forum.opennet.ru - "Раздел полезных советов: Включение DNS-Over-TLS в LEDE/OpenW..." (15)

"Раздел полезных советов: Включение DNS-Over-TLS в LEDE/OpenW..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Включение DNS-Over-TLS в LEDE/OpenW..."	+1 +/–
Сообщение от auto_tips (??), 16-Апр-18, 12:21
По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который не поддерживает DNS-over-TLS. Для включения шифрования DNS-трафика заменим Dnsmasq на Unbound и odhcpd: opkg update opkg install unbound odhcpd unbound-control opkg remove dnsmasq Для настройки через GUI опционально можно установить модуль: opkg install luci-app-unbound Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS (например, 1.1.1.1 и 1.0.0.1): forward-zone: name: "." forward-addr: 1.1.1.1@853 forward-addr: 1.0.0.1@853 forward-addr: 2606:4700:4700::1111@853 forward-addr: 2606:4700:4700::1001@853 forward-ssl-upstream: yes Корректируем настройки /etc/config/unbound в соответствии с официальными [[https://github.com/openwrt/packages/tree/master/net/unbound/... рекомендациями]] по настройке связки unbound+odhcpd. Проверяем /etc/config/unbound: config unbound option add_local_fqdn '1' option add_wan_fqdn '1' option dhcp_link 'odhcpd' option dhcp4_slaac6 '1' option domain 'lan' option domain_type 'static' option listen_port '53' option rebind_protection '1' option unbound_control '1' Аналогично проверяем настройки /etc/config/dhcp: config dhcp 'lan' option dhcpv4 'server' option dhcpv6 'server' option interface 'lan' option leasetime '12h' option ra 'server' option ra_management '1' config odhcpd 'odhcpd' option maindhcp '1' option leasefile '/var/lib/odhcpd/dhcp.leases' option leasetrigger '/usr/lib/unbound/odhcpd.sh' Перезапускаем unbound: service unbound enable service unbound start URL: https://blog.cloudflare.com/dns-over-tls-for-openwrt/ Обсуждается: http://www.opennet.dev/tips/info/3061.shtml
Ответить \| Правка \| Cообщить модератору

Оглавление

и отдаем добрым людям из 1 1 1 1 право рулить твоим трафиком , Аноним (-), 12:21 , 16-Апр-18, (1) –2

Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound, xm (ok), 00:56 , 17-Апр-18, (2) +1
А кому сейчас можно доверять , Аноним (-), 11:27 , 17-Апр-18, (3)
Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они Caveat , Аноним (-), 12:08 , 18-Апр-18, (6)

А даже если бы умели, сертификата-то нет , 1 (??), 16:36 , 13-Июл-18, (13)

Хорошо Продолжайте дальше предпочитать других без шифрования, с заменой результ, Аноним (-), 16:00 , 23-Апр-18, (9)

На freebsd системный unbound устарел v 1 5 10 и про forward-ssl-upstream не в, Аноним (-), 15:14 , 17-Апр-18, (4)

Поставьте из портов, xm (ok), 19:39 , 17-Апр-18, (5)

Чем DNS-over-TLS отличается от DNScrypt , Emma Charlotte Duerre Watson (?), 18:43 , 18-Апр-18, (7)

default запрос 127 168 0 1 opennet ru 8 8 8 8 ответ 8 8 8 8 94 142 141 14 openne, Аноним (-), 01:44 , 20-Апр-18, (8) +2
Второе не шифрует, а только подписывает результат для предотвращений подмены , Аноним (-), 16:02 , 23-Апр-18, (10)

вы путаете с DNSSEC, spectrumist (ok), 01:38 , 28-Апр-18, (11)

Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность с, Телемастер (?), 11:22 , 22-Май-18, (12) +2

В примере путь не для OpenWRT В OpenWRT ca-certificates crt лежит в etc ssl ce, ABATAPA (ok), 11:39 , 24-Авг-18, (14)
gt оверквотинг удален Точно, blackrooty (ok), 00:17 , 02-Окт-22, (15)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 16-Апр-18, 12:21 –2 +/–

и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #6, #9

2. Сообщение от xm (ok), 17-Апр-18, 00:56 +1 +/–

Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound на копеечном VPS и наслаждаться результатом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (-), 17-Апр-18, 11:27 +/–

> и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..
А кому сейчас можно доверять?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (-), 17-Апр-18, 15:14 +/–

На freebsd системный unbound устарел (v. 1.5.10) и про forward-ssl-upstream не в курсе, так что придется поднимать свежий из портов. А так спасибо, будем пользоваться.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

5. Сообщение от xm (ok), 17-Апр-18, 19:39 +/–

Поставьте из портов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (-), 18-Апр-18, 12:08 +/–

>  и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..
Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они.
Caveat: некоторые ISP зачем-то от большого ума ресольвят в 1.1.1.1 ошибки/captive protal/кончилсябаланс и проч и роутят его соответственно в свой интранет. И это будет не тот 1.1.1.1, который вы ожидаете. Правда, они совсем не умеют DNS over TLS, так что вы заметите.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

7. Сообщение от Emma Charlotte Duerre Watson (?), 18-Апр-18, 18:43 +/–

Чем DNS-over-TLS отличается от DNScrypt?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10

8. Сообщение от Аноним (-), 20-Апр-18, 01:44 +2 +/–

default:
запрос 127.168.0.1 opennet.ru 8.8.8.8;
ответ 8.8.8.8 94.142.141.14 opennet.ru 127.168.0.1
DNScrypt:
запрос 127.168.0.1 b3Blbm5ldC5ydQ== 8.8.8.8;
ответ 8.8.8.8 OTQuMTQyLjE0MS4xNCBvcGVubmV0LnJ1 127.168.0.1
DNS-over-TLS:
запрос MTI3LjE2OC4wLjEgb3Blbm5ldC5ydSA4LjguOC44Ow==
ответ OC44LjguOCA5NC4xNDIuMTQxLjE0IG9wZW5uZXQucnUgMTI3LjE2OC4wLjE=

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от Аноним (-), 23-Апр-18, 16:00 +/–

Хорошо. Продолжайте дальше предпочитать других без шифрования, с заменой результата резолвинга и тотальнм логированием.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

10. Сообщение от Аноним (-), 23-Апр-18, 16:02 +/–

> Чем DNS-over-TLS отличается от DNScrypt?
Второе не шифрует, а только подписывает результат для предотвращений подмены.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

11. Сообщение от spectrumist (ok), 28-Апр-18, 01:38 +/–

вы путаете с DNSSEC

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Телемастер (?), 22-Май-18, 11:22 +2 +/–

Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность сервера, оставляя возможность для MITM. Начиная с версии 1.7.1 unbound может сверять имя в сертификате. На данный момент эта версия пакета уже попала в master openwrt и её можно собрать по инструкции https://wiki.openwrt.org/doc/howtobuild/single.package
Пример конфигурации:
server:
        tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
forward-zone:
        name: "."
        forward-addr: 1.1.1.1#cloudflare-dns.com
        forward-addr: 1.0.0.1#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
        forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
        forward-tls-upstream: yes

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #15

13. Сообщение от 1 (??), 13-Июл-18, 16:36 +/–

>Правда, они совсем не умеют DNS over TLS, так что вы заметите.
А даже если бы умели, сертификата-то нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от ABATAPA (ok), 24-Авг-18, 11:39 +/–

> Пример конфигурации:
В примере путь не для OpenWRT. В OpenWRT ca-certificates.crt лежит в /etc/ssl/certs/ca-certificates.crt (ставится 'opkg update; opkg install ca-bundle')
Оставлю тут ссылку на форум OpenWRT, где приведён более полный вариант настроек:
https://forum.openwrt.org/t/adding-dns-over-tls-support-to-o...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от blackrooty (ok), 02-Окт-22, 00:17 +/–

>[оверквотинг удален]
> Пример конфигурации:
> server:
>         tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"
> forward-zone:
>         name: "."
>         forward-addr: 1.1.1.1#cloudflare-dns.com
>         forward-addr: 1.0.0.1#cloudflare-dns.com
>         forward-addr: 2606:4700:4700::1111#cloudflare-dns.com
>         forward-addr: 2606:4700:4700::1001#cloudflare-dns.com
>         forward-tls-upstream: yes
Точно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (-), 16-Апр-18, 12:21	–2 +/–
и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком..
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #3, #6, #9

2. Сообщение от xm (ok), 17-Апр-18, 00:56	+1 +/–
Параноики могут поднять свой DNS с поддержкой DNS-over-TLS всё на том же Unbound на копеечном VPS и наслаждаться результатом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (-), 17-Апр-18, 11:27	+/–
> и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком.. А кому сейчас можно доверять?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (-), 17-Апр-18, 15:14	+/–
На freebsd системный unbound устарел (v. 1.5.10) и про forward-ssl-upstream не в курсе, так что придется поднимать свежий из портов. А так спасибо, будем пользоваться.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5

5. Сообщение от xm (ok), 17-Апр-18, 19:39	+/–
Поставьте из портов
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (-), 18-Апр-18, 12:08	+/–
> и отдаем добрым людям из 1.1.1.1 право рулить твоим трафиком.. Видимо, тот кто выдает на роутер с LEDE дефолтный DNS - еще хуже чем они. Caveat: некоторые ISP зачем-то от большого ума ресольвят в 1.1.1.1 ошибки/captive protal/кончилсябаланс и проч и роутят его соответственно в свой интранет. И это будет не тот 1.1.1.1, который вы ожидаете. Правда, они совсем не умеют DNS over TLS, так что вы заметите.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #13

7. Сообщение от Emma Charlotte Duerre Watson (?), 18-Апр-18, 18:43	+/–
Чем DNS-over-TLS отличается от DNScrypt?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #10

8. Сообщение от Аноним (-), 20-Апр-18, 01:44	+2 +/–
default: запрос 127.168.0.1 opennet.ru 8.8.8.8; ответ 8.8.8.8 94.142.141.14 opennet.ru 127.168.0.1 DNScrypt: запрос 127.168.0.1 b3Blbm5ldC5ydQ== 8.8.8.8; ответ 8.8.8.8 OTQuMTQyLjE0MS4xNCBvcGVubmV0LnJ1 127.168.0.1 DNS-over-TLS: запрос MTI3LjE2OC4wLjEgb3Blbm5ldC5ydSA4LjguOC44Ow== ответ OC44LjguOCA5NC4xNDIuMTQxLjE0IG9wZW5uZXQucnUgMTI3LjE2OC4wLjE=
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

9. Сообщение от Аноним (-), 23-Апр-18, 16:00	+/–
Хорошо. Продолжайте дальше предпочитать других без шифрования, с заменой результата резолвинга и тотальнм логированием.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

10. Сообщение от Аноним (-), 23-Апр-18, 16:02	+/–
> Чем DNS-over-TLS отличается от DNScrypt? Второе не шифрует, а только подписывает результат для предотвращений подмены.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #11

11. Сообщение от spectrumist (ok), 28-Апр-18, 01:38	+/–
вы путаете с DNSSEC
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

12. Сообщение от Телемастер (?), 22-Май-18, 11:22	+2 +/–
Предложенная в статье конфигурация шифрует трафик, но не проверяет подлинность сервера, оставляя возможность для MITM. Начиная с версии 1.7.1 unbound может сверять имя в сертификате. На данный момент эта версия пакета уже попала в master openwrt и её можно собрать по инструкции https://wiki.openwrt.org/doc/howtobuild/single.package Пример конфигурации: server: tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" forward-zone: name: "." forward-addr: 1.1.1.1#cloudflare-dns.com forward-addr: 1.0.0.1#cloudflare-dns.com forward-addr: 2606:4700:4700::1111#cloudflare-dns.com forward-addr: 2606:4700:4700::1001#cloudflare-dns.com forward-tls-upstream: yes
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #15

13. Сообщение от 1 (??), 13-Июл-18, 16:36	+/–
>Правда, они совсем не умеют DNS over TLS, так что вы заметите. А даже если бы умели, сертификата-то нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

14. Сообщение от ABATAPA (ok), 24-Авг-18, 11:39	+/–
> Пример конфигурации: В примере путь не для OpenWRT. В OpenWRT ca-certificates.crt лежит в /etc/ssl/certs/ca-certificates.crt (ставится 'opkg update; opkg install ca-bundle') Оставлю тут ссылку на форум OpenWRT, где приведён более полный вариант настроек: https://forum.openwrt.org/t/adding-dns-over-tls-support-to-o...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

15. Сообщение от blackrooty (ok), 02-Окт-22, 00:17	+/–
>[оверквотинг удален] > Пример конфигурации: > server: > tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt" > forward-zone: > name: "." > forward-addr: 1.1.1.1#cloudflare-dns.com > forward-addr: 1.0.0.1#cloudflare-dns.com > forward-addr: 2606:4700:4700::1111#cloudflare-dns.com > forward-addr: 2606:4700:4700::1001#cloudflare-dns.com > forward-tls-upstream: yes Точно
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12