26 Odpowiedź przez krynio (edytowany przez krynio 2022-03-12 22:00:32)

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 1,172

Odp: DNS over ...

Zuzia napisał/a:

Jeszcze w /etc/config/dhcp:

#      option resolvfile '/tmp/resolv.conf.auto'
/etc/dnsmasq.conf:

no-resolv
proxy-dnssec
server=127.0.0.1#5453
Oraz:

uci set network.wan_dev.peerdns='0'
uci set network.wan_dev.dns='127.0.0.1'
uci commit network
Świetna alternatywa dla DNSCryptów. Nie kłóci się z Adbockiem i Dnsmasq.

@r44
Sprawdzenie, czy szyfrowane: https://forum.openwrt.org/t/tutorial-dn … d/18663/82
Prościej: https://www.cloudflare.com/ssl/encrypted-sni/
W Firefoxie jeszcze trzeba właczyć TLS 1.3, zmienić wartość dla security.tls.version.max oraz security.tls.version.fallback-limit z 3 na 4. W Chrome: chrome://flags/#tls13-variant ustawić z Default na Enabled(Final).

===============================================================
Zainstalowałem stubby na OpenWrt 21.02-SNAPSHOT, r16295-3a051a234a wg na wzór jak to Cezary wyżej opisał.
Później wskazówki Zuzia.
Lecz nie przyjmuje mi poleceń

uci set network.wan_dev.peerdns='0'
uci set network.wan_dev.dns='127.0.0.1'

Otrzymuje komunikat uci: Invalid argument

Zrobiłem test na https://www.cloudflare.com/ssl/encrypted-sni/
i na czerwono mam

Secure SNI
Anybody listening on the wire can see the exact website you made a TLS connection to.

Test https://1.1.1.1/help pokazuje

Debug Information
Connected to 1.1.1.1    Yes
Using DNS over HTTPS (DoH)    No
Using DNS over TLS (DoT)    Yes
Using DNS over WARP    No
AS Name    Cloudflare
AS Number    13335
Cloudflare Data Center    PRG
Connectivity to Resolver IP Addresses
1.1.1.1    Yes
1.0.0.1    Yes
2606:4700:4700::1111    No
2606:4700:4700::1001    No

Jestem w stanie coś poprawić żeby było lepiej?

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

27 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: DNS over ...

NIe w wan_dev tylko w sekcji wan . Albo używasz Dot albo używasz DoH, jednego z nich.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

28 Odpowiedź przez PuTTy

  • PuTTy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2021-06-10
  • Posty: 2

Odp: DNS over ...

Cezary napisał/a:

Eh, zleciał prawie rok czasu. Od jakiegoś czasu na swoich urządzeniach mobilnych mam zainstalowane stubby (głównie z chęci testowania niż rzeczywistych potrzeb), a że pakiet dość ładnie został zrobiony to konfiguracja systemu jest bajecznie prosta (dla 18.06-snapshot):

opkg update
opkg install stubby ca-certificates
/etc/init.d/stubby enable
uci set dhcp.@dnsmasq[0].noresolv='1'
uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#5453'
uci commit
reboot

Domyślnie stubby ma skonfigurowane cloudflare.

Kłaniam się Cezary smile
Czy blokowanie reklam przez DNS obciąża wyraźnie słabe routery? Mam C20v5 i C50v4.
Najbardziej mi odpowiada Blahdns.com, który daje:
DNS-over-HTTPS & HTTP/3
DNS-over-TLS
DNSCrypt v2
z uwagami
"DNS over HTTP/3 and Quic protocol is now available. (port 443 UDP)"
"PORT 443 will require strict SNI", jest dostępny port 853.

Jaka metoda jest "najlżejsza"? Oraz czy da się - jak wymusić używanie tych adresów dla wszystkich podłączonych.

29 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: DNS over ...

Nie, ale potrzebujesz sporo ramu jeżeli masz bardzo rozbudowane listy blokad.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

30 Odpowiedź przez PuTTy

  • PuTTy
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2021-06-10
  • Posty: 2

Odp: DNS over ...

Może wyraziłem się nieprecyzyjnie. Właśnie, żeby odciążyć mój sprzęt od hosts/dnsmasq/unbound (nie wiem, która opcja jest najwydajniejsza), chcę korzystać jako klient z czyjegoś serwera nazw domen.

Widzę, że chyba pakiet 'stubby' Ci się podoba. Przypuszczam, że nie bez powodu. Wydaje mi się, że DoT to aż nadto zabezpieczenia prywatności dla mnie, a wymaga najmniej konfiguracji i zasobów. Czy pomożesz mi jak ustawić serwery blahdns jako dot-y? Wgram taki soft jaki wskażesz, obojętnie mi czy będzie luci czy szkoda miejsca, whatevs. Jedyne co to, żeby działały dalej jako ap/repeatery, nie znam się zupełnie, ponad rok będzie jak ostatni raz je konfigurowałem (czyli klikałem kopiuj - wklej). Podłączają się do sieci 5GHz, a same nadają na 2.4GHz. Sieć do której się podłączają to Funbox 6, DNS-y ma na sztywno od Orange, więc chyba nie mogą "przedłużać" tamtej sieci, tylko tworzyć własne lany?

31 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: DNS over ...

Nawet opisywali jako to skonfigurować: https://github.com/ookangzheng/blahdns/issues/148 ale czy w ogóle działa tego nie wiem, nie używam blahdns i nawet pierwszy raz o nim usłyszałem. Więc musisz być samodzielny jeżeli chodzi o konfigurację.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

32 Odpowiedź przez krynio (edytowany przez krynio 2025-04-09 19:24:57)

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 1,172

Odp: DNS over ...

W pracy rozwinęła się dyskusja na temat szyfrowania dns. Jak to działa, co widzi lub czego nie widzi dostawca internetu.
Najlepiej na przykładzie. Wchodzę na stronę xyz.com i np. piszę jakiś komentarz na forum lub pobieram plik. Co daje że dns będzie szyfrowany?.

Drugie pytanie. Kolega ma internet radiowy. Czyli na dachu ma jakąś antenę wifi wraz z wbudowanym routerem (czy modemem), takie (2 w 1). Nie widziałem tego i nazwa urządzenia nieznana. Kolega mówi że z dachu z tego urządzenia (2 w 1) jest wyprowadzony przewód UTP do domu i wpięty do portu WAN jego routera, jakiś TP-Link, który robi za AP (WiFi).
Pytanie jest takie. Czy jakby wymienił tego TP-Link na np. Xaomi AX3000T, zainstalował openwrt, i stubby dns to czy ma to sens?. Zastanawiam się czy takie szyfrowanie dns nie powinno być wykonane na pierwszym urządzeniu, gdzie jest jego pierwszy WAN.
Oraz czy ewentualnie może to zrobić na np. Xaomi AX3000T, który byłby jego drugim WAN-em.

PS może nie na to forum. Ale czy oryginalny soft Xaomi AX3000T nie jest przypadkiem też openwrt, może da się tam włączyć szyfrowanie dns?, bez zmiany software.

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

33 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,219

Odp: DNS over ...

1. ze dostawca internetu nie widzi że szukałeś nazwy domenowej xyz.com. I tylko tyle, bo widzi adres IP na jakie zostało wykonane połączenie
2. Urządzenie klienckie dostając np. adres z dhcp dostaje tego dnsy (albo ma wpisane na stałe). I ten sprzęt który ma ten adres musi umieć zrobić szyfrowanego dns. Kompletnie nie ma znaczenia gdzie jest  dns (może być w środku sieci, nie musi być na routerze), ważne tylko żeby miał wyście w świat.

Prawdopodobnie można podmienić tego TP-Linka i wstawić swój router.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

34 Odpowiedź przez Camis

  • Camis
  • Camis
  • Użytkownik
  • Nieaktywny
  • Skąd: Łódź
  • Zarejestrowany: 2012-11-06
  • Posty: 125

Odp: DNS over ...

Cezary napisał/a:

I tylko tyle, bo widzi adres IP na jakie zostało wykonane połączenie

Rozwinę dla kolegi, na adresie IP może być hostowana dowolna ilość stron.

Nawet jesli użyjesz szyfrowanego DNS to ISP może widzieć na jaką stronę wchodzisz, chyba że używa się szyfrowanego SNI.

Camis's Strona