У вас же активирован DoH, а он в качестве бутстрапа использует обращения к нескольким обычным DNS серверам по 53 порту для собственного функционирования.

Все пользовательские запросы идут защищенными каналами.

Но, если оставить только DoT то и этих двух строк не будет. Компонент DoH правда для этого нужно полностью удалить.

Edited by keenet07
  • Upvote 1
Link to comment
Share on other sites

  • 0
3 часа назад, sng сказал:

Прописал 7 серверов DoT и  2 DoH.

(config)> show dns-proxy

     proxy-status:
              proxy-name: System

            proxy-config:

rpc_port = 54321
rpc_ttl = 10000
rpc_wait = 10000
timeout = 7000
proceed = 500
stat_file = /var/ndnproxymain.stat
stat_time = 10000
dns_server = 127.0.0.1:40500 .
dns_server = 127.0.0.1:40501 .
dns_server = 127.0.0.1:40502 .
dns_server = 127.0.0.1:40503 .
dns_server = 127.0.0.1:40504 .
dns_server = 127.0.0.1:40505 .
dns_server = 127.0.0.1:40506 .
dns_server = 127.0.0.1:40508 .
dns_server = 127.0.0.1:40509 .
static_a = my.keenetic.net 78.47.125.180
static_a = aedb814b5517802488eb4160.keenetic.io 78.47.125.180
set-profile-ip 127.0.0.1 0
set-profile-ip ::1 0
dns_tcp_port = 53
dns_udp_port = 53

Смущают две последних строки. Фильтры отключены.

Эти строки определяют порт сервера, на котором он работает. Логично, что из LAN он будет доступен по обычному plaintext - варианту.

Link to comment
Share on other sites

  • 0

Оставил только DoT через  AdGuard DNS без фильтрации.

Периодически  появляется вместо  1-2х серверов

DNS leak test

Test complete

Query round    Progress...    Servers found
1        ......        4
2        ......        1
3        ......        4
4        ......        6
5        ......        5
6        ......        6

IP     Hostname     ISP     Country
162.158.180.91     None     Cloudflare     United States
74.125.112.1     None     Google     Finland
74.125.112.11     None     Google     Finland
74.125.112.2     None     Google     Finland
74.125.112.4     None     Google     Finland
74.125.112.9     None     Google     Finland
74.125.46.131     None     Google     Lappeenranta, Finland
74.125.46.132     None     Google     Lappeenranta, Finland
74.125.46.135     None     Google     Lappeenranta, Finland
74.125.46.140     None     Google     Lappeenranta, Finland
74.125.74.1     None     Google     Lappeenranta, Finland
74.125.74.13     None     Google     Lappeenranta, Finland
74.125.74.131     None     Google     Lappeenranta, Finland
74.125.74.136     None     Google     Lappeenranta, Finland
74.125.74.139     None     Google     Lappeenranta, Finland
74.125.74.141     None     Google     Lappeenranta, Finland
74.125.74.5     None     Google     Lappeenranta, Finland
74.125.74.7     None     Google     Lappeenranta, Finland
74.125.74.9     None     Google     Lappeenranta, Finland

Как от финов избавиться?

 

Edited by sng
Link to comment
Share on other sites

  • 0
5 часов назад, sng сказал:

Оставил только DoT через  AdGuard DNS без фильтрации

Как от финов избавиться?

 

Сам себе и отвечаю...

Эти фины от серверов DoT/DoH Гугла.  :)

Edited by sng
Link to comment
Share on other sites

  • 0

@Le ecureuil,

KeeneticOS 3.4.1

при настройке DoT/DoH (cloudflare google.dns) происходят рандомные отвалы раз в сутки с последующим перезапуском: 

[I] May 23 06:56:39 ndhcpc: GigabitEthernet1: received ACK for 95.xx from 85.xx.
[E] May 23 06:57:56 ndm: Service: "DoT "System" UDP-to-TCP proxy #1": unexpectedly stopped.
[I] May 23 07:01:40 ndhcpc: GigabitEthernet1: received ACK for 95.xx from 85.xx.
[I] May 23 07:11:40 ndhcpc: Core::Syslog: last message repeated 2 times.
[I] May 25 03:22:14 ndhcpc: GigabitEthernet1: received ACK for 95.xx from 85.xx.
[I] May 25 03:37:15 ndhcpc: Core::Syslog: last message repeated 3 times.
[E] May 25 03:41:45 ndm: Service: "DoT "System" UDP-to-TCP proxy #1": unexpectedly stopped.
[I] May 25 03:42:15 ndhcpc: GigabitEthernet1: received ACK for 95.xx from 85.xx.
[I] May 25 03:52:16 ndhcpc: Core::Syslog: last message repeated 2 times.

настройка проводится после полного сброса устр-ва, остальные настройки выставлены по-дефолту. 

как лечить?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...