Алексей Саратовский Posted September 11, 2019 Share Posted September 11, 2019 Всем доброго вечера. Есть прекрасная инструкция от уважаемого Юрия на хабре (https://habr.com/ru/post/428992/) по выборочному обходу блокировок. Там же есть мануал по "шифрованию" DNS запросов посредством DNS proxy. Как я понимаю, DoT, и, тем более, DoH - более "совершенные" способы спрятать DNS запросы - в случае DoH, если я правильно понял, провайдер даже не может понять, что DNS-запрос в принципе имеет место быть. Вопрос: как совместить данный способ обойти блокировки на уровне роутера (или, быть может, есть альтернативные способы) и присовокупить к нему вновьпоявившие в прошивке DoH? Мне на данный вопрос давали ответ в Телеграм-чате (Виктор, спасибо еще раз!). Ответ был следующим: При добавлении DoT серверов плодятся процессы dotproxy. Нужные слушают порты от 40500 и далее последовательно. С dnsmasq проблем нет, для четырёх DoT no-resolv server=127.0.0.1#40500 server=127.0.0.1#40501 server=127.0.0.1#40502 server=127.0.0.1#40503 проверки потом проходит в шаге 10 заменить последнюю строку (server=8.8.8.8) учитывайте только, что 1) В моём примере предполагается использование первых четырёх DNS прокси, настроенных в прошивке. Сколько и на каких портах у вас можете посмотреть в файле /tmp/ndnproxymain.stat 2) Команда no-resolv явно запрещает dnsmasq ресолвить самостоятельно, только через указанные серверы. Так что, если ваши DoT/DoH по какой-либо причине перестанут работать, то DNS имена ресолвиться не будут. совсем. Я, с помощью такой-то матери всё это проделал. Но на выходе получил вот такую ошибку по несколько раз в день: Core::Ndss: [19640] cannot connect to the server. Саппорт от этой проблемы открестился, так что сделал полный сброс, сейчас настраиваю заново. Подскажите, как совместить обход блокировок и шифрование днс, плз. Спасибо. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 13, 2019 Share Posted September 13, 2019 А на что у вас эта ошибка влияет? Или вас просто красное не нравится? 1 Quote Link to comment Share on other sites More sharing options...
Алексей Саратовский Posted September 13, 2019 Author Share Posted September 13, 2019 Ну, по-сути, да, получается, что просто красное. Там в какой-то момент многое посыпалось, а саппорт, понятно, самоустранился о проблем с OPKG. Дело, правда, скорее всего, было в торренте. Сейчас сделал общий сброс и настраиваю всё с нуля. Соответственно, выбираю, каким способом всё это лучше обустроить. Пока варианты: как в сообщении выше и вот этим макаром: https://keenetic-gi.ga/2019/01/22/bgp_routing.html. Ели растолкуете, каковы преимущества/недостатки каждого из них, или укажете на другие способы - буду очень благодарен. Quote Link to comment Share on other sites More sharing options...
Alex FedotoV Posted September 25, 2019 Share Posted September 25, 2019 Добрый день! Сделал все (и не один раз) по инструкции уважаемого Юрия. При этом все проверочные шаги, указанные в инструкции, проходит успешно. Но обход блокировок происходит только для части сайтов из списка, на остальные (тот же rutor.is) возвращаются заглушки провайдера. Может кто-нибудь сможет помочь, лог роутера прилагаю... log (1).txt Quote Link to comment Share on other sites More sharing options...
Rodstvennik63 Posted October 12, 2019 Share Posted October 12, 2019 Может я что-то не так сделал, но тоже столкнувшись с данным вопросом, я просто выключил dnsmasq (отобрал права у скрипта запуска). Обход работает как и прежде, ошибок не видел, новые сайты в список добавляются согласно инструкции. А dot/doh настроены в самой прошивке по инструкции с сайта Keenetic. Quote Link to comment Share on other sites More sharing options...
LiqLover Posted November 6, 2019 Share Posted November 6, 2019 (edited) В 13.10.2019 в 09:56, valeramalko сказал: странно, как тогда работает, ведь в dnsmasq.conf указывается какие домены будут разблокированы из conf-file=/opt/etc/unblock.dnsmasq и автор не писал, что нужно отключать dnsmasq, нужно поправить /opt/bin/unblock_ipset.sh, /opt/bin/unblock_dnsmasq.sh, dnsmasq.conf Если на маршрутизаторе настроены DOH или DOT серверы и отключены DNS серверы провайдера, то не нужно трогать /opt/bin/unblock_ipset.sh и установка dnsmasq вообще не требуется. Всё будет работать через прошивочные DOH и DOT. Инструкцию можно упростить: не устанавливать пакет dnsmasq-full и не выполнять пункты 6, 10 и 12, а скрипт из п.7 сделать таким: #!/bin/sh ipset flush unblock /opt/bin/unblock_ipset.sh & И всё продолжит работать если добавить DNS-серверы (только не провайдера, а, например, 8.8.8.8) для устройств, к которым не применен интернет-фильтр, когда по каким-то причинам надо отключить DOH/DOT. Edited November 6, 2019 by LiqLover 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.