Jump to content

Обход блокировок через TOR + DoH


Recommended Posts

Всем доброго вечера.

Есть прекрасная инструкция от уважаемого Юрия на хабре (https://habr.com/ru/post/428992/) по выборочному обходу блокировок. Там же есть мануал по "шифрованию" DNS запросов посредством DNS proxy.

Как я понимаю, DoT, и, тем более, DoH - более "совершенные" способы спрятать DNS запросы - в случае DoH, если я правильно понял, провайдер даже не может понять, что DNS-запрос в принципе имеет место быть.

Вопрос: как совместить данный способ обойти блокировки на уровне роутера (или, быть может, есть альтернативные способы) и присовокупить к нему вновьпоявившие в прошивке DoH?

Мне на данный вопрос давали ответ в Телеграм-чате (Виктор, спасибо еще раз!). Ответ был следующим:


При добавлении DoT серверов плодятся процессы dotproxy. Нужные слушают порты от 40500 и далее последовательно. С dnsmasq проблем нет, для четырёх DoT
no-resolv
server=127.0.0.1#40500
server=127.0.0.1#40501
server=127.0.0.1#40502
server=127.0.0.1#40503
проверки потом проходит


в шаге 10 заменить последнюю строку (server=8.8.8.8)
учитывайте только, что 
1) В моём примере предполагается использование первых четырёх DNS прокси, настроенных в прошивке. Сколько и на каких портах у вас можете посмотреть в файле /tmp/ndnproxymain.stat
2) Команда no-resolv явно запрещает dnsmasq ресолвить самостоятельно, только через указанные серверы. Так что, если ваши DoT/DoH по какой-либо причине перестанут работать, то DNS имена ресолвиться не будут. совсем.

 

Я, с помощью такой-то матери всё это проделал. Но на выходе получил вот такую ошибку по несколько раз в день:

Core::Ndss: [19640] cannot connect to the server.

Саппорт от этой проблемы открестился, так что сделал полный сброс, сейчас настраиваю заново.

Подскажите, как совместить обход блокировок и шифрование днс, плз.

Спасибо.

 

Link to comment
Share on other sites

Ну, по-сути, да, получается, что просто красное.

Там в какой-то момент многое посыпалось, а саппорт, понятно, самоустранился о проблем с OPKG. Дело, правда, скорее всего, было в торренте.

Сейчас сделал общий сброс и настраиваю всё с нуля. Соответственно, выбираю, каким способом всё это лучше обустроить.

Пока варианты: как в сообщении выше и вот этим макаром: https://keenetic-gi.ga/2019/01/22/bgp_routing.html.

Ели растолкуете, каковы преимущества/недостатки каждого из них, или укажете на другие способы - буду очень благодарен.

Link to comment
Share on other sites

  • 2 weeks later...

Добрый день! Сделал все (и не один раз) по инструкции уважаемого Юрия. При этом все проверочные шаги, указанные в инструкции, проходит успешно. Но обход блокировок происходит только для части сайтов из списка, на остальные (тот же rutor.is) возвращаются заглушки провайдера. Может кто-нибудь сможет помочь, лог роутера прилагаю...

log (1).txt

Link to comment
Share on other sites

  • 3 weeks later...

Может я что-то не так сделал, но тоже столкнувшись с данным вопросом, я просто выключил dnsmasq (отобрал права у скрипта запуска). Обход работает как и прежде, ошибок не видел, новые сайты в список добавляются согласно инструкции. А dot/doh настроены в самой прошивке по инструкции с сайта Keenetic. 

Link to comment
Share on other sites

  • 4 weeks later...
В 13.10.2019 в 09:56, valeramalko сказал:

странно, как тогда работает, ведь в dnsmasq.conf указывается какие домены будут разблокированы из conf-file=/opt/etc/unblock.dnsmasq

и автор не писал, что нужно отключать dnsmasq, нужно поправить /opt/bin/unblock_ipset.sh, /opt/bin/unblock_dnsmasq.sh, dnsmasq.conf

Если на маршрутизаторе настроены DOH или DOT серверы и отключены DNS серверы провайдера, то не нужно трогать /opt/bin/unblock_ipset.sh и установка dnsmasq вообще не требуется. Всё будет работать через прошивочные DOH и DOT. Инструкцию можно упростить: не устанавливать пакет dnsmasq-full и не выполнять пункты 6, 10 и 12, а скрипт из п.7 сделать таким:

#!/bin/sh

ipset flush unblock
/opt/bin/unblock_ipset.sh &

И всё продолжит работать если добавить DNS-серверы (только не провайдера, а, например, 8.8.8.8) для устройств, к которым не применен интернет-фильтр, когда по каким-то причинам надо отключить DOH/DOT.

Edited by LiqLover
  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...