DNSCrypt, OpenDNS и VPN

R.V.	# 5 лет, 6 месяцев назад (отредактировано 5 лет, 3 месяца назад)
Темы: 11 Сообщения: 1100 Участник с: 10 января 2017	Уфф... И упарился же я его настраивать... Есть люди в теме? Кто-нибудь уже все настроил? :)

Koluchka	# 5 лет, 6 месяцев назад
Темы: 2 Сообщения: 151 Участник с: 15 октября 2011	У меня уже около года работает без проблем.

R.V.	# 5 лет, 6 месяцев назад (отредактировано 5 лет, 6 месяцев назад)
Темы: 11 Сообщения: 1100 Участник с: 10 января 2017	Уррааа! :) Делаю аж по двум викам - https://wiki.archlinux.org/index.php/DNSCrypt - https://github.com/jedisct1/dnscrypt-proxy/wiki/Configuration и не работает... Пока что без никаких local DNS caching programs и systemd заморочек для запуска как сервис при старте системы хоть увидеть, как оно работает, можно как-нибудь? :) Порядок действий: 1. Устанавливаем из репозитория арча. 2. Вносим в конфигурационный файл изменения, а именно определяем: `ResolverName dnscrypt.eu-nl` или `ResolverName dnscrypt.eu-dk` Вы какое, кстати, ResolverName используете? `LocalAddress 127.0.0.1:53` Далее... В первой вики написано еще внести изменения в resolv.conf. Но после этого невозможно открыть ни один сайт потом... Во второй вики этого нет. Не надо уже? 3. Запускаем для проверки `sudo dnscrypt-proxy /etc/dnscrypt-proxy.conf` и получаем ошибки типа `[INFO] Refetching server certificates [ERROR] Unable to retrieve server certificates` И на чек-сайтах видим утечку DNS, естественно. И как с этим бороться?

R.V.

# 5 лет, 6 месяцев назад (отредактировано 5 лет, 6 месяцев назад)

Темы: 11

Сообщения: 1100

Участник с: 10 января 2017

Уррааа! :)
Делаю аж по двум викам
- https://wiki.archlinux.org/index.php/DNSCrypt
- https://github.com/jedisct1/dnscrypt-proxy/wiki/Configuration
и не работает...

Пока что без никаких local DNS caching programs и systemd заморочек для запуска как сервис при старте системы хоть увидеть, как оно работает, можно как-нибудь? :)

Порядок действий:

1. Устанавливаем из репозитория арча.
2. Вносим в конфигурационный файл изменения, а именно определяем:

ResolverName dnscrypt.eu-nl

или

ResolverName dnscrypt.eu-dk

Вы какое, кстати, ResolverName используете?

LocalAddress 127.0.0.1:53

Далее... В первой вики написано еще внести изменения в resolv.conf. Но после этого невозможно открыть ни один сайт потом...
Во второй вики этого нет. Не надо уже?

3. Запускаем для проверки

sudo dnscrypt-proxy /etc/dnscrypt-proxy.conf

и получаем ошибки типа

[INFO] Refetching server certificates
[ERROR] Unable to retrieve server certificates

И на чек-сайтах видим утечку DNS, естественно.

И как с этим бороться?

Koluchka	# 5 лет, 6 месяцев назад
Темы: 2 Сообщения: 151 Участник с: 15 октября 2011	У меня система без системдэ, поэтому все по-другому настраивается, я думаю :) Я пользуюсь этим скриптом, он пока что не работает с dnscrypt версии выше 1.9.1, так что у меня заблокировано обновление. Демон запускается командой `/usr/bin/dnscrypt-proxy --daemonize --local-address=127.0.0.1:53 --resolver-address=185.14.29.140 --provider-name=2.dnscrypt-cert.random2.d0wn.biz --provider-key=9112:338E:7D0B:5E78:B792:9BB6:1B75:4888:AC94:65B5:B86B:B5DE:CCF3:E5B9:15A5:DC54 --resolvers-list=/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv --user=root --ephemeral-keyss` В resolv.conf, соответственно, nameserver 127.0.0.1 На самом деле у меня чуть сложнее, потому что есть еще кеширующий pdnsd в серединке, но работает и без него :)

Koluchka

# 5 лет, 6 месяцев назад

Темы: 2

Сообщения: 151

Участник с: 15 октября 2011

У меня система без системдэ, поэтому все по-другому настраивается, я думаю :)

Я пользуюсь этим скриптом, он пока что не работает с dnscrypt версии выше 1.9.1, так что у меня заблокировано обновление. Демон запускается командой

/usr/bin/dnscrypt-proxy --daemonize --local-address=127.0.0.1:53 --resolver-address=185.14.29.140 --provider-name=2.dnscrypt-cert.random2.d0wn.biz --provider-key=9112:338E:7D0B:5E78:B792:9BB6:1B75:4888:AC94:65B5:B86B:B5DE:CCF3:E5B9:15A5:DC54 --resolvers-list=/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv --user=root --ephemeral-keyss

В resolv.conf, соответственно, nameserver 127.0.0.1

На самом деле у меня чуть сложнее, потому что есть еще кеширующий pdnsd в серединке, но работает и без него :)

R.V.	# 5 лет, 6 месяцев назад
Темы: 11 Сообщения: 1100 Участник с: 10 января 2017	Системддд пока ни при чем. Спец службу и потом можно сделать. ) Видел этот скрипт. Жаль, что не последняя версия там. Будем копать... Спасибо за отклик... :)

R.V.	# 5 лет, 6 месяцев назад
Темы: 11 Сообщения: 1100 Участник с: 10 января 2017	Ой, ну фсёёё... Я уже почти Штирлиц! )) Проблема решилась заменой resolver на Российский. И теперь на https://2ip.ru/ у мну везде палец вверх, то бишь все зашифровано. ) Но теперь появился новый план работ и несколько вопросов. Я так понимаю, что использующим DNSCrypt OpenDNS уже без надобности или их можно как-то использовать вместе? И теперь сразу видны изъяны "браузерных VPN". Лесом и в топку. И что остается? OpenVPN? Или еще какие-нибудь варианты?

R.V.

# 5 лет, 6 месяцев назад

Темы: 11

Сообщения: 1100

Участник с: 10 января 2017

Ой, ну фсёёё... Я уже почти Штирлиц! ))
Проблема решилась заменой resolver на Российский. И теперь на https://2ip.ru/ у мну везде палец вверх, то бишь все зашифровано. )
Но теперь появился новый план работ и несколько вопросов. Я так понимаю, что использующим DNSCrypt OpenDNS уже без надобности или их можно как-то использовать вместе? И теперь сразу видны изъяны "браузерных VPN". Лесом и в топку. И что остается? OpenVPN? Или еще какие-нибудь варианты?

R.V.	# 5 лет, 6 месяцев назад (отредактировано 5 лет, 6 месяцев назад)
Темы: 11 Сообщения: 1100 Участник с: 10 января 2017	Внимание всем партизанам! Российский resolver нельзя использовать. Идет логирование ваших действий. Чтобы одновременно работал DNSCrypt и OpenDNS нужно выбирать опцию --resolver-name=cisco . P.S.: cisco тоже пишет логи. Выход - только собственный DNS сервер где-нибудь в лесу... )) P.P.S.: Если использовать cisco, почему-то идет утечка DNS. Если yandex, то нет. Уловка от логирования - отсылка эфемерных ключей с опцией --ephemeral-keys .

R.V.

# 5 лет, 6 месяцев назад (отредактировано 5 лет, 6 месяцев назад)

Темы: 11

Сообщения: 1100

Участник с: 10 января 2017

Внимание всем партизанам!
Российский resolver нельзя использовать. Идет логирование ваших действий. Чтобы одновременно работал DNSCrypt и OpenDNS нужно выбирать опцию --resolver-name=cisco .

P.S.: cisco тоже пишет логи. Выход - только собственный DNS сервер где-нибудь в лесу... ))

P.P.S.: Если использовать cisco, почему-то идет утечка DNS. Если yandex, то нет. Уловка от логирования - отсылка эфемерных ключей с опцией --ephemeral-keys .

Koluchka	# 5 лет, 6 месяцев назад
Темы: 2 Сообщения: 151 Участник с: 15 октября 2011	Честно, я не поняла, чего вы хотите добиться :) DNSCrypt всего лишь шифрует и защищает от подмены днс-запросы, которые она пускает по своему, выбранному вами, ресолверу. Ведет ли этот ресолвер логи, написано в файле dnscrypt-resolvers.conf. Если у вас работает какое-то браузерное дополнение с vpn, или общесистемный vpn, то и днс-запросы скорее всего тоже идут через этот vpn... А OpenDNS это открытый большой днс-сервер. В общем, вы меня запутали :)

Koluchka

# 5 лет, 6 месяцев назад

Темы: 2

Сообщения: 151

Участник с: 15 октября 2011

Честно, я не поняла, чего вы хотите добиться :) DNSCrypt всего лишь шифрует и защищает от подмены днс-запросы, которые она пускает по своему, выбранному вами, ресолверу. Ведет ли этот ресолвер логи, написано в файле dnscrypt-resolvers.conf. Если у вас работает какое-то браузерное дополнение с vpn, или общесистемный vpn, то и днс-запросы скорее всего тоже идут через этот vpn... А OpenDNS это открытый большой днс-сервер. В общем, вы меня запутали :)

R.V.	# 5 лет, 6 месяцев назад (отредактировано 5 лет, 6 месяцев назад)
Темы: 11 Сообщения: 1100 Участник с: 10 января 2017	Ну, мы тут на нашей поляне по рации узнали, что даже если мы используем VPN, то без шифрования DNS-запросов мы все равно не в безопасности. )) Ладно уже с логами... Отсылка эфемерных ключей и коньяк поможет нам успокоится. ) Если же использовать при этом "браузерные VPN", то там задействуются еще и другие DNS-серверы, по которым будут идти незашифрованные DNS-запросы, и DNSCrypt не поможет. Поэтому нужен общесистемный VPN. Вы каким пользуетесь? ) А OpenDNS и DNSCrypt все же можно использовать вместе, если --resolver-name=cisco. Но сайты, где можно проверить "утечку DNS", определяют OpenDNS сервер. А если использовать --resolver-name=yandex, то проверка покажет, что DNS- сервер не определен. Хотя может и с OpenDNS утечки нет. DNS- сервер должен быть виден всем может быть? ) И это не говорит о том, что наши соединения с ним незашифрованы? В общем все как-то работает... )) Осталось решить вопрос с общесистемным VPN. :)

R.V.

# 5 лет, 6 месяцев назад (отредактировано 5 лет, 6 месяцев назад)

Темы: 11

Сообщения: 1100

Участник с: 10 января 2017

Ну, мы тут на нашей поляне по рации узнали, что даже если мы используем VPN, то без шифрования DNS-запросов мы все равно не в безопасности. )) Ладно уже с логами... Отсылка эфемерных ключей и коньяк поможет нам успокоится. ) Если же использовать при этом "браузерные VPN", то там задействуются еще и другие DNS-серверы, по которым будут идти незашифрованные DNS-запросы, и DNSCrypt не поможет. Поэтому нужен общесистемный VPN. Вы каким пользуетесь? ) А OpenDNS и DNSCrypt все же можно использовать вместе, если --resolver-name=cisco. Но сайты, где можно проверить "утечку DNS", определяют OpenDNS сервер. А если использовать --resolver-name=yandex, то проверка покажет, что DNS- сервер не определен. Хотя может и с OpenDNS утечки нет. DNS- сервер должен быть виден всем может быть? ) И это не говорит о том, что наши соединения с ним незашифрованы? В общем все как-то работает... )) Осталось решить вопрос с общесистемным VPN. :)

Koluchka	# 5 лет, 6 месяцев назад
Темы: 2 Сообщения: 151 Участник с: 15 октября 2011	Я vpn не пользуюсь, поэтому ничего не подскажу. R.V. OpenDNS и DNSCrypt все же можно использовать вместе, если --resolver-name=cisco. Но сайты, где можно проверить "утечку DNS", определяют OpenDNS сервер. Cisco владеет OpenDNS, так что определение совершенно верное :) У OpenDNS есть всякие редиректы для рекламы, по которым и владелец сайта может определить, что вы пользуетесь именно OpenDNS. Но это не значит, что днс-запрос через dnscrypt не зашифрован :)

Koluchka

# 5 лет, 6 месяцев назад

Темы: 2

Сообщения: 151

Участник с: 15 октября 2011

Я vpn не пользуюсь, поэтому ничего не подскажу.

R.V.
OpenDNS и DNSCrypt все же можно использовать вместе, если --resolver-name=cisco. Но сайты, где можно проверить "утечку DNS", определяют OpenDNS сервер.

Cisco владеет OpenDNS, так что определение совершенно верное :) У OpenDNS есть всякие редиректы для рекламы, по которым и владелец сайта может определить, что вы пользуетесь именно OpenDNS. Но это не значит, что днс-запрос через dnscrypt не зашифрован :)