Обход блокировок через TOR + DoH

[Алексей Саратовский]

Всем доброго вечера.

Есть прекрасная инструкция от уважаемого Юрия на хабре (https://habr.com/ru/post/428992/) по выборочному обходу блокировок. Там же есть мануал по "шифрованию" DNS запросов посредством DNS proxy.

Как я понимаю, DoT, и, тем более, DoH - более "совершенные" способы спрятать DNS запросы - в случае DoH, если я правильно понял, провайдер даже не может понять, что DNS-запрос в принципе имеет место быть.

Вопрос: как совместить данный способ обойти блокировки на уровне роутера (или, быть может, есть альтернативные способы) и присовокупить к нему вновьпоявившие в прошивке DoH?

Мне на данный вопрос давали ответ в Телеграм-чате (Виктор, спасибо еще раз!). Ответ был следующим:

При добавлении DoT серверов плодятся процессы dotproxy. Нужные слушают порты от 40500 и далее последовательно. С dnsmasq проблем нет, для четырёх DoT
no-resolv
server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
проверки потом проходит

в шаге 10 заменить последнюю строку (server=8.8.8.8)
учитывайте только, что 
1) В моём примере предполагается использование первых четырёх DNS прокси, настроенных в прошивке. Сколько и на каких портах у вас можете посмотреть в файле /tmp/ndnproxymain.stat
2) Команда no-resolv явно запрещает dnsmasq ресолвить самостоятельно, только через указанные серверы. Так что, если ваши DoT/DoH по какой-либо причине перестанут работать, то DNS имена ресолвиться не будут. совсем.

 

Я, с помощью такой-то матери всё это проделал. Но на выходе получил вот такую ошибку по несколько раз в день:

Core::Ndss: [19640] cannot connect to the server.

Саппорт от этой проблемы открестился, так что сделал полный сброс, сейчас настраиваю заново.

Подскажите, как совместить обход блокировок и шифрование днс, плз.

Спасибо.

 

[Le ecureuil]

А на что у вас эта ошибка влияет? Или вас просто красное не нравится?

[Алексей Саратовский]

Ну, по-сути, да, получается, что просто красное.

Там в какой-то момент многое посыпалось, а саппорт, понятно, самоустранился о проблем с OPKG. Дело, правда, скорее всего, было в торренте.

Сейчас сделал общий сброс и настраиваю всё с нуля. Соответственно, выбираю, каким способом всё это лучше обустроить.

Пока варианты: как в сообщении выше и вот этим макаром: https://keenetic-gi.ga/2019/01/22/bgp_routing.html.

Ели растолкуете, каковы преимущества/недостатки каждого из них, или укажете на другие способы - буду очень благодарен.

[Alex FedotoV]

Добрый день! Сделал все (и не один раз) по инструкции уважаемого Юрия. При этом все проверочные шаги, указанные в инструкции, проходит успешно. Но обход блокировок происходит только для части сайтов из списка, на остальные (тот же rutor.is) возвращаются заглушки провайдера. Может кто-нибудь сможет помочь, лог роутера прилагаю...

log (1).txt

[Rodstvennik63]

Может я что-то не так сделал, но тоже столкнувшись с данным вопросом, я просто выключил dnsmasq (отобрал права у скрипта запуска). Обход работает как и прежде, ошибок не видел, новые сайты в список добавляются согласно инструкции. А dot/doh настроены в самой прошивке по инструкции с сайта Keenetic. 

[LiqLover]

В 13.10.2019 в 09:56, valeramalko сказал:

странно, как тогда работает, ведь в dnsmasq.conf указывается какие домены будут разблокированы из conf-file=/opt/etc/unblock.dnsmasq

и автор не писал, что нужно отключать dnsmasq, нужно поправить /opt/bin/unblock_ipset.sh, /opt/bin/unblock_dnsmasq.sh, dnsmasq.conf

Если на маршрутизаторе настроены DOH или DOT серверы и отключены DNS серверы провайдера, то не нужно трогать /opt/bin/unblock_ipset.sh и установка dnsmasq вообще не требуется. Всё будет работать через прошивочные DOH и DOT. Инструкцию можно упростить: не устанавливать пакет dnsmasq-full и не выполнять пункты 6, 10 и 12, а скрипт из п.7 сделать таким:

#!/bin/sh

ipset flush unblock
/opt/bin/unblock_ipset.sh &

И всё продолжит работать если добавить DNS-серверы (только не провайдера, а, например, 8.8.8.8) для устройств, к которым не применен интернет-фильтр, когда по каким-то причинам надо отключить DOH/DOT.

Edited November 6, 2019 by LiqLover