734 Кб, 2519x1317Пытался сделать dns + doh, по гайду: https://b14esh.com/nix/nix-info/dnsmasq-dns-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-stubby-dot.html < тут используется dnsmasq+stubby
Как можно видеть на пикрил, это не работает.
Смотрите на консоль с dnstop openwrt, она продолжает детектить запросы через dig.
---
Реквестирую как фиксонуть / куда посмотреть.
Или рабочий надёжный метод шифрования dns запросов.
p.s.: нужен именно standalone dns.
Как можно видеть на пикрил, это не работает.
Смотрите на консоль с dnstop openwrt, она продолжает детектить запросы через dig.
---
Реквестирую как фиксонуть / куда посмотреть.
Или рабочий надёжный метод шифрования dns запросов.
p.s.: нужен именно standalone dns.
Бамп
А чем не устраивает гугол?
погоди... или ты не сервер поднимаешь ,а клиент хочешь настроить?
Так в качестве клиента есть dnscrypt-proxy. Юзаю много лет уже. Некоторые настройки там надо поменять с дефолта, но один раз настроил и забыл.
https://github.com/DNSCrypt/dnscrypt-proxy
Там же мануал, как настроить. на одну минуту делов. И на винде, и на дебиане работает и где хочешь.
Так в качестве клиента есть dnscrypt-proxy. Юзаю много лет уже. Некоторые настройки там надо поменять с дефолта, но один раз настроил и забыл.
https://github.com/DNSCrypt/dnscrypt-proxy
Там же мануал, как настроить. на одну минуту делов. И на винде, и на дебиане работает и где хочешь.
>>46703 (OP)
Я тебе советую не ебать мозг хуйней и поставить в докере adguard home https://github.com/AdguardTeam/AdGuardHome либо пайхол https://github.com/AdguardTeam/AdGuardHome
Там doh и dot настраивается элементарно, плюс могут в балансировку резолверов.
Если у тебя openwrt или pfsense в качестве роутера, там есть плагины dnscrypt где тоже все элементарно настраивается без пердолинга.
Я тебе советую не ебать мозг хуйней и поставить в докере adguard home https://github.com/AdguardTeam/AdGuardHome либо пайхол https://github.com/AdguardTeam/AdGuardHome
Там doh и dot настраивается элементарно, плюс могут в балансировку резолверов.
Если у тебя openwrt или pfsense в качестве роутера, там есть плагины dnscrypt где тоже все элементарно настраивается без пердолинга.
Мож кому надо.
В конфиге вот так надо сделать.
server_names = ['google_doh']
listen_addresses = ['127.0.0.1:53', '[::1]:53']
http3 = false (хотя можно попробовать, но я боюсь, что у некоторых провайдером может тспу тригерить на это. Но зато должно снижать задержки).
timeout = 1500
blocked_query_response = 'refused'
lb_strategy = 'first'
lb_estimator = false
bootstrap_resolvers = ['8.20.247.20:53', '1.1.1.1:53']
ignore_system_dns = true
netprobe_timeout = 0 (это очень важно. сейчас емнип подефолту ноль, но раньше точно был счетчик и это вызывало проблемы на ppoe или еслипри загрузке сразу нет интернета - демон шел спать и ьольше не просыпался тогда).
netprobe_address = '8.20.247.20:53'
block_ipv6 = true (если у вас работает ipv6 стек, то false)
block_unqualified = true
cloaking_rules = 'cloaking-rules.txt' (в этот текстовик добавьте адрес роутера и его домен, чтобы он открывался по домену, если он у вас есть в роутере)
В [sources] всё закоментить.
[static.'google_doh']
stamp = 'sdns://AgUAAAAAAAAABzguOC44LjigHvYkz_9ea9O63fP92_3qVlRn43cpncfuZnUWbzAMwbmgdoAkR6AZkxo_AEMExT_cbBssN43Evo9zs5_ZyWnftEUgalBisNF41VbxY7E7Gw8ZQ10CWIKRzHVYnf7m6xHI1cMKZG5zLmdvb2dsZQovZG5zLXF1ZXJ5'
Только не надо делать извращенство со скринщшота.
Это они так упростили, чтобы по каждый дистр инструкцию не писать. Потому что резолвконф файл может правиться разными службами на разных дистрах. Можно просто в гуе поменять днс из dhcp на локалхост. Чтобы служба не срала ошибками.
В конфиге вот так надо сделать.
server_names = ['google_doh']
listen_addresses = ['127.0.0.1:53', '[::1]:53']
http3 = false (хотя можно попробовать, но я боюсь, что у некоторых провайдером может тспу тригерить на это. Но зато должно снижать задержки).
timeout = 1500
blocked_query_response = 'refused'
lb_strategy = 'first'
lb_estimator = false
bootstrap_resolvers = ['8.20.247.20:53', '1.1.1.1:53']
ignore_system_dns = true
netprobe_timeout = 0 (это очень важно. сейчас емнип подефолту ноль, но раньше точно был счетчик и это вызывало проблемы на ppoe или еслипри загрузке сразу нет интернета - демон шел спать и ьольше не просыпался тогда).
netprobe_address = '8.20.247.20:53'
block_ipv6 = true (если у вас работает ipv6 стек, то false)
block_unqualified = true
cloaking_rules = 'cloaking-rules.txt' (в этот текстовик добавьте адрес роутера и его домен, чтобы он открывался по домену, если он у вас есть в роутере)
В [sources] всё закоментить.
[static.'google_doh']
stamp = 'sdns://AgUAAAAAAAAABzguOC44LjigHvYkz_9ea9O63fP92_3qVlRn43cpncfuZnUWbzAMwbmgdoAkR6AZkxo_AEMExT_cbBssN43Evo9zs5_ZyWnftEUgalBisNF41VbxY7E7Gw8ZQ10CWIKRzHVYnf7m6xHI1cMKZG5zLmdvb2dsZQovZG5zLXF1ZXJ5'
Только не надо делать извращенство со скринщшота.
Это они так упростили, чтобы по каждый дистр инструкцию не писать. Потому что резолвконф файл может правиться разными службами на разных дистрах. Можно просто в гуе поменять днс из dhcp на локалхост. Чтобы служба не срала ошибками.
>>47213
Хуйню же несешь. Во-первых от айпи адресов толку мало, на одном айпи может быть несколько ресурсов, вплоть до тысяч, гугли, что такое cdn по типу cloudflare. Во-вторых, и это более важно, учитывая где мы живем, это защита от перехвата и подмены dns запросов провайдером. Некоторые провайдеры уже занимаются такой хуйней, серят в открытый dns по заблоченным ркн ресурсам. В целом приватности в чебурнете много не бывает.
Хуйню же несешь. Во-первых от айпи адресов толку мало, на одном айпи может быть несколько ресурсов, вплоть до тысяч, гугли, что такое cdn по типу cloudflare. Во-вторых, и это более важно, учитывая где мы живем, это защита от перехвата и подмены dns запросов провайдером. Некоторые провайдеры уже занимаются такой хуйней, серят в открытый dns по заблоченным ркн ресурсам. В целом приватности в чебурнете много не бывает.
>>47213
Ебать ты гений нахуй. Если ты без проксей подключаешься к сайтам, провайдер увидит эти IP. Это же блядь очевидно.
Тебе че надо? Скрыть от провайдера, куда ты ходишь? Ну тогда на весь трафик поднимай проксю и в неё же заверни днс, желательно по http/3.
днс шифруют, когда надо, чтобы прямые запросы мимо прокси работали без шаманства со стороны провайдера.
Сейчас это актуально с приходом ECH стало. Потому что можно зайти на рутрекер без проксей, т.к. SNI не видет ТСПУ. И можно отрезолвить рутрекер так же без проксей по DOH, чтобы не попасть в заглушку. Если резолвишь без DOH, тебе провайдер сломает днс и отправит в заглушку.
Алсо, если ты из тех, кто верит, что под впн он аноним, то ты дебил. Есть еще много способов легко палить тебя. при этом на хроме два эффективных метода слива данных вообще не закрыть никак. это лиса нужна. А т.к. лисой пользуются мало, то ты становишься заметнее на общем фоне уже этим фактом ,что ты ее юзаешь.
если нужна анонимность, нужно предпринимать огромное количество мер на всех векторах сбора данных. никто это не сможет юзать на постоянку, если он не ебнутый аутист.
>ip адреса всё равно видны провайдеру
Ебать ты гений нахуй. Если ты без проксей подключаешься к сайтам, провайдер увидит эти IP. Это же блядь очевидно.
Тебе че надо? Скрыть от провайдера, куда ты ходишь? Ну тогда на весь трафик поднимай проксю и в неё же заверни днс, желательно по http/3.
днс шифруют, когда надо, чтобы прямые запросы мимо прокси работали без шаманства со стороны провайдера.
Сейчас это актуально с приходом ECH стало. Потому что можно зайти на рутрекер без проксей, т.к. SNI не видет ТСПУ. И можно отрезолвить рутрекер так же без проксей по DOH, чтобы не попасть в заглушку. Если резолвишь без DOH, тебе провайдер сломает днс и отправит в заглушку.
Алсо, если ты из тех, кто верит, что под впн он аноним, то ты дебил. Есть еще много способов легко палить тебя. при этом на хроме два эффективных метода слива данных вообще не закрыть никак. это лиса нужна. А т.к. лисой пользуются мало, то ты становишься заметнее на общем фоне уже этим фактом ,что ты ее юзаешь.
если нужна анонимность, нужно предпринимать огромное количество мер на всех векторах сбора данных. никто это не сможет юзать на постоянку, если он не ебнутый аутист.
>>47131
похоже тут сидят вертухаи. Потому что теперь 8888 у меня заблочен наглухо. одни таймауты сплошняком. но заблочено как-то через жопу и хитро. udh на 2-3 попытку проходит, только время ответа 300мс. doh никак никогда не проходит. через curl как будто ок.
ну и пиздорасы, рака яиц вам, чтоб вы сдохли и ваши дети и матери тоже.
похоже тут сидят вертухаи. Потому что теперь 8888 у меня заблочен наглухо. одни таймауты сплошняком. но заблочено как-то через жопу и хитро. udh на 2-3 попытку проходит, только время ответа 300мс. doh никак никогда не проходит. через curl как будто ок.
ну и пиздорасы, рака яиц вам, чтоб вы сдохли и ваши дети и матери тоже.
>>57757
теперь да. я писал до того, как начали резать.
но и в браузерах тоже апдейты пришли.
Теперь:
Firefox на Linux:
Юзает ECH даже с обычным udp DNS от провайдера
Firefox на Android:
Пока что не использует ECH, если на уровне OS нет поддержки DOH3. Поддержку DOH3 начали завозить 11-12 ведра, но соответствующий флаг подефолту включили только в 13 или 14 ведре. Там DOH3 захардкоржен, а DOT уже не работает.
Хром на linux:
Юзает ECH даже с обычным udp DNS от провайдера.
И отключить ECH сложнее ,чем в лисе. надо реестр пердолить или политики загружать.
У хрома на android:
Если внутри браузера не вклчючен DOH, то и ECH не будет работать. Если включен, то будет. Хрому поддержка DOH3 на уровне ОС не нужна на ведре. Но если врубить дох3 на ведре, хром не будет включать ECH. Нужно именно внутри брауезра вруибить шифрованный днс для включения ECH.
теперь да. я писал до того, как начали резать.
но и в браузерах тоже апдейты пришли.
Теперь:
Firefox на Linux:
Юзает ECH даже с обычным udp DNS от провайдера
Firefox на Android:
Пока что не использует ECH, если на уровне OS нет поддержки DOH3. Поддержку DOH3 начали завозить 11-12 ведра, но соответствующий флаг подефолту включили только в 13 или 14 ведре. Там DOH3 захардкоржен, а DOT уже не работает.
Хром на linux:
Юзает ECH даже с обычным udp DNS от провайдера.
И отключить ECH сложнее ,чем в лисе. надо реестр пердолить или политики загружать.
У хрома на android:
Если внутри браузера не вклчючен DOH, то и ECH не будет работать. Если включен, то будет. Хрому поддержка DOH3 на уровне ОС не нужна на ведре. Но если врубить дох3 на ведре, хром не будет включать ECH. Нужно именно внутри брауезра вруибить шифрованный днс для включения ECH.
А знаете, что самое дерьмовое? Штопаные гшандоны из роскомговна и пынявые пидорсы хуже меня понимают, как и на что повляяют их ебучие блокировки. как же хочется вешать.
>>57757
ну и да, только на ней. конкретно еЁ заглушку sni - cloudflare-ech.com
но кроме CF ECH нигде и нет сейчас.
> Или только на клаудфларе
ну и да, только на ней. конкретно еЁ заглушку sni - cloudflare-ech.com
но кроме CF ECH нигде и нет сейчас.