Jump to content
  • 23

Разрешение не стандартных доменов при включенном DoT/DoH


ankar84
 Share

Question

Добрый день!

Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо.

И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib

Разрешать такие домены умеют DNS серверы проекта OpenNIC

Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC

Скрытый текст

image.thumb.png.ff1733657180bb5ecac8c4f6a4fb1abd.png

image.thumb.png.82081b6b7578b6b577d71878b62195f1.png

Ранее я делал это вот такой настройкой в WebUI

Скрытый текст

image.png.3afd08d07e56c69c1dd4a1da6172d002.png

Но теперь это не работает.

Просьба реализовать данный функционал.

Спасибо!

Edited by ankar84
  • Thanks 3
  • Upvote 1
Link to comment
Share on other sites

13 answers to this question

Recommended Posts

  • 3

Спасибо за подсветку проблемы.

Сейчас этот функционал на самом деле работает, но провайдеры перехватывают нешифрованные dns и тупо их блокируют (в том числе и запросы в зону .lib).

Потому нашел вам кучку opennic-серверов, которые умеют dot и doh.

Добавляйте их к обычным dot/doh серверам, и все будет работать:

https://servers.opennic.org/edit.php?srv=ns10.de.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns12.nh.nl.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns8.he.de.dns.opennic.glue
https://servers.opennic.org/edit.php?srv=ns31.de.dns.opennic.glue
 

Прямо сейчас не поддерживаются DoH-сервера с указанием порта в uri, но в следующих релизах это будет поправлено.

  • Thanks 6
  • Upvote 1
Link to comment
Share on other sites

  • 0
1 час назад, Le ecureuil сказал:

Потому нашел вам кучку opennic-серверов, которые умеют dot и doh

Большое спасибо за серверы!

Но тогда у меня 2 вопроса:

1. Как это будет работать с интернет-фильтром AdGuard DNS? Как настроить в этом случае?

2. Как можно добавить DoT\DoH сервер для разрешения конкретного домена подобно тому, как это можно сделать для обычного DNS сервера?

Просто сейчас у меня сейчас установлен интернет-фильтр AdGuard DNS, но в фильтрах выбрано "Без фильтрации". Добавлено 2 DoT сервера AdGuard DNS (сделал так, потому, что считал, что с фильтром в таком виде есть проблема, которой как оказалось нет).

Я добавил предложенный DoT сервер okashi.me [144.76.103.143] и rutor.lib у меня открылся запроса (обновления страницы) с 5-6. Но все же открылся (то есть оно в целом работает).

Видимо серверы AdGuard были чаще быстрее, а потом все же первым ответил сервер OpenNIC и имя разрешилось в адрес.

Поэтому хочется, чтобы и при включенном интернет-фильтре (AdGuard) и\или при просто заданных DoT\DoH серверах приоритет в разрешении определенных доменов всегда был у заданных DoT\DoH серверов (OpenNIC для *.lib)

Edited by ankar84
Link to comment
Share on other sites

  • 0

Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

Давайте тогда отложим ненадолго это.

  • Upvote 2
Link to comment
Share on other sites

  • 0
В 09.08.2019 в 17:45, Le ecureuil сказал:

нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

@Le ecureuil еще не пришло время для этого?

  • Upvote 1
Link to comment
Share on other sites

  • 0
38 minutes ago, ankar84 said:

@Le ecureuil еще не пришло время для этого?

dnsmasq решает данные проблемы в полном объеме.

Spoiler

user=nobody

interface=br0
#bind-interfaces# Bind only to interfaces in use
#bind-dynamic	# Bind to interfaces in use - check for new interfaces

#listen-address=192.168.97.97
#listen-address=127.0.0.1
#listen-address=::

min-port=4096	# Specify lowest port available for DNS query transmission
cache-size=1536	# Specify the size of the cache in entries

bogus-priv	# Fake reverse lookups for RFC1918 private address ranges
no-negcache	# Do NOT cache failed search results
no-resolv	# Do NOT read resolv.conf
no-poll		# Do NOT poll resolv.conf file, reload only on SIGHUP
clear-on-reload	# Clear DNS cache when reloading dnsmasq
expand-hosts	# Expand simple names in /etc/hosts with domain-suffix
log-async	# Enable async. logging; optionally set queue length

# DNS over TLS-HTTPS /tmp/ndnproxymain.stat
server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509
address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

# Tor onion
ipset=/.onion/unblock
server=/.onion/127.0.0.1#9153

# I2P
address=/.i2p/172.17.17.17

# OpenNIC DNS
# https://servers.opennicproject.org/
server=/.lib/2001:67c:13e4:1::37
server=/.lib/91.217.137.37
server=/.lib/2a03:4000:28:365::1
server=/.lib/94.16.114.254

conf-file=/opt/etc/unblock.dnsmasq
conf-file=/opt/etc/adblock.dnsmasq

 

 

  • Upvote 1
Link to comment
Share on other sites

  • 0
1 минуту назад, avn сказал:

dnsmasq решает данные проблемы в полном объеме.

Это понятно и с этим я полностью согласен.

И сам ранее очень активно использовал DNScrypt-proxy2 для этого.

Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.

Link to comment
Share on other sites

  • 0
Just now, ankar84 said:

Это понятно и с этим я полностью согласен.

И сам ранее очень активно использовал DNScrypt-proxy2 для этого.

Но когда DoT и DoH появились "ис каропки" очень захотелось использовать именно их и вообще максимально штатными средствами.

Так тут и используется DoT/DoH из коробки

server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509

Это DoT и DoH сервисы из коробки.

А это

address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.

Link to comment
Share on other sites

  • 0
18 минут назад, avn сказал:

Так тут и используется DoT/DoH из коробки

и это я понимаю. Не хотелось городить что-либо стороннее для разрешения имен, так как в прошивку добавили мощные шифрованные DNS

  • Upvote 1
Link to comment
Share on other sites

  • 0
21 минуту назад, avn сказал:

Так тут и используется DoT/DoH из коробки


server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
server=127.0.0.1#40508
server=127.0.0.1#40509

Это DoT и DoH сервисы из коробки.

А это


address=/dns.google/8.8.8.8
address=/dns.google/8.8.4.4
address=/cloudflare-dns.com/1.1.1.1
address=/cloudflare-dns.com/1.0.0.1

Что бы DoH постоянно не разрешал имена dns.google и cloudflare-dns.com, а брал их из локального DNS.

из коробки, это когда без Entware

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 09.08.2019 в 21:45, Le ecureuil сказал:

Наверное в будущем нужно для dot/doh будет приделать привязку к домену, сейчас таковая не поддерживается (считалось, что необходимости в этом не будет).

Давайте тогда отложим ненадолго это.

Доброго вам дня!

Подскажите, не пришло ли время для привязки к домену dot/doh серверов?

Link to comment
Share on other sites

  • 0
20 минут назад, ankar84 сказал:

Доброго вам дня!

Подскажите, не пришло ли время для привязки к домену dot/doh серверов?

Спасибо за напоминание, наверное пришло. :) Запишу себе

  • Thanks 1
  • Upvote 5
Link to comment
Share on other sites

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...