Разрешение не стандартных доменов при включенном DoT/DoH

[ankar84]

Добрый день!

Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо.

И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib

Разрешать такие домены умеют DNS серверы проекта OpenNIC

Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC

Скрытый текст

Ранее я делал это вот такой настройкой в WebUI

Скрытый текст

Но теперь это не работает.

Просьба реализовать данный функционал.

Спасибо!

Edited July 19, 2019 by ankar84

[Le ecureuil]

Спасибо за подсветку проблемы.

Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib).

Потому нашел вам кучку opennic-серверов, которые умеют dot и doh.

Добавляйте их к обычным dot/doh серверам, и все будет работать:

https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue
 

Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено.

[ankar84]

1 час назад, Le ecureuil сказал:

Потому нашел вам кучку opennic-серверов, которые умеют dot и doh

Большое спасибо за серверы!

Но тогда у меня 2 вопроса:

1. Как это будет работать с интернет-фильтром AdGuard DNS? Как настроить в этом случае?

2. Как можно добавить DoT\DoH сервер для разрешения конкретного домена подобно тому, как это можно сделать для обычного DNS сервера?

Просто сейчас у меня сейчас установлен интернет-фильтр AdGuard DNS, но в фильтрах выбрано "Без фильтрации". Добавлено 2 DoT сервера AdGuard DNS (сделал так, потому, что считал, что с фильтром в таком виде есть проблема, которой как оказалось нет).

Я добавил предложенный DoT сервер okashi.me [144.76.103.143] и rutor.lib у меня открылся запроса (обновления страницы) с 5-6. Но все же открылся (то есть оно в целом работает).

Видимо серверы AdGuard были чаще быстрее, а потом все же первым ответил сервер OpenNIC и имя разрешилось в адрес.

Поэтому хочется, чтобы и при включенном интернет-фильтре (AdGuard) и\или при просто заданных DoT\DoH серверах приоритет в разрешении определенных доменов всегда был у заданных DoT\DoH серверов (OpenNIC для *.lib)

Edited August 7, 2019 by ankar84

[Le ecureuil]

Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

Давайте тогда отложим ненадолго это.

[ankar84]

В 09.08.2019 в 17:45, Le ecureuil сказал:

нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

@Le ecureuil еще не пришло время для этого?

[avn]

38 minutes ago, ankar84 said:

@Le ecureuil еще не пришло время для этого?

dnsmasq решает данные проблемы в полном объеме.

Spoiler

user=nobody

interface=br0
#bind-interfaces# Bind only to interfaces in use
#bind-dynamic	# Bind to interfaces in use - check for new interfaces

#listen-address=192.168.97.97
#listen-address=127.0.0.1
#listen-address=::

min-port=4096	# Specify lowest port available for DNS query transmission
cache-size=1536	# Specify the size of the cache in entries

bogus-priv	# Fake reverse lookups for RFC1918 private address ranges
no-negcache	# Do NOT cache failed search results
no-resolv	# Do NOT read resolv.conf
no-poll		# Do NOT poll resolv.conf file, reload only on SIGHUP
clear-on-reload	# Clear DNS cache when reloading dnsmasq
expand-hosts	# Expand simple names in /etc/hosts with domain-suffix
log-async	# Enable async. logging; optionally set queue length

# DNS over TLS-HTTPS /tmp/ndnproxymain.stat
server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509
address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

# Tor onion
ipset=/.onion/unblock
server=/.onion/127.0.0.1#9153

# I2P
address=/.i2p/172.17.17.17

# OpenNIC DNS
# https://servers.opennicproject.org/
server=/.lib/2001:67c:13e4:1::37
server=/.lib/91.217.137.37
server=/.lib/2a03:4000:28:365::1
server=/.lib/94.16.114.254

conf-file=/opt/etc/unblock.dnsmasq
conf-file=/opt/etc/adblock.dnsmasq

 

 

[ankar84]

1 минуту назад, avn сказал:

dnsmasq решает данные проблемы в полном объеме.

Это понятно и с этим я полностью согласен.

И сам ранее очень активно использовал DNScrypt-proxy2 для этого.

Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.

[avn]

Just now, ankar84 said:

Это понятно и с этим я полностью согласен.

И сам ранее очень активно использовал DNScrypt-proxy2 для этого.

Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.

Так тут и используется DoT/DoH из коробки

server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509

Это DoT и DoH сервисы из коробки.

А это

address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.

[ankar84]

18 минут назад, avn сказал:

Так тут и используется DoT/DoH из коробки

и это я понимаю. Не хотелось городить что-либо стороннее для разрешения имен, так как в прошивку добавили мощные шифрованные DNS

[bigpu]

21 минуту назад, avn сказал:

Так тут и используется DoT/DoH из коробки

server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509

Это DoT и DoH сервисы из коробки.

А это

address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.

из коробки, это когда без Entware

[ankar84]

В 09.08.2019 в 21:45, Le ecureuil сказал:

Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

Давайте тогда отложим ненадолго это.

Доброго вам дня!

Подскажите, не пришло ли время для привязки к домену dot/doh серверов?

[Le ecureuil]

20 минут назад, ankar84 сказал:

Доброго вам дня!

Подскажите, не пришло ли время для привязки к домену dot/doh серверов?

Спасибо за напоминание, наверное пришло.  Запишу себе