Тред обсуждения \ выбора DNS.Довольно интересная тема для попиздеть, узнать кто чем пользуется, просто обосрать какого-то провайдера.Google Public DNSDNS: 8.8.8.8 / 8.8.4.4https://developers.google.com/speed/public-dns/Позиционирование: быстрый резолвинг адрессов по всему миру.Монетизация: очередной проект (коих сотни) на бюджете у самой дорогой и успешной рекламной конторы. Могут себе позволить. На самом деле: анаизируют траффик, применяют различные эксперименты, смотрят кто и как и что делает в интернетах. Довольно быстро резовлят адреса, и новые, только появившиеся домены, или изменения в записях DNS.OpenDNS (2005 - 2015, 2015 CISCO - nowdays)DNS: 208.67.222.123https://www.opendns.com/home-internet-security/Позиционирование: быстрый, надежный, безопасный DNS с вменяемой информацией откуда у них собственно бабло и мотивация заниматься этим бизнесом. Но с 2015 года после покупки за 675 миллионов долларов CISCO, которая славится своим открытым сотрудничеством с американскими ГэБэ отношение немного подпорчено этим осадочком.На самом деле: сервера практически по всему миру. В бывший совок их не пустили, но они стоят практически на пороге. На западе очень популярно практически везде, но мало о них говориться. Модель бизнеса с 2005 по 2015 была простой: если домен не резолвится, пользователю открывается страница с рекламой + премиум днс без рекламы и с большим количеством серверов. Т.е. до 2015 года модель полностью логично раскладывала "откуда бабло на сервера, и нахуй вы этим занимаетесь". С 2015 года после покупки ВНЕЗАПНО CISCO - стало все предельно не понятно. Появились "регистрации" где просят вставить зонд поглубже в жопу имя \ фамилию, телефон и так далее. Монетизация изменилась, но так же присутствует. Что как бэ намекает. На выбор анона...Yandex DNS (2013 - 2017)DNS: 77.88.8.8 / 77.88.8.1https://dns.yandex.com/Позиционирование: "ответ пиндосам Google, но лучше". Смесь OpenDNS + Google но с задержками близкими к нулю из-за физического расположения в странах бывшего совка. Зарубежем не известен, и никому нахуй не нужен. Предоставляют безопастность, скорость, надежность массаж простаты зондами. На самом деле: появилось именно в момент политического кризиса на Украине, что уже как бэ намекает. Тут 10 лет ничего не делали, и на - вот вам DNS. Сотрудничает с провайдерами по всей РФ, Украине, Беларуси, Казахстану в плане шары и так далее (палите инфу у своего провайдера) но с 2017 года заблокировано на территории Украины с пруфами за зонды и работу на ГэБэ. Но если даже отнять фактор сотрудничества с гэбухой для развязывания войн - довольно шустрый, хороший, и на удивление качественный DNS сервис (лол, да?). Полностью бесплатный. Хоститься так же как и сервис гугла на своих серверах в точках физического присутствия. Финансируется из общака Яндекса, использует продвинутые технологии фильтрации благодаря приобретенным антивирусным компаниям, и собственным наработкам. Если бы не сотрудничали с ГэБэ был бы довольно годный DNS. Но скорее всего он у тебя анон прямо сейчас предустановлен, если у тебя есть контракт (у провайдера) обмена пиров и так далее для максимальной доступности VK / Одноклассники / Mail.ru / Yandex (аля чебурнет social media).Quad9 (2017 - ...)DNS: 9.9.9.9https://www.quad9.net/Позиционирование: смесь Google Public DNS + Yandex DNS но от британцев + IBM. Очень быстрые DNS + безопасность с помощью самых передовых технологий обнаружения и блокирования гадостей в интернет. На самом деле: очень разрекламированный сервис в ноябре 2017. Содержится на донаты от гос. структур, и прочего скама + хостится на инфраструктуре IBM. Цели - понятны, оно же Yandex но британской (IBM) разлива. Работает быстро, фильтрует грамотно, все четко, если бы не одно но - финансируется государством, и прочим скамом. Они заявляют что никому ничего не продают, ничего не собирают и так далее - но мы то знаем... Физическое размещение серверов ЛУЧШЕ (однако) чем у Google для стран бывшего Совка, Европки, и США. Пользоваться на риск анона. Проблем пока не замечено.Твой локальный провайдерский DNSDNS: 192.168.0.1 / 10.0.0.1 / ты сам знаешь какойhttps://адрес.твоего.провайдера/Позиционирование: минимальные из всех возможных задержек (до 10мс, обычно не превышает 2мс). Максимально быстрое открытие сайтов в виду отсутствия пре-дилея с DNS. Синхронизация DNS обычно раз в час, т.е. через 1 час после покупки домена ты сможешь его отрезолвить и посетить, не раньше... Связано с распиздяйничеством администраторов, экономией ресурсов и так далее. Но это лучше - чем ничего. Никаких защит - нет. Онли - максимальная скорость резолвинга домена.На самом деле: если важна скорость - то это всегда лучше чем любая из альтернатив выше (кроме яндекса наверное). Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдера, т.е. он видит (а так же товарищьмайор) что и когда и как часто посещал. Причем это обязательство, которое не обсуждается. Последствия я думаю ты и сам понимаешь. Любой хуй с тех. поддержки или просто недруг знает что и когда ты посещаешь, где и какую порнуху смотришь и как часто капчуешь. Выбор за тобой. =============================================Анон, чем пользуешься ты? И почему?
>>2226775 (OP)И что делать? Куда бежать? Понимать свой на впс?
палю годнотуhttps://dnscrypt.eu/
>В списке нет OpenNIC и встроенного в Tor DNS-резолвераНахуй так жить?
>>2226837это не годнота=)
>>2226775 (OP)Если твой любимый провайдер перехватывает днс запросы, то какой ни выставляй адрес днс, использоваться будут провайдерские. Этим грешат опсосы например, поэтому >>2226837 дело говорит
Что скажете об Adguard DNS? Режет рекламу и трекинг, схема работы примерно такая: на российском VDS идёт фильтрация (около 600000 записей), отфильтрованные запросы идут на Google DNS, OpenDNS.
>>2226908это годнота=)
Я как-то вписал чей-то днс и у меня все сайты начали открываться, обходя петухназдор. Потом это дело пофиксили. Я конечно гуманитарий, но в теории могут ли швитые запилить какой-нибудь днс для рашки, чтоб мы тута цензуру обходили и это не мог закрыть петухнадзор?
>>2226917Зависит от конкретного провайдера. Многие мелкие провайдеры, обслуживающие город-два, часто грешат тем, что блокируют всё только на уровне DNS. не используя DPI и не блокируя IP. После тех диких обосрамсов с блокировкой половины интернета и последющей отменой обязательного использования "Ревизора" количество таких провайдеров могло даже увеличиться.
>>2226944Его отменили? Вот почему у меня все рабо
>>2226953Кажется я понял что ты сде
>>2226912почему?
>>2226775 (OP)Тупой мудак и что дальше? Кому dns нужен в 2к18ом?
>>2227096абсолютно всем пользователям интернет
>>2226775 (OP)Юзаю гугловские, так как на дефолтных интернет регулярно отпадает, пока телефон с которого расшариваю интернет не перезагружу.
Использую Dnscrypt. Много серверов запущенных васянами, также есть сервера копропораций типа сиско, яндекс, опенднс, адгуард и че-то еще. Из плюсов - провайдер не видит мои dns запросы. Минусов нет, разве что не все сервера быстро работают.
>>2227118Но твои запросы видят все, яндекс, циско, или они скремблятся?
Вы ебанутые бесплатно сливать свои запросы гуглу, опенднс, яндексу, небу, аллаху?Ставите свой днс сервер и юзайте файлы зон с https://www.iana.org/about/popular-links
http://www.freenom.world/en/index.html
>>2227159поясни за них. Кто такие, откуда взялись, когда появились, откуда бабки, какова бизнес модель, и так далее.У них только 80.80.80.80 ип стоит под лям баксов, и явно не купленный сегодня, а был в загажнике годами со времен распределения А\B класс сетей (т.е. с конца 90ых). Следовательно это нихуя не "просто конторка", а какой-то гигант за ней стоит.Поэтому, нужно больше инфы. Ибо такие "подарочки" - очень дорого потом в итоге стоят. И да, По поводу сети - как я понял принадлжит россиянам.Вопрос - какого хуя об этом нет нигде инфы?
>>2226775 (OP)>С 2015 года после покупки ВНЕЗАПНО CISCO - стало все предельно не понятно.Почему я не удивлён? На работе столько говна от них внедряли софтварного, но работают без ебли только роутеры да телефоны.
>>2226775 (OP)Для себя я выбрал opennic сервер с поддержкой dnscrypt [https://servers.opennicproject.org/edit.php?srv=ns3.any.dns.opennic.glue].dnscrypt будет полезен тем, у кого провайдер перехватывает днс ответы от альтернативных DNS серверов, или желающим не оставлять для ФСБ и Яровой в СОРМ лог запрошенных url.Пинг ~23мс, Anycast, число хопов на трейсроутах до любых ресурсов вдвое короче стало, чем со стандартными днс от моего isp. И даже короче, чем с opendns от google (хорошо это или несовсем, не берусь судить однозначно). У этого сервера dnssec (DNS Security Extensions) не поддерживается, но в этом пока нет смысла для простого пользователя. За несколько месяцев использования проблем с этим сервером не наблюдал.Напишу мануал для windows, настраивать 5 минут.Для работы с dnscrypt сервером нужно установить службу в windows, которая будет заниматься шифрованием dns-резолва.1) Качаем свежую версию dnscrypt по этой ссылке [https://download.dnscrypt.org/dnscrypt-proxy/LATEST-win32-full.zip]2) Распаковываем скачанный архив в папку юзера. Можно вбить %AppData% в адресной строке проводника и сразу попасть в C:\Users\[user name]\AppData\Roaming. Таким образом, распакованные файлы будут лежать по пути: "C:\Users\[user name]\AppData\Roaming\dnscrypt-proxy-win32".Можно и в C:\Program Files\ папку положить, но я не советую так делать с программами, которые не устанавливаются через "setup" файл.Заходим в распакованную папку "dnscrypt-proxy-win32".3) Теперь нужно выбрать DNS-сервер с поддержкой opennic и dnscrypt. Я уже сделал это за вас, но если хотите поискать сами, вот ссылки на листы:https://servers.opennicproject.org/https://dnscrypt.org/dnscrypt-resolvers.htmlhttps://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csvНе все сервера с поддержкой dnscrypt, умеют резолвить альтарнативные зоны opennic, будьте внимательны. Проверяйте ping и делайте tracert, чтобы найти сервер с небольшим пингом и нормальным трейсроутом. Избегайте российских серверов.Российских советую избегать потому, что попробовал днс серверы яндекса и с удивлением обнаружил, что они занимаются блоировкой сайтов, отказываясь давать ip, заблокированных в РФ доменов! Второй российский сервер оказался с запредельным числом хопов, а третий вообще "протекал".Если ваша основная цель при настройке dnscrypt не дать ФСБ и яровой собирать на вас досье, внимательнее проверяйте, где географически расположен сервер и кто его владелец (понятно, думаю, что сервер должен быть не в СНГ, а владелец не ражданином РФ). Провайдер не увидит ваши днс запросы, однако их видит сам DNS сервер, поэтому крутым анонимам стоит арендовать себе VPS и поднять собственный DNS сервер, чтобы не было нужды доверять чужому дядьке. Ну или хотя бы резолвить через VPN, чтобы вашего ip не было в логах днс сервера. Впрочем, для большинства будет достаточно и того, что сервер не российский, а логов лишился ваш провайдер.4) Открываем файл "dnscrypt-resolvers.csv". Его нужно открыть в Excel или аналоге. Если у вас не установлен Excel, можно воспользоваться online редактором, например этим.Стираем все строки, чтобы не мешались. И заполняем данные выбранного сервера (серверов).Необходимо правильно заполнить следующие поля: Resolver address, Provider name, Provider public key, Provider public key TXT record (если значение указано). Name можно задать произвольно. Остальные ячейки можно оставить пустыми.Для сервера, который я выбрал, будут следующие значения:Resolver address: 169.239.202.202:443 (кроме 443 порта сервер слушает ряд альтернативных, но я рекомендую оставить именно дефолтный 443)Provider name: 2.dnscrypt-cert.dnsrec.meo.wsProvider public key: 1A6A:D0A3:2B4C:5A61:A695:D153:670D:69AB:1690:3F9E:C3F7:F64F:13E5:35A3:18B2:28A5Name: dnsrec.meo.wsСохраняем отредактированный csv файл под тем же именем в ту же папку, заменив старый.5) Находясь в распакованной вами на шаге 2 папке, копируем из адресной строки проводника путь.Запускаем от имени администратора консоль. Если кто не знает, что это такое: Ищем "cmd.exe" через меню "пуск", кликаем ПКМ и выбираем "запустить от имени администратора".Пишем cd, затем вставляем скопированный путь. Получится:cd C:\Users\[user name]\AppData\Roaming\dnscrypt-proxy-win32Жмём Enter6) Проверяем, живой ли сервер.dnscrypt-proxy.exe -R "dnsrec.meo.ws" —test=0EnterВместо "dnsrec.meo.ws", само собой, можете подставлять любые имена, добавленные вами в csv файл.Должно написать что-то вроде:[INFO] - [dnsrec.meo.ws] does not support DNS Security Extensions[INFO] + Provider supposedly doesn't keep logs[NOTICE] Starting dnscrypt-proxy 1.9.4[INFO] Generating a new session key pair[INFO] Done[INFO] Server certificate with serial #1491 received[INFO] This certificate is valid[INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.[INFO] Server key fingerprint is E737::6376Как я уже говорил, отсутствие DNS Security Extensions пугать не должно. Эта фича нам не даст никаких дополнительных профитов.Строка "The key rotation period..." тоже не является ошибкой.В случае ошибок, пробуем другой сервер.7) Устанавливаем службу dnscrypt в windows и определяем сервер.dnscrypt-proxy.exe -R "dnsrec.meo.ws" —installEnterПоследняя строка сообщит нам:[INFO] Now, change your resolver settings to 127.0.0.1:538) Идём в свойства сетевого адаптера, через который подключаемся к интернету. Если используем два адаптера для подключения - как кабельный ethernet, так и wifi адаптер, изменяем свойства обоих.Панель управления\Сеть и Интернет\Сетевые подключенияПКМ по адаптеру -> свойстваДвойной клик по строке с "TCP/IPv4"В первом поле под "использовать следующие адреса DNS серверов" вписываем 127.0.0.1Порт поумолчанию и так используется 53ий, его нигде не нужно указывать.OK -> OKТаким образом, стандартный DNS клиент windows будет посылать запросы на 127.0.0.1:53, где их примет установленная нами служба dnscrypt-proxy.exe, зашифрует и только затем отправит на сервер. Соответственно, расшифровка ответа от DNS сервера произойдет в обратном порядке.9) Стираем кеш dns:ipconfig /flushdnsEnterПерезапускать tcpip стек не нужно, но кеш стереть обязательно при смене днс сервера.10) Дополнительно можно проверить днс на протечку, читай ниже первый абзац под ♦️.Готово.Теперь вы не только можете открывать альтернативные домены из emercoin, но и шифровать ваши DNS-запросы....
>>2227176♦️ Подменяет ли ваш провайдер не зашифрованные днс ответы от альтернативных серверов, можно проверить, например так:Прописываем в свойствах адаптера dns адрес google 8.8.8.8Идём на сайт https://dnsleaktest.com/ и жмём extended testВ результате вы должны получить одну строку. Если строки две, одна из которых с описанием вашего провайдера, значит он ваш днс резолв слушает и/или перехватывает.Так же можно проверить на протечку и ваш dnscrypt сервер после настройки.♦️ Если захотите на время перестать использовать dnscrypt, просто удалите в свойствах адаптера адрес локал хоста (127.0.0.1) и впишите любой, какой захотите. Или поставьте галочку "получать автоматически".Затем очистите кеш днс: ipconfig /flushdns♦️ Чтобы сменить сервер, просто удалите службу целиком через dnscrypt-proxy —uninstallЗатем установите вновь в обычном порядке (как на шаге 7), указав имя нового сервера.Не забудьте стереть кеш днс.♦️ Если захотите полность удалить службу dnscrypt, выполните команду:dnscrypt-proxy —uninstallИ удалите распакованную папку.Удалите адрес 127.0.0.1 в свойствах сетевого адаптераОчистите кеш днс.♦️ Как обновлять dnscrypt?1) Сначала проверим версию установленной службы.Для этого зайдите в папку с dnscrypt: C:\Users\[user name]\AppData\Roaming\dnscrypt-proxy-win32, зажмите shift и кликните ПКМ. Выбираем "открыть окно команд".Вбиваем в консоль:dnscrypt-proxy —vВидим версию и дату компиляции, запоминаем.Закрываем консоль.2) Проверяем, есть ли более свежая версия. Для этого идём сюда https://download.dnscrypt.org/dnscrypt-proxy/В соседнем столбце от архива со свежайшей версией под именем "LATEST-win32-full.zip" указана дата компиляции (сейчас это "07-May-2017 13:43"). Если эта дата актуальнее, чем вы получили в консоли на шаге 1, скачиваем архив.Так же, можно пролистав список ниже, найти указание версии в имени архива датированного актуальным числом. Сейчас это архив "dnscrypt-proxy-win32-full-1.9.5.zip". Ссылки LATEST-win32-full.zip и dnscrypt-proxy-win32-full-..*.zip датированные одинаковым числом, скачают один и тот же файл.Распакуйте скачанный архив куда-нибудь. Сразу удалите файл dnscrypt-resolvers.csv, имевшийся в архиве.3) Открываем консоль (cmd.exe) обычным способом из меню пуск. Останавливаем службу следующей командой:net stop dnscrypt-proxyПолучим сообщение: "Служба "dnscrypt-proxy" успешно остановлена."Не спешим закрывать консоль.4) Удаляем все файлы, кроме dnscrypt-resolvers.csv, в папке C:\Users\[user name]\AppData\Roaming\dnscrypt-proxy-win32.Остановить службу на предыдущем шаге нужно было, чтобы ОС позволила удалить файл dnscrypt-proxy.exe устаревшей версии.Перемещаем в папку файлы, распакованные из свежего архива на шаге 2.5) Запускаяем службу обратно командой:net start dnscrypt-proxyПолучим сообщение:Служба "dnscrypt-proxy" запускается.Служба "dnscrypt-proxy" успешно запущена.Готово.ps возможно, в будущем можно будет обновлять программу одной командой в консоли, без возни со скачиванием архива и тп. Но пока разработчики не реализовали эту функцию.
>>2227176Ссылки покоцались
>>2227183Проще всего поставить Simple DNSСrypt.Там все то же самое, но есть кнопка "Сделать пиздато".
>>2227047потому что анонимизация и защита от спуфинга без туннелирования и прочих впнов
>>2227159эникаст резолверы быстрее и лучше, но все равно хуже чем днскрипт из-за спуфинга ДНС провайдером
Есть ли смысл использовать dnscrypt в связке с vpn, который якобы подменяет провайдерские dns?
У всех впны и сс давно. Ваши игрушки никому не нужны.
>>2227219Если у тебя свой VPS, и ты на нём поднял VPN туннель, то на том же сервере кеширующих днс сервер поднимаешь, Bind, после чего тебе остается просто правильно сконфигурировать настройки днс, чтобы они не протекали мимо туннеля.После этого никто ничего не прослушает и не подменит, ведь резолв будет выполняться внутри зашифрованного туннеля впн.Но можешь включить dnssec, если хочешь. Хотя пока смысла никакого.
>>2227185Мокрые писи без смс
>>2227139>Ставите свой днс сервер и юзайте файлы зон с https://www.iana.org/about/popular-linksЗапили гайд позязя (на прыщи)
>>2227279Пиздец, тут тред о DNS, а они уже чуть ли не датацентр арендовать собрались.Давайте без вот этой хуйни: "пойди, купи, выучи, настрой". А что-то более пригодное.
Opennic/тредю
OpenNIC https://www.opennic.org/Отличается поддержкой дополнительных доменов первого уровня, работающих на криптовалютах Namecoin, Emercoin, New Nations. Держатели серверов часто заявляют о неведении логов. Большинство серверов в европе и сша.
Днскрипт не анонимизирует ваши днс запросы а лишь защищает от спуфинга. https://en.m.wikipedia.org/wiki/Server_Name_IndicationТак что провайдер продолжает все прекрасно видеть. Чтобы не видел, без впн или тора не обойтись.
>>2227413И нахуя ты высрал свой пост?
>>2227505Тут двое человек упоминали про якобы анонимность при использовании днскрипт. Я просто хотел сказать что это неправда.
>>2227524Двачую правдоруба.Как я понял, провайдер видит резолвы (или как-то так) и ставит заглушку. В моём случае заглушки ставились "динамически" (то есть, то нет). Осмелюсь предположить, что помимо самого провайдера заглушки добавлялись в зависимости от поставщика канала.В итоге, после плясок с бубном поставил антизапрет. Всё работает и ладно.
>>2227324Ты вопрос видел? Меня спросили, нужен ли днс крипт, если есть ВПН.Я сказал, что если у тебя свой ВПН, то днс резолв уже зашифрован внутри туннеля до твоего сервера. А значит и днс крипт не нужен. По крайней мере, если твой резолв не подменяют уже на пути от сервера до корневых днс серверов. То есть, если впн есть и настроен правильно (чтобы резолв не протекал мимо), то в рашке подмена и прослушка уже не будут возможны.
>>2226775 (OP)Пацаны поясните за dnscrypt-proxy. Установил её и она по умолчанию мне поменяла DNS на 127.0.2.1, который резолвится в OpenDNS сервер который находится во франкфурте. И если поменять вручную на 127.0.0.1 и затем выбрать другой резолвер из списка, это работает до ближайшей перезагрузки, потом снова становится 127.0.2.1. Может я зря волнуюсь, ведь это обычный OpenDNS, но меня смущает что на арчвики той же про это ни слова. Это номрально все вообще?
>>2227748Алсо, айпи сервака не DNS: 208.67.222.123, а другой.
>>2227748https://www.linux.org.ru/forum/general/13941468
>>2227748-> >>2227176>>2227177Куда ещё разжеваннее?
>>2227809ой, сори.не дочитал.
>>2227280Оупенсорс гуй всего лишь. Правда у меня при смене сети с проводной на беспроводную иногда ДНС иногда отключается.
dnscrypt-proxy всё:https://twitter.com/jedisct1/status/928942292202860544
>>2226775 (OP)Яндекс днс появился кще до событий на украшке за много лет. У них на самом деле куча адресов - с блокировкой порнухи, с проверкой от др.веб и т.п. Они этот днс пихали во всякие роутеры с рекламой типа яндекс внутри. Так что не пизди опушка
>>2228009не пизди ты. Они в 2013 году появились.До 2013 их не существовало вообще.
>>2226775 (OP)>чем пользуешься ты?Резолвером, встроенным в tor.>И почему?Мне хватает.
>>2226775 (OP)Внезапно, годнейший тред.>Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдераПонятно, что они видят отрезолвленные домены, однако инфу про хранение два года вижу впервые. Это правда? Откуда такая инфа? Они по нашим пидорским законам должны так делать?От себя хочу добавить, что большая часть провайдеров в последнее время начали перехватывать весь dns трафик, иногда подменять записи на заблокированные домены айпишником своей заглушки. Это сделать не сложно ввиду открытости и отсутствия какого-либо шифрования dns трафика. Поэтому, даже если вы пользуетесь сторонним dns сервером, будьте готовы к тому, что провайдер все равно знает и логгирует сайты, которые вы посещаете.В связи с этим крайне советую вообще всем озаботиться шифрованием dns трафика. Через dnscrypt, либо через vpn.
>>2227176>https://dnscrypt.org/dnscrypt-resolvers.htmlА что случилось с проектом DnsCrypt и сайтом dnscrypt.org? С недавних пор он стал переадресовывать на какой-то другой сайт, а проект на гитхабе удалили. Что случилось?
Можно сделать dns с гомоморфным шифрованием?
>>2227324Увы в росии все идет к тому, что скоро без этого интернетом пользоваться будет нельзя. Да что там, уже нельзя, у меня вон мама жаловалась, что книжки читать не может, да фильмы смотреть, все переблокировано. Купил vps, настроил vpn, не жалею, все туда завернул.>>2227279Кеширующий dns, кстати, поднимать вовсе не обязательно, это даже лишнее. Кеширующий днс лучше поднимать локально, на роутере, например, а уже с него обращаться к сторонним днс серверам напрямую, через vpn туннель. Так и резолвинг будет быстрее, ибо кеш прямо на роутере сохранен.
>>2228151Не воровать пробовала твоя мать?
>>2228155Хуюню не писать не пробовал, нет?
>>2228144>>2228004
>>2228158Хуйню пишешь ты. Блокировки никак не влияют на "возможность читать и смотреть фильмы" в интернете, кроме очевидных всем случаев.
>Блокировки никак не влияют на "возможность читать и смотреть фильмы" в интернете
>>2228162Дебил блять. Кроме очевидных всем случаев пиратства.
>>2228004>>2228160Тоесть он просто сменил владельца? Если честно, не до конца понимаю.
>>2228134>Понятно, что они видят отрезолвленные домены, однако инфу про хранение два года вижу впервые. Это правда? Откуда такая инфа? Они по нашим пидорским законам должны так делать?Они вообще давным-давно всю netflow-статистику хранят довольно продолжительное время, чтобы КАК БЫ ЧЕГО НЕ ВЫШЛО. С пробуждением.
Что тако dns-over-tls, какое отношение он имеет к dnscrypt и чем от него отличается?
Вот на этот проект недавно наткнулся. Пользуюсь, работает стабильно, стабильнее, чем opennic, которым я пользовался до этого. Работает за счет спонсорства vps хостеров, как я понимаю.Кто-нибудь слышал еще про него?https://dns.d0wn.biz/
>>2228165Он потерял владельца.
>>2228323>потерял владельцаЧто это значит?
>>2228393Заброшен.
>>2228187Ничего не мешает opennic работать с поддержкой dnscrypt и наоборот.днс крипт это просто шифрование пакетов, получаемых и передаваемых между днс сервером и тобой.А opennic это домены зареганые в эмеркоине.Теплое с мягким путаешь.
>>2228151не у всех есть роутер.А кеш вроде как в ОС ещё хранится, не? Поэтому при обращении к кешу, первым делом идет запрос в твою ОС. А уж если там нет, тогда на сервер.
>>2228004Да госпади, всё равно уже без ВПН никуда.РКН блочит не только торенты и порно, он постоянно бомбит по CDN от akamai, google и CF, по хостингам с тысячами сайтов, техническим узлам типа комодо, по крупнейшим абсолютно легальным ресурсам - slack, фликр, по месенджерам. Даже магазины резиновых писек блочит только потому, что там есть фотки упаковок, где нарисованы голые персонажи.А вспомните итсорию с A-dns тролингом, тогда перестало работать пол интернета, включая рашу тудей и госуслуги даже.А гугл как они положили? У меня 6 часов не работал, я заходил на кувейтский домен, ибо с com и ru не удавалось.Какие нахуй фильмы и музыка? Рни саму сеть уничтожают накорню.Тут уже и прокси не помогают по белым спискам, проще врубить ВПН И забыть.А под впн днскрипт все равно без надобности.
>>2228468Под стабильностью работы я подразумевал именно стабильность и безотказный доступ. Opennic я пользовался около года, anycast серверами, и случалось так, что они отпадали на время, приходдилось временно менять сервера на альтернативные.Я с dnscrypt, кстати, больше не работаю. Перекатился на vpn полностью.>А opennic это домены зареганые в эмеркоине.Ты путаешь. opennic лишь резолвит альтернативные доменные зоны, в дополнение к основным.
>>2228469>не у всех есть роутер.Лол. Это как? Честно, я не представляю себе такой конфигурации. Впрочем, мне все равно.>А кеш вроде как в ОС ещё хранится, не?Да, хранится, не знаю только сколько, равное ли это время значению ttl записи или меньше. В любом случае, обычно кешированием занимается роутер, это логичнее и правильнее, особенно, когда дома работает много подключенных к интернету устройств.
>>2227666Нет не так, лол.
>>2228468>А opennic это домены зареганые в эмеркоине.нет, опенник это проект попенсурсных резолверов без всяких гейских подмен. неймкоины и прочее говно это опциональная хуйня.
>>2228490>Ты путаешь. opennic лишь резолвит альтернативные доменные зоны, в дополнение к основным. Ты тоже путоишь
Так, есть васянские днс сервера. Васян при этом видит все запросы, и только ? В ответ он ничего не сделает ? Днскрипт нужен чтобы и васян не видел запросов ? Проясните за IP/dns leak, почему ряд сайтов может вычислить реальный ip когда используется vpn, webrtc/webgl отключен и фингерпринт абузится. Как фиксить ?
>>2228510Нет ты.
>>2228510>>2228572Всмысле, я хотел сказать, что opennic резолвит не только альтернативные доменные зоны, как сказал тот анон.Вот то, что я хотел сказать >>2228509
>>2228564Про какого именно васяна ты говоришь? Впрочем, независимо от васяна, ему в общем и целом похуй на твой трафик, как и всей сети. >почему ряд сайтов может вычислить реальный ip когда используется vpn, webrtc/webgl отключен и фингерпринт абузится. Как фиксить ?Фиксить заворачиванием днс-трафика в впн.
>>2228462Ах, так вот почему SimpleDNSCrypt уже пару недель не может dnscrypt-resolvers.csv обновить
>>2227176А если инет через роутер - что на нем делать с настройками днс?
>>2227185Эту хуйню можно как-то свернуть в трей?
>>2231085Не знаю про твою мокрописю но у меня бинарник днскрипт прекрасно работает. Заброшено развитие. Так-то все зависит от работы сервачка, который ты используешь. А они никуда вроде не делись.
>>2227185В ней даже свой сервер нельзя добавить. Зато стильненький интерфейс.
>>2231157поднять на нем кэширующий сервер днс
>>2232391эта "хуйня" работает как сервис, можешь просто закрыть окно
>>2232414можно добавить
Поясните, хочу обмазаться!!http://www.freenom.world/en/index.html
>>2227339Насколько безопасен?
>>2226775 (OP)opennic.org пользуюсь. Обхожу блокировки через .lib-домены, ебу систему в очелло.
>>2232636Уточню: rutracker.lib pornolab.lib flibusta.lib
>>2232636Какие серваки юзаешь?
>>2232636> Обхожу блокировки через .lib-доменыА можешь тут подробнее? Интересно, хоть даже у меня мой провайдер никому не нужен и ничего не блокирует.
Чет не пойму, на opennic люди же серваки предоставляют. Как тогда понять, кто из них галчонок ебаный, а кто норм паря??
>>2232659Ты так говоришь, будто все остальные серваки предоставляют не люди.Никак.
А вообще пасаны, пора на 0net перекатываться. И sia.
>>2232704> 0netА он жив еще? В последний раз пол года назад наверное заходил туда, ничего интересного или полезного не нашел, укатился.
>>2226775 (OP)Днскриппт с днсом от ад гуард, правда есть минус, иногда сервер отваливается и приходится вбивать 8888 что бы интернет работал.Кстати днс от адгуард еще самый простой и эффективный способ резать рекламу на телефоне.
>>2232656Альтернативная доменная зона основанная на блокчейне, нет корневых серверов, невозможно заблокировать. Dns сервер можно поднять прямо у себя на компе и вообще ни от кого не зависеть.
>>2232636Это охуенно, спасибо
Ух какие сервера мне подобрал, ох сорванцы данек и шнайдер!Щас как безопасностью обмажусь, майору только хуй понюхать останется!Славно!
>>2232715Ну так если завтра заблочить все кроме госуслуг и комсомолки он все равно не взлетит, потому что народу что дали то и ест. ни малейших движений в сторону
>>2232873Скажи спасибо образовательной системе, которая вдалбливает это всем с самого детства.
>>2232636А можно подробнее?
>>2232920>>2227176>>2227177
>>2232820У тебя без dnscrypt все равно все резолвы будет провайдер записывать
>>2227176>>2227177Сколько же еботни, кошмар, когда сегодня все это делается в один клик искаропки.
>>2232958ПОШОЛ НАХУЙ СО СВОИМ ЯНДЕКС БРАУЗЕРОМ!! Говно собачье!
>>2232961Тебе назло, предвзятая русофобина, буду пользоваться. Жри,петух.
>>2232958>>2232961>>2232966Зелёный слоник с дрисняткодаунами итт. Пиздуйте на работу, драить парашу, оба.
>>2233023Сам работай, у тебя вон лучше получается!
>>2232636опенник, как и все прочие открытые резолвер, не спасут тебя от спуфа днс провайдером. все провайдеры сейчас спуфают днс. есть только три стула - днс через туннель, днскрипт или днс-овер-тлс
>>2232958зондовый даун кукарекнул.Пасажир, твой яндекс браузер шлет логи всех запросов в гебню. И даже геолокацию сливает не спрося.иди нахуй отседава.
>>2232961
>>2232958Во ты долбаеб.
>>2228492> Лол. Это как? Честно, я не представляю себе такой конфигурации. Впрочем, мне все равно.Ну тип кабель сразу в комп воткнуть, лол
>>2232636>opennic.org пользуюсь. Обхожу блокировки через .lib-домены, На .lib не работает https.
>>2232496Через гуи? Нельзя. Можно только из списка выбрать.
>>2233226Что значит не работает, лол. Работает, только браузер ругаться на сертификат будет по понятным не тебе причинам. Потому, что подтвердить альтернативный домен нельзя.
>>2233178Да я понял, но делать так максимум глупо. Сейчас даже у самых нищебродов, вроде меня, и то дома по несколько wifi устройств, как минимум.
>>2233249Эту траблу будут фиксить как-то?Мож какие сертификаты надо будет дополнительно поставить? Хуле не зделоли до сих пор?
Pi-hole + yandex.dns. Больше ничего не надо.
>>2233316>yandex.dnsНе понимаю, зачем из такого большого выбора DNS-серверов надо обязательно брать наиболее подозрительный?Не знаю как вам аноны, а я лучше буду использовать OpenNIC от какого-то рандомного человека, который хостит DNS для общественного использования, нежели использовать DNS-сервер от какой-то маркетинговой и коммерческой интернет-организации. От последнего так веет какой-то навязчивостью и приторностью.
>>2233314>Эту траблу будут фиксить как-то?Это неофициалбная альтернативная доменная зона, сам как думаешь? Это не трабла, а фича. Почитай что такое сертификаты, кому они выдаются и как они работают, чтобы не задавать глупых вопросов.С этим сделать ничего нельзя, добавить сертификат в доверенные вручнкую. То, что браузер ругается на другой домен не значит, что с сертификатом что-то не то.
>>2233316>>2233327yandex dns даже не скрывают, что ведут сбор статистики, так же, как и google dns.
>>2233348Ну блять, а что мешает центр сертификации запилить с поддержкой этих зон?И добавлять в доверенные его руками.
>>2233327Я когда тестил яндекс днс, который опубликован в dnscrypt таблице, заметил, что они подменяют ответы.
>>2233351Зачем тебе https, если у тебя и так с включённым JS в браузере воруют все данные?https://habrahabr.ru/company/ruvds/blog/346442/
>>2233354>2019> вводить кредитку при включенном js
>>2233375>подразумевает, яваскриптовые прогрессобляди оставляют выбор
>>2233167ДеРьМоблядь-копирастная шлюха закукарекала. >твой яндекс браузер шлет логи всех запросов в гебню. И даже геолокацию сливает не спрося.Предвзятая сволочь, гнида, русофобина озлобленная:1. Скрины, логи и состав запросов в сторону людоедов-сахароподкидышей-полониедавателей давай сюда. Вирешарк там сам запусти, ссылку на независимое исследование кинь от EFF там или хотя бы своих собратьев-хаброблядей или пиздоболина русофобская. Пиздеть, как русофоб.2. Твоя геолокация везде, это стандарт определения ип-адресов по регионам. Даже хром в приватном режиме определяет мой городской округ. Иди пиздуй орать про тоталитарный црушный хухль.сам вали нахуй отседава>>2233176Ну ты ваще пиздец, я в шоке с тебя, это ж надо быть таким кретином.
>>2233375Если ты думаешь, что в 2016 хоть один процессинг сработает при выключенном js, то ты долбоеб просто.
>>2233380У мня от твоего поста ВРЕТИ.
>>2233380Парень, прекрати уже проецировать на всех свои предпочтения. Всем посрать на то, из какой страны идёт какой-либо сервис. Что гугл, что хуяндекс — всё коммерческое зондированое говно.мимо на inox и opennic
>>2233408Какие серваки в opennic используешь? Какой раз тут уже спрашиваю и никто не сознается.
>>2233419Которые ко мне ближе всего.89.18.27.167 (ns1.buh.ro): 99.23% uptime193.183.98.66 (ns1.lom.it): 99.97% uptime172.104.136.243 (ns2.he.de): 99.94% uptime5.135.183.146 (ns12.fr): 98.76% uptime
Adguard DNS предлагает простой способ фильтровать рекламу через систему доменных имён - DNS. Решение блокирует рекламу, счетчики, фишинговые сайты, взрослые сайты и предлагает безопасный поиск176.103.130.130 176.103.130.131Norton ConnectSafe обеспечивает защиту компьютера и локальной сети от опасных или нежелательных веб-сайтов. Никакого дополнительного программного обеспечения не требуется, просто установите IP-адреса DNS-серверов Norton на компьютере или роутере199.85.126.10 199.85.127.10Comodo Secure DNS - распределенный по миру рекурсивный DNS сервис, не требующий какого-либо оборудования или программного обеспечения. При этом сервис повышает надежность, скорость, эффективность и безопасность использования Интернета8.26.56.26 8.20.247.20
>>2233419Используй anycast. Они онлайн всегда и пинг до них отовсюду максимально минимальный.
>>2233426>пинг до них отовсюду максимально минимальный.Если даже я живу в Российских ебенях ?
>>2233380Даун. Геолокацию яндекс шлет сразу после установки не спрашивая, до того как ты успеешь хот один сайт открыть.И не по ip, а по ssid вафель в окружающем пространстве, то есть торы тебя не спасут.Координаты в отправляемых пакетах не шифруются, сам проверить можешь. Пруфы были на гиктаймсе.Днс он вообще в открытую логирует, по моему даже в юле было такое.лиса тоже собирает стаитстику, но в ней можно отключить всё прозрачно. В яндексе никак.
>>2233419>Какой раз тут уже спрашиваю и никто не сознается>>2227176десятый раз отвечаю
>>2226775 (OP)как все DNS запросы из локалки в VPN на микротике завернуть?
>>2233380>Вирешарк там сам запусти,запустил твоей мамке за щеку. на пикриле запросы отправляемые хуяндексбравзером при открытии, при том что в настройках выключено вообще все.оправдывайся манька.
>>2233517Отмаркируй DNS трафик и создай маршрут для него.
>>2233432Да, это anycast сервера. Почитай, что такое anycast, это куча серверов расположенных в разных местах географически, но имеющих один и тот же ip адрес. Из любой точки планеты маршрут будет проложен до ближайшего сервера.Попробуй попинговать 8.8.8.8 из Моквы, из Японии и из США, пинг будет везде примерно одинаковый и не больше пары десятков милисекунд. Вот так оно работает.
>>2233408>Парень, прекрати уже проецировать на всех свои предпочтенияСовсем уже оборзели. Я еще и виноват в напавшей на меня стае шакалов из-за одного триггеруемого их слова.>>2233446Кретин. Ты чего привязался-то, предвзятый. Покажи хоть один коммерческий ресурс/сервис/приложение, которые сегодня этого не делают.>Пруфы были на гиктаймсе.Ясно. Демагоги-фанатики оттуда еще те лжецы и проходимцы.>>2233525Что за установка, что за профиль, какие настройки вырублены, расширения, в хромиуме еще куча всего что можно своего напихать.>connect to mail.google.comИ вообще, что-то ты не договариваешь.
>>2233607Чую, говном ты тут до сыта наешься.Маня, все давно в курсе, что яндексовые программы это зонды. Пунтосвитчер постоянно шлёт собранные логи введённого теста. Яндекс метро постоянно в реальном времени собирает логи перемещений. Яндекс браузер имеет модуль "яндекс локатор" который сразу после установки отсылает первую твою точку координат. На все легко найдешь пруфы, тут тред про днс.По поводу того что все собирают.Ну в лисе легко выпубить отправку любых данных. В конфиге все адреса куда что шлется открытым текстом прописаны, можешь их заменить на свои, при желании. И посмотреть что приходит от браузера. И уж точно в ней нет отсылки геолокации. А модуль геолокации легко полностью выключить одной строчкой конфига.И днс твои говно. Подменяют они ответ.Попробуй порезолвить хентайные домены из реестра ркн.Яндекс тебе подсунет хуйню. Это я тестил на их опубликованном в таблице днскрипт сервере.
>>2233636>Пунтосвитчер постоянно шлёт собранные логи введённого теста.Ты это сам придумал? Я пользуюсь им много лет и не замечал ничего такого, за обновлениями лезет иногда, но фаервол его блокирует.Да и если бы он сливал тексты, это бы очень быстро всплыло, ибо это пиздец.>И днс твои говно. Подменяют они ответ.Говно твой провайдер, который перехватывает ВСЕ dns запросы, к какому бы серверу ты не обращался, и сам подменяет. Сейчас так делают почти все.Яндекс от этого говном быть не перестает, но справедливости ради, ответы он не подменяет.
>>2233607>Что за установка, что за профиль, какие настройки вырублены, расширения, в хромиуме еще куча всего что можно своего напихать.свежий хуяндекс.браузер в виртуалочке, все галочки в настройках убраты, никаких профилей яндекса не использовано, все галочки при скачивании установщика были убраты. никаких расширений не скачивалось, все расширения что были предустановлены отключены
>>2233660>Говно твой провайдер, который перехватывает ВСЕ dns запросы,Я пишу ,что тестил их dnscrypt сервер, а ты пишешь, что провайдер перехватил...
Очевидные176.103.130.130176.103.130.131
>>2233865Знечит плохо ты тестил, через жопу, что у тебя запросы шли через твоего говнопровайдера.Говорю тебе, ничего сам яндекс не подменяет.
>>2233871>AdGuard DNSСпасибо, не надо.
>>2233872>Говорю тебе, ничего сам яндекс не подменяет.Ну да, одно дело изначально отправлять кривые, другое дело подменять. Такая большая разница...
>>2233535Вот так? /ip firewall mangleadd chain=output protocol=udp dst-port=53 action=mark-routing new-routing-mark=dns/ip routeadd gateway=VPN_TUNNEL routing-mark=dns Это не работает
>>2226775 (OP)Почему перестали обсуждать?
>>2236822Наверное, анон недооценивает важность dns. Работает провайдерский логгирующий, подменяющий ответы сервер и ладно.
>>2226775 (OP)А в дисятке есть встроенный днс крипт или днссек? Я прост не шарю
>>2236904В дристятке встроенные есть только зонды.
>>2236909>ые есть только зондыдокажи
Еще один >>2236913 не читавший лиц. соглашение.
>>2237064а я думал, что зонд пиздит данные без всяких соглашений...
>>2233380Привет залупа. Тебя не существует.А теперь давай логи сюда, документы, доказательства, что ты действительно существуешь.
>>2237079Так их никто не читает, бгг.
>>2236822Cами продолжайте обсуждать.Алсо, кого даже вчерашний шторм не разбудил, Френки выкатил супризна GO https://github.com/jedisct1/dnscrypt-proxyНекоторые уже перекатились и шлют ответ видаdnscrypt-proxy[8261]: Using version 2.0 of the DNSCrypt protocol
>>2237257Зачем все это нужно? Блокировки это вроде как не позволяет обходить. Для защиты? Поставил DNSCrypt WinClient еще, нажимаю старт, но потом сбрасывается. Но вроде как работает, судя по изменениям на https://dnsleaktest.com/
А в этом треде обсуждают динДНС? Если да, то посоветуйте годный бесплатный вариант. Хочу, подрубаться к пекарне из интернетов, но айпишник - динамика. Если я не по теме, просто обоссыте и пошлите нахуй.
>>2226775 (OP)Что там известно о dns over tls? как оно роботоет? как настроить?
>>2237288Бля, халявный DynDNS захватили Oracle-жиды штоле?
>>2237257Ух ты, а я думал, все, пиздарики проекту.Чем оно от первой версии отличается?
>>2237288Не по теме ты, конечно, но вот тебе лучший сервис: https://freedns.afraid.org/
>>2237355Сам спросил, сам ответил. Там на странице написано. Что ж, выглядит круто и многообещающе. Я хоть и полностью перекатился в vpn, но за проектом буду следить.
>>2226775 (OP)bump
>>2226775 (OP)https://www.grc.com/dns/benchmark.htm
>>2237278>Зачем все это нужно?В оппосте это написано. Чтобы провайдер не логгировал адреса сайтов, на которые ты ходишь.
>>2238075Ипишники тоже не сможет логгировать? А сам трафик?
>>2226775 (OP)dnsleaktest.com кажет то провайдерские сервера, то те которые на роутере установлены. В чём может быть дело? Кто знает?роутер микротик если что
180 постов и ни одного упоминания? dns.watch
>>2238490>dns.watchЩо це таке?
>>2238496https://dns.watch/
>>2238497понил. спасиба
>>2238089Ip сможет конечно, и трафик сможет. dns это лишь одно из направлений, используемых для логгирования/блокировки, не единственное и не самодостаточное, но может выдать тебя с потрохами. Учите матчасть, ребята.
>>2238092Это значит что у тебя на роутере установлены и провайдерсие и сторонние. Обычно в настройках можно явно запретить получение провайдерских dns по dhcp. Как это сделать в микротике, сейчас не вспомню.
>>2238490Кто такие, чем знамениты? Тоже первый раз вижу.
>>2238595Use peer dns отключен в настройках. Ещё настроено подключение к vpn для сайтов из спискаroskompetuh. этот же список добавил и адресс днс серверашоб типа он через vpn резолвил (по-моему это нихуя не работает). Ещё в сети есть комп, который к роутеру шнуром подключен и джва телефона по wifi Кроче нужон гайд как правильно настроить роутер шоб dns запросы шли ч/з vpn
Удалил dns, запустил тест, а там пикрл. Разве так и должно быть?
>>2238854Какой днс ты откуда удалил?
bump
>>2233401Работает на отлично, прост убираешь в юматрикс или юблок сторонние фреймы и шкрепты и оплату проводишь на саете банка, а не левой хуйни.
>>2237257ХЗ, поставил, настроил, потыкал в тесты днслика - постоянно помимо моего прописанного резолвера вылезают какие-то левые гугловские и еще хуй пойми какие. Снес нахуй пока нет нормального объяснения что, зачем, почему.
>>2238595> Обычно в настройках можно явно запретить получение провайдерских dns по dhcp.Это не помешает провайдеру спуфать ДНС-запросы. К сожалению это очень старый протокол, который по дефолту ничем не защищен.
>>2240057>Это не помешает провайдеру спуфать ДНС-запросы. К сожалению это очень старый протокол, который по дефолту ничем не защищен.И что делать-то?
>>2240180https://github.com/jedisct1/dnscrypt-proxy
>>2240180>И что делать-то? или завернуть трафик в туннель, или шифровать через dnscrypt\dns-over-tls
>>2240321>ли завернуть трафик в туннель, или шифровать через как это сделать на роутере? Потому что есть ноут и телефон ещё
>>2240323Юзать tomato или openwrt
>>2240338>tomato
>>2240338а на RouterOS есть варианты?
>>2240388Туннель там тоже можно поднять, а как отмаркировать трафик, не знаю, не разбирался. А вообще тупо все в vpn завернул, ибо нехуй.
>>2240485> как отмаркировать трафик, не знаю, не разбирался. А вообще тупо все в vpn завернул, ибо нехуй.Всё в VPN не эффективно. А ебучий провайдер спуфает днс. В роутере 9.9.9.9, ана dnsleaktest.com провайдеские сервера показывает
>>2240388Сраный микротик не может в днскрипт, не может завернуть только днс трафик в впн!! Хотел установить опенврт в метароутер, так ему сука памяти не хватило. Пидорское поделие, блять
>>2240509>Всё в VPN не эффективно.На soho роутерах да, они не вытягивают скорости. У меня самодельный на pfsense, на нем эффективно. Всю домашнюю сеть в vpn завернул и вожу роспетухнадору по губам. Заодно и внешний ip получил, чего мой провайдер мне не дает. Зависимость есть.>А ебучий провайдер спуфает днс.А сейчас все так делают, даже те, что dnsleaktest не показывают подмены все равно прозрачно через себя пропускают и логгируют/подменяют записи. Поэтому я вообще всем в россии рекомендую обмазываться днскриптом или vpn.Кстати, там dnscrypt-proxy выкатили второй версии. Они не пропали и не забросили проект, оказывается, что не может не радовать.https://github.com/jedisct1/dnscrypt-proxy
>>2240388 Только полная перепрошивка в openwrt.>>2240546 Зачем метароутер? Прошей мокротик целиком. Только ключ от РоутерОС созранить не забудь.
>>2240354Что тебя так рассмешило дебик? В tomato by shibby есть dnscrypt, зачем ты обосрался?
>>2240673А пинг как?>>2240737Где брать опенврт?
>>2241198>А пинг как?Пинг до моего vps сервера примерно 40мс, это неплохо.
А если я использую корневые dns, например 198.41.0.4 и 192.228.79.201, чьи зонды я эксплуатирую?
>>2241198https://wiki.openwrt.org/toh/mikrotik/start
>>2241264Ничьи. Владелец корневого сервера отдаёт тебе информацию только о корневой зоне, дальше сам. Чтобы получить IP-адрес из имени, нужен собственный рекурсивный сервер, который опросит по очереди все сервера вверх по уровням, закеширует ответ и отдаст его тебе. Охуенный у вас тут тред, кстати, раз за 200 постов впервые упомянули такую возможность.
Тредик живи
>>2241333>Ничьи. Ну это понятно. Я раньше в pdnsd по дефолту использовал (вродь загнулся).Суть в том, что провайдер подменяет и тут только dnscrypt остаётся, а у него уже свои собственные сервера и опять зонд появляется? С другими dnscrypt не работает?
>>2241334Хороший тред. Спасибо ОП-у.>>2241336Кому вообще нужны твои DNS-запросы, кроме как провайдеру для логов и запрету доступа к сайту? Лучше задумался бы по поводу того, что весь www — одна сплошная дыра с яваскрпитами, которые надо выключать везде, где только можно, по умолчанию.
>>2241350>которые надо выключать везде, где только можно, по умолчаниюИ сидеть только на педо сайтах? Ведь ни один нормальный сайт не работает без скриптов.
>>2241355>не работает без скриптов>нормальныйОхуеть.Если не работает, то включать, но только по белому списку, для каждого сайта отдельно, и только именно нужные для отображения содержимого. Сам так делаю. В лисе есть NoScript для этого.А еще, как бы вот: https://habrahabr.ru/company/ruvds/blog/346442/
>>2241356Еще, кстати, есть RequestPolicy. Его тоже юзал, когда сидел на лисе. Очень экономит трафик на всяком 3rd party говне, которое не нужно для просмотра сайта.Советую их обоих использовать сразу в связке с NoScript. Я хз даже, работают они сейчас на Quantum-е, или нет.
>>2241350>Кому вообще нужны твои DNS-запросыНихуя себе! Я не хочу показывать поганым гэбэшникам и пидарашко-провайдеру свои DNS-запросы. И так весь http и https абупидара хранится годами.
>>2241356Твоя ссылка гомно https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5?gi=7167b45e8c7a
Bump
>>2226775 (OP)BUmp
>>2227096>Apple Mac: Safari>Кому dns нужен в 2к18ом? Каждый раз проигрываю.
>>2240737Полностью перешить работающий и настроенный роутер только что бы установить на него dnscrypt - слишком много мороки и мало профита, мне кажется. Поэтому реквестирую гайды как настроить сраный мокротик грамотно и что бы isp соснул с логированием.
>>2242468На микротик dnscrypt не поставить никак, к сожадению. Поставь на любой компьютер в сети, клиенты есть и под windows и под linux.
>>2242495В сети еще телефоны на ведре и видовс, и планшеты на ведре и гейоси. Вот в чем трабла- то...>>2242495
>>2226775 (OP)>Очень быстрые DNS>Работает быстро>Физическое размещение серверов ЛУЧШЕ (однако) чем у Google для стран бывшего СовкаЧто за аутист писал шапку? Серьёзно. Даже пингануть не осилил, не то, что задержку резолвов померять. Квад9 очень тормозной.>>2226837Открою тебе секрет, провайдеры определяют днс-трафик по порту назначения. Можно ничего не шифровать, просто использовать днс-сервер с нестандартным портом.>>2242468Dnscrypt, dnsmasq (полноценный dns и dhcp ещё и умеющий отправлять в нужный ipset), полноценные впн-клиенты и серверы. Зачем ты купил микротик домой, думаешь он чем-то лучше, чем длинк в три раза дешевле?Мимосисадмин.
>>2242547Я глупый, но нагугли мне сервер с кастомным dns портом. на собственном сервере не считается
>>2242506Ничего, круглосуточно работающего нет что ли? Можно какой-нибудь raspberri pi или аналог купить и на нем dnscrypt поднять. Будет такой себе минисервер.
>>2226837Ну и нахуя так извращаться? Всеравно ж ведь видно на какие ip ты шлешь пакеты. Ладно если б было готовое решение, а так еще с роутером пердолиться. >>2242547> просто использовать днс-сервер с нестандартным портом.А ГуглоДНС такие есть?
>>224254Нужен был файрвол поэтому и купил. Ты пиздабол, а не сисадмин
>>2242578>>2242736>нагугли мне сервер с кастомным dns портом>А ГуглоДНС такие есть? Яндекс, насколько я слышал, но не проверял, работает на 1253. Некоторые серверы, которые поддерживают dns-over-tls (853 порт), могут так же работать с обычным днс на этом же порту. Например, securedns.eu.>Ну и нахуя так извращаться?Здесь нет никаких извращений, днс-трафик всё равно надо защищать от прослушки и манипуляций. Пока dnscrypt наиболее рабочий вариант, но dns-over-tls уже в процессе развития и в каком-то будущем все dns-клиенты будут его уметь.Opendns поддерживают dnscrypt и он используется в каких-то продуктах cisco. Яндекс тоже поддерживал на своих серверах и использовал его в своём браузере, но там что-то было с сертификатом потом. Не знаю, работает сейчас или нет.
>>2242751Расскажи мне, что там такого в файрвале микротика, что нужен было именно он.
>>2242468>Полностью перешить работающий и настроенный роутер только что бы установить на него dnscrypt - слишком много мороки и мало профита, мне кажетсяТебе кажется. Во всех нормальных прошивках свжих днскрипт уже предустановлен.
>>2242547>Открою тебе секрет, провайдеры определяют днс-трафик по порту назначения. Можно ничего не шифровать, просто использовать днс-сервер с нестандартным портом.Он и на кастомные порты нормально детектится
>>2242578>но нагугли мне сервер с кастомным dns портом. любой из опенника или днскриптавообще любой
>>2242861Детектится, если надо. Но для этого требуется разбирать трафик, а это накладно. Поэтому просто мониторится трафик идущий на 53 порт.>>2242854Есть только одна нормальная прошивка (openwrt/lede) и там нет dnscrypt по дефолту.
>>2242875>Есть только одна нормальная прошивка (openwrt/lede)
Юзаю связку dnscrypt-proxy + pdnsd на своей Raspberry Pi 3. И это настолько круто, что даже сайт DNSLeakTest не в силах прогрузиться и пропалить.
>>2244316Сейчас бы делать роутер на распбери с её USB-Ethernet.
>>2244329100 мбит/сек держит норм
>>2244329dnscrypt не обязательно должен быть установлен непосредственно на роутере. Можно на малинке запустить один dnscrypt, а роутером заздавать по dhcp ее адрес.
Что-то в последнее время гугловские днс сильно тупят
Чёт мой говнороутер к указанному dns .10 свой .1 приписывает. Я соснул и не всегда .10 использую?
>>2244316ты ведь не понимаешь как работают сервисы типа dnsleaktest, правда?
>>2245257А как они работают?мимо другой анон
>>2245269Делают запросы на несуществующий домен третьего уровня и логгируют сервер, с которого к ним на их DNS-сервер пришёл пакет с просьбой его отрезолвить.Связать этот запрос с твои DNS — элементарно. Ведь кроме тебя (и твоего DNS) про этот несуществующий поддомен никто слыхом не слыхивал.А анон выше просто дегенерат, так как он, похоже, заблокировал 3rd party iframe или xhr, впрочем, это неважно, ведь запрос можно сделать при помощи десятков других методов. И из ложных предпосылок сделал ложные выводы.Такие дела.
>>2245298Я примерно так и представлял, спасибо.
Юзаю adguard DNS, блокирует рекламу + заверяют, что нет логовГосподи, какой же я тупой, что не могу запустить свой собственный DNS
>>2227168Dt
>>2226775 (OP)OpenNICпотому что можно зарегать анонимно домен для локалочки\глобалочкиРеквестирую добавить в шапку
>>2245713>потому что можно зарегать анонимно домен для локалочки\глобалочки>Реквестирую добавить в шапкуРасскажи как
>>2245854Ну открыватся твой сайт по йоба домену будет только у тех кто прописал в качестве днс опенник, да.Ну собственно 2 стула:1. https://www.moderntld.com/ http://be.libre/ таки регистраторы2. Покупаешь либо emercoin, либо namecoin и в клиенте регистрируешь домен .emc .lib Выйдет что-то около 10$ в год + платное обновление записей (поэтому вписывай лучше сразу NS-записи)
>>2245938>йдет что-то около 10$ в год + платное обновление заЯсно.Благодарю анон
>>2227177>>2227177
>>2226775 (OP)BUMP
>>2247007Что бамп, опенднс, для чго, для сайта или повседненой обывательской жизни?
Как, через masscan udp шканировать?
>>2247008Для жизни
Тред почитал и нихуя толком не понял. Какой dns выбирать, что ставить. Запилити кто-нибудь резюме- пост. Я прост тупой.
Comodo
>>2247169>>2227185>>2233426
Выкатили стабильную версию dnscrypt-proxy2 https://github.com/jedisct1/dnscrypt-proxy/releases
>>2226775 (OP)заказал через10 дней придёт ORANGE PI PC тперь нужен гайд как на ней поднять свой DNS сервер и прихуярить dnscrypt, dnssec и всякое такое.. Или есть у кого идеи получше, что-нибудь с ней сделать? И я тот анон с микротиком. Поэтому хотелось бы чтоб как-то это все вместе работало. Может, у кого ссылки какие-нибудь по этой теме есть? гуглить не охота
>>22479261 ставь армбиан2 накатывай что угодно, все пакеты работают
>>2247926> Или есть у кого идеи получше, что-нибудь с ней сделать? >>2248051алсо, я себе туда накатил опенэлек, это такой коди, в 4к проигрывает видосики и всякое такое, но я прост нищук который себе не могет позволить приставку за 3.5к.перед этим ставил ретроранжпай - такой маняэмулятор старых приставочек, достаточно годно работает и к тому же в комплекте с ним идет коди 17, на который можно переключиться и смотреть как прост телеприставочку, единственное там не работает hw, но для 1080p оно и нинужон - http://www.retrorangepi.org/
>>2247926А всякие некстклады кто пробовал и т.п. ?
>>2248068Я пробовал. Только для nextcloud желательно бы что-нибудь помощьнее, конечно.
>>2248068Гоняю на своей малинке. Полет отличный, но шифрование на стороне сервера лучше не включать.
>>2247926>>2248051Тут анон писал про pfsence такое на апельсинку получится установить
>>2248835pfsence на arm не поставишь, да и апельсинка слишком слабая для подобного рода задачь.
>>2248941dnscrypt-proxy можно и на винду установить
>>2226775 (OP)Пацаны, нуб в треде, в каком виде хранится днс??? Ну я понял, что днс нужно чтобы к домену привязать адрес, а как оно выглядит?? Это текстовый файл на хулиард строк или сорт оф база данных или как ваще????
>>2249208Типа база данных, где каждому домену соответсвует набор параметров.
>>2249208Неадекватный вопрос ты спрашиваешь про технологию, а утлчшяешь реализациями.Может быть вообще что угодно, даже структрура структур в оперативной памяти.
>>2226775 (OP)А что, в локальный кэширующий DNS-сервер с прzмым обращением к корневым и DNSSEC никак? Очень способствует в наше время охоты на ведьм. Ещё и отказоустойчиво.
>>2249288> отказоустойчивоСовсем дурачок?Начнут подменять ответы — наебнётся ся система, ведь кроме невалидных ответов ты нихуя не получишь.
>>2249328До введения чебурнета не начнут, потому что тогда действительно развалится связность сегментов. А после введения уже вопрос будет стоять не в поиске некоего открытого сервиса, которые так же, как корневые серверы отчпокают, а в просверливании дырки в великом "китайском" фаерволе.
>>2249332Так уже подменяют, с разморозкой.
>>2226775 (OP)Это нормально, вообще, или нет?
>>2249347Может да, а может и нет. Ты же нихуя не написал, чего ждёшь.
>>2249347на роутере стоят днс сервера 9.9.9.9 А сайт показывает см. пик
>>2249418И при чем тут DNS?
>>2249433Ты шо тупой? Я спрашиваю нормально ли вообще при настроеном на роутере днс сервере, который должен получать инфу с 9999 увидеть такой результат?
>>2249464При использовании гугловских 8.8.8.8 в списке тоже появляется куча других адресов, попробуй. Я думаю эти сервера просто перенаправляют запросо на другие сервера , работая в качестве шлюза.
>>2249501>ри использовании гугловских 8.8.8.8 в списке тоже появляется куча других адресов, попробуй. Я думаю эти сервера просто перенаправляют запросо на другие сервера , работая в качестве шлюза.ничего не менял вот свежая картинка
>>2249501иногда показывает полностью провайдерские сервера, иногда quad9 dns. Я не понимаю отчего это зависит. В настройках резервный днс гугловский стоит 8844
>>2247900симполднскрипт тоже уже выкатили версию на днскрипт2 - из минусов - меньше настроек, нет возможности настроить резолвер не на локалхост
>>2248941> да и апельсинка слишком слабая для подобного рода задачьхуйню несешь тащемта, пфсенс на небольшую локалочку работает нормально на амудах из 2000ых. затык в том что да - БСД на армах это пиздарики, и там важнее сетевые интерфейсы нежели проц.
>>2248068seafile - некстклауд/овнклауд слишком тормозное говно с кучей ненужной хуйни - когда у тебя становится овердохуя файла тормозит нещадно
>>2249332>До введения чебурнета не начнутДавно подменяют
Посоны, а кто пробовал свой днс поднимать? Много ресурсов он отъедает. План такой.1. Поднимаю свой ДНС.2. Обновляю его по защищенному каналу....3. Профит.И еще. Кто мешает каждый раз запрашивать ДНС с разных ресурсов? В днс-крипт такое можно организовать? Скорость отклика неважна. И да, всегда пускать запросы ДНС по защищенному каналу.
>>2250835>осоны, а кто пробовал свой днс поднимать? Много ресурсов он отъедает. >План такой.>1. Поднимаю свой ДНС.>2. Обновляю его по защищенному каналу.>...>3. Профит.>И еще. Кто мешает каждый раз запрашивать ДНС с разных ресурсов? В днс-крипт такое можно организовать? Скорость отклика неважна. И да, всегда пускать запросы ДНС по защищенному каналу.>>2250835good idea! Протестируй сам ирааскажи как оно
>dnscryptОн шифрует запросы или нет? Почему здесьhttps://codeby.net/dnscrypt-proxy-obespechenie-bezopasnosti-dns-kommunikatsii/написано, что он всего лишь использует криптографическую подпись чтобы убедиться, что ответ был получен от выбранного днс и не был подделан.Вы тут пишете, что днскриптом даете пасасать провайдерам, в статье же прямо говориться>Если вы используете его для обеспечения конфиденциальности, то вы можете получить абсолютно противоположные результаты. Если вы используете его для предотвращения VPN «утечки», то это также является не совсем корректной задачей.
>>2250846Днскрипт защищает от спуфинга, все.
>>2250846Он шифрует запросы и подписывает их. Правда, справедливости ради, в шифровании толку немного, потому что провайдер все равно увидит к какому серверу ты потом подключаешься. Но от подмены запросов спасет.
>>2249708Ну это смотря чем ее нагружать. У меня vpn соединение держит, тут некрота из 2000 уже, вероятно, соснет, да и не энергоэффективно.
>>2249709Я поэтому и написал, что для nextcloud нужно что-то сильно мощьнее малинки/апельлинки.
>>2249332Тех, кто не подменяет, остались единицы, тебе выше все правильно сказали. Поэтому и агитирую всех dnscrypt осваивать.
>>2250891Что значит [REDACTED] ?
>>2250899Даже kvm\vmw VPS на 1 зионоядро и 1 гиг рамы недостаточно для адекватной работы некстклауда на одного (!) пользователя с кучей файла, постоянно тупит пиздец как.
>>2250846>Почему здесьПотому что статью писал уебан и ебаклак.Днскрипт шифрует днс-запросы и отправляет их на апстрим-прокси, на которых как правило настроен человеческий днс-сервер с днссеком и прочим
>>2251088Значит что картинку уебок рисовал
>>2250898малинки более чем достаточно для того, чтобы не боттлнечить vpn.
>>2251158>малинки более чем достаточно для тоМалинка даже нешифрованный трафик >30-40мегабит уже не переваривает, с опенвпн она упрется мегабит в 10 и это при 100% нагрузке на процессор. Теоретик, блин.
>>2251168>Малинка даже нешифрованный трафик >30-40мегабит уже не перевариваетНе надо ля-ля
>>2247926> придёт ORANGE PI PC тперь нужен гайд как на ней поднять свой DNS сервер и прихуярить dnscrypt, dnssec и всякое такое..>Или есть у кого идеи получше, что-нибудь с ней сделать? >И я тот анон с микротиком. Поэтому хотелось бы чтоб как-то это все вместе работало. >Может, у кого ссылки какие-нибудь по этой теме есть? гуглить не охота>Ответы: >>2248051 >>2248057 >>2248068 >>2248835 пришла апельсинка. щас поеду забиратьМожет кто скинет ссылки как на ней днс сервер установить и настроить
>>2251606Гугл скажет
что скажите про Simple DNSCrypt ?
>>2251614Что именно тебя интересует? Это просто гуй к днскрипту. Работает хорошо, поддерживает блоклист доменов из файла, есть реалтайм-лог, очень удобно. Пользуйся на здоровье
>>2251614Что в него нельзя добавлять свои сервера.
БампГодный тред
>>2250835получилось у тебя?
>>2227176Слишком сложно.То ли дело в NixOS:1) Добавляем в /etc/nixos/configuration.nixservices.dnscrypt-proxy = { enable = true; resolverName = "<имя сервера>"; extraArgs = [ "LocalCache on" ]; };networking.nameservers = [ "127.0.0.1" ];2) nixos-rebuild switchГотово.
Днскрипт работал работал и перестал. Как диагностировать? Ни одно имя не резолвит. Пробовал менять пару сервачков.
>>2253331Обнови файл серверов-резолверов
>>2253335Как его скачать с гитхаба?
>>2253880Короче скачал весь проект, благо он мало весит. Но это конечно пердольно чет. Как часто нужно его обновлять? Обновил, вроде работает. Но правда пришлось перегрузить вендавс. Почему так? Алсо, пару адресов не хотят резолвиться. Авито например. Как диагностировать?
>>2253884ДНС какой в настройках стоит?
>>2254515В каких настройках?
>>2254553На пикрелейтед х
>>2254556Смешно.
>>2254515А разве новый днскрипт позволяет выставить произвольный днс?
>>2254612Ты какой-то еблан.Да, конечно. С самого начала такое было.>>2253884Как новый релиз выходит, так и обновляй. Ну или как что-нить отвалитсяЗачем ты Шиндошс перезагружал, если достаточно остановить службу, а после замены файлов опять запустить?Через nslookup.
>>2254612Только если dns сервер поддерживает dnscrypt. Условный гугловский 8.8.8.8 через dnscrypt, конечно же, работать не будет.
>>2254612Так я и думал.У тебя стоял какой-то васянский ДНС который каким-то образом выставился по умолчанию в прошлой версии. Он ушел в офлайн, соответственно сайты перестали резольвиться. В новой проге ты подулючаешься через тругой васянский ДНС, который не знает половину русских сайтв, авито например. Гугли как прописывать ДНСы и выставляй нормальный сервис. Алсо, теперь тебе должно стать понятно что обновляться было вообще ни при чем.
>>2254658Чо ты несёшь. Что значит васянский днс? У меня днскрипт ващет.
>>2254685Ты вкурсе хоть как он работает?
>>2254695В курсе.
>>2254701И как?
>>2254715Кое кого это ебать не должно. Ты либо нормальным языком изъясняешься либо закончим на этом. Ты под днс случаем не днс-сервер подразумеваешь? Красава. И какой сервер по-твоему не является васянским? От гугла или яндекса штоле? Мне лишние зонды нинужны.
>>2254741Проиграл с тебя. Обновляйся почаще.
>>2254741OpenNIC топ
>>2254635>Да, конечно.И каким же образом?
>>2254818гугли настройки конфига
https://2ch.hk/s/res/2215535.html1. ставим это2. выходные днс ставим на ваш вкус, есть все сразу из-коробки во время инстала.3. ставим по желанию dnscrypt4. на роутере прописываем наш днс.5. режем рекламу и телеметриюсамый годный вариант.
>>2255608зачем ты принес это говно?
>>2255608Дегенерат малолетний ещё не вкурсе, что эту ОС нельзя поставить на жестки диск объёмом более 127Гб, диск должен иметь размер блока менее 4к, иначе говоря не advanced format. По ОЗУ ограничения. Крашится эта ОС чуть ли не от движения мыши. Нет браузров и поддержки современного железа...Проще линукс поставить с темой винды и вайн для поддержки виндовых приложенйи
>>2251609Я уже, блядь, неделю гугл читаю!!! Как же блядь заебал этоот ебцчий пердолинг! Я уже не знаю нахуй чо ставить в качестве днс сервера с этим ёбаным днскриптом. Попробовал бинд, днсмаск, анбаунд. Тоьлко это всё вместе не работает нахуй. По отдельности работает, а вместе хуй там
>>2256415Ставишь pdnsd + dnscrypt-proxy. Паста конфигов:pdnsd.conf - https://hastebin.com/olutojohik.nginx dnscrypt-proxy - https://hastebin.com/mukagiqiza.coffeescript
>>2256446щас попробую...
>>2255972>Pi-hole>ОСМсье, долбаеб то вы.
>>2256446Unable to locate package pndsdщито дэлат?
>>2256704Качать исходники и собирать, или репы искать.
>>2256732собрал. спасибо
>>2256704>>2256447Всё нахуй !! Я заебался пердолить. Оно нормально не работает нихуя.
>>2256947Поставь 8.8.8.8 . Линукс не для тебя
>>2256947Ты напиши, что тебе нужно вообще и я постараюсь тебе помочь.Просто dnscrypt? Поставь прямо в винде.
>>2256950линукс для пердоль, у которых дохуя времени на траблшутинг есть >>2256950
>>2256985Линукс не для маняюзеров Вин10
>>2256960Есть оранж PI PC хотел на ней установить кэштрующий днс сервер + днскрипт. подключить это дело к роутеру микротик. Идея в том, что бы роутер резолвил днс через этот сервер.Вот.
>>2256986>инукс не для маняюзеров Вин10ой, не пизди
>>2256987Я бы использовал микротик только для коммутации и маршрутизации, а на оранж поставил dnsmasq в качестве полноценного dhcp и dns сервера. Другие dns-серверы тебе точно не нужны. Никаких проблем с настройкой dnsmasq не должно быть, смотри thekelleys.org.uk/dnsmasq/doc.html и wiki.archlinux.org .Чтобы провайдер не палил трафик, нужно настроить dnsmasq на dns-сервер с нестандартным портом, либо использовать dnscrypt, либо stubby (dns-over-tls).Какой у тебя дистрибутив на оранже и какие конкретно проблемы возникли?
>>2256993Пик забыл.
>>2256993>Чтобы провайдер не палил трафик, нужно настроить dnsmasq на dns-сервер с нестандартным портом, либо использовать dnscrypt, либо stubby (dns-over-tls).>Какой у тебя дистрибутив на оранже и какие конкретно проблемы возникли?армбиан по совету анона из треда стоит. я пробовал dnsmasq в связке с днскрипт. так оно после перезагрузки не работает. Сначала днскрипт ошибками сыпал. Потом его я поправил, так dnsmasq посыпался. Потом я анбаунд поставил так он сначала работал, а потом перестал то ли порт был занят, то ли адресс уже используется . Загружаю старый конфиг и voi la работает, но до перезагрузки. С биндом, примерно, такие же проблемы были. Такие дела
>>2257002
>>2257002Давай ты удалишь всё и оставишь только dnsmasq. Когда его настроишь, то добавишь dnscrypt. Bind и unbound тебе не нужны, это чисто dns-серверы и они сложнее в настройке. Dnsmasq прекрасно подходит для дома и у него отличный функционал, в том числе для российских реалий.Что именно с dnsmasq у тебя не получается? Тебе нужно настроить в системе статичный ip-адрес, включить в dnsmasq раздачу адресов и указать внешние dns-серверы для резолва.https://wiki.debian.org/HowTo/dnsmasqhttps://wiki.archlinux.org/index.php/dnsmasqhttp://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.htmlМой домашний конфиг для dnsmasq (только в openwrt):conf-file=/etc/dnsmasq.confdhcp-authoritativedomain-neededfilterwin2kno-negcacheno-resolvlocalise-queriesexpand-hostsbind-dynamicall-serversdomain=anon.nameserver=/anon.name/server=77.88.8.8#1253server=77.88.8.1#1253server=/corp.anon.ru/172.16.0.20dhcp-leasefile=/tmp/dhcp.leasesstop-dns-rebindrebind-domain-ok=/corp.anon.ru/dhcp-broadcast=tag:needs-broadcastaddn-hosts=/tmp/hostsconf-dir=/tmp/dnsmasq.duser=dnsmasqgroup=dnsmasqsrv-host=_vlmcs._tcp,kms.corp.anon.ru,1688bogus-privconf-file=/usr/share/dnsmasq/rfc6761.confdhcp-range=set:lan,172.16.9.100,172.16.9.249,255.255.255.0,24h
Кстати, на микротик можно поставить openwrt и всё будет в три раза проще, лол.
>>2257010>Тебе нужно настроить в системе статичный ip-адрес,сейчас чистый образ запишу и снова попробую...
>>2257016Делай копии конфига, прежде чем что-то меняешь. А у тебя какой armbian? Интерфейс есть? Дебиан или убунту?
>>2257018Armbian_5.38_Orangepipc_Debian_stretch_next_4.14.14 -вот такой
>>2257014это не вариант
>>2257010план такой:1- ставлю dnsmasq2-закидываю твой конфиг3-ставлю днскрипт (нужно ли ставить libsodium?)4-конфиг...5-?
>>2257027Забудь про закидывание чужих конфигов, это просто рабочий пример. Тем более он несколько отличается от обычного.Тебе нужно:1. Настроить статичный IP-адрес на сервере.2. Установить dnsmasq.3. Тщательно изучить конфиг по умолчанию. Выложи его здесь.4. Настроить dnsmasq в качестве dhcp и dns сервера.5. Отключить dns и dhcp серверы на микротике.6. Убедится, что у тебя всё работает.
>>2257031Сначала установи dnsmasq, а потом меняй сетевые настройки
>>2257031>тключить dns и dhcp серверы на микротике.user=dnsmasqgroup=dnsmasqlisten-address=127.0.0.1interface=eth0cache-size=4096dhcp-range=192.168.88.0/24no-dhcp-interface=eth0domain-neededbogus-privno-resolvno-pollserver=127.0.0.1#server=8.8.4.4#53stop-dns-rebind#clear-on-reloadlocal-ttl=7200neg-ttl=14400max-ttl=86400stop-dns-rebind так пойдёт?
Скинь сначала дефолтный конфиг.
>>2257067https://github.com/imp/dnsmasq/blob/master/dnsmasq.conf.exampleу меня точь-в-точь
>>2257069Тебе надо от дефолтного отталкиваться, а не копировать мой.1. По умолчанию dnsmasq берёт dns-серверы из /etc/resolv.conf. Тебе нужно, чтобы dnsmasq использовал только dns-серверы из конфига:no-resolv2. Задаёшь dns-серверы опцией server:server=8.8.8.8server=8.8.4.43. Включаешь раздачу ip-адресов:dhcp-range=192.168.0.50,192.168.0.150,12hИтого:no-resolvserver=8.8.8.8server=8.8.4.4dhcp-range=192.168.0.50,192.168.0.150,12hВесь конфиг для начала.
>>2257091>192.168.0.50,192.168.0.150,1почему дхцп диапазон 192.168.0.50,192.168.0.150,12h ?
>>2257118это весь 4 пункт? перходим к 5 ?
>>2257121С 50 до 150 на 12 часов. Стандартное значение из дефолтного конфига.>это весь 4 пункт? перходим к 5 ?Почти. Что у тебя в /etc/resolv.conf?
>>2257146>С 50 до 150 на 12 часов. Стандартное значение из дефолтного конфига.>>это весь 4 пункт? перхо# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTENnameserver 127.0.0.1
>>2257146ещё я вот так сделал: no-resolvserver=8.8.8.8server=8.8.4.4dhcp-range=192.168.88.0/24
>>2257149
>>2257148Понял. Что в /etc/network/interfaces?
>>2257149Не понимаю почему ты упорно пытаешься сделать так, когда в документации по другому. Ты думаешь, что dnsmasq прочитает такой конфиг просто потому что тебе хочется?
>>2257152>очему ты упорно пытаешься сделать так, когда в документации по другому. Ты думаешь, что dnsmasq прочитает такой конфиг просто потому что тебе хочда, так и думаю
>>2257151source /etc/network/interfaces.d/*# Wired adapter #1allow-hotplug eth0no-auto-down eth0iface eth0 inet dhcp#address 192.168.0.100#netmask 255.255.255.0#gateway 192.168.0.1#dns-nameservers 8.8.8.8 8.8.4.4# hwaddress ether # if you want to set MAC manually# pre-up /sbin/ifconfig eth0 mtu 3838 # setting MTU for DHCP, static just: mtu 3838# Wireless adapter #1# Armbian ships with network-manager installed by default. To save you time# and hassles consider using 'sudo nmtui' instead of configuring Wi-Fi settings# manually. The below lines are only meant as an example how configuration could# be done in an anachronistic way:# #allow-hotplug wlan0#iface wlan0 inet dhcp#address 192.168.0.100#netmask 255.255.255.0#gateway 192.168.0.1#dns-nameservers 8.8.8.8 8.8.4.4# wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf# Disable power saving on compatible chipsets (prevents SSH/connection dropouts over WiFi)#wireless-mode Managed#wireless-power off# Local loopbackauto loiface lo inet loopback
>>2257158Тебе надо настроить статичный ip. Либо с помощью armbian-config, либо по документации https://wiki.debian.org/NetworkConfiguration .
>>2257160>armbian-configiface eth0 inet dhcpaddress 192.168.88.249netmask 255.255.255.0gateway 192.168.0.1dns-nameservers 8.8.8.8 8.8.4.4 правильно?
>>2257192Нет, читай документацию https://wiki.debian.org/NetworkConfiguration .
>>2257502нахуй этот пердолинг!! Забей чувак. Спасибо тебе.
Новый днскрипт юзабелен или лучше ещё подождать?
>>2258747ну такое
>>2251789можно, просто ты ебаный неосилятор
>>2258819>ну такое Откуда вы, блядь, лезете, рачье ебаное.
>>2258747У меня встречный вопрос. Где скачать старый днскрипт? На виртуалке давно стоит 1.6.какой-то, последний вроде как 1.9.5, но все ссылки ведут на нерабочий сайт, либо на гитхаб с 2.0.4, который сейчас, кстати, стоит на хосте (пик). Х.з. что в твоем понимании юзабелен. Работает да и все.
>>2226775 (OP)>Твой локальный провайдерский DNS>>2226775 (OP)>Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдера, т.е. он видит (а так же товарищьмайор) что и когда и как часто посещал.Поясните, почему это минус, если все IP всё равно хранятся наверное у прова. Или это на случай двух сайтов (скажем sosach.ru и analniy.2018.ru) на одном IP? То есть типа если у прова только IP, то останется неопределенность, куда именно я ходил - на сосач или на сайт Анального, так?
DNS норвежской пиратской партии: 185.56.187.149
>>2259156На гитхабе же по идее надо просто выбрать нужную ветку в истории.
>>2260219Автор пересоздал репу.
>>2226775 (OP)Объясните дауну за схему. Разве VPN-соединение не подразумевает, что ты коннектишься к ресурсу через VPN-сервер, соединение с которым зашифровано, а сервер по-хорошему должен сам резолвить адреса, которые ты отправляешь ему в зашифрованном виде? Или это принципиально зависит от реализации сервера?
>>2260299>Разве VPN-соединение не подразумеваетНет, VPN - это именно что Virtual Private Network. Eсли ты воткнешь в машину еще одну сетевуху, присвоишь ей адрес из другой подсетки и пропишешь машину из этой новой подсетки в качестве своего default gateway - каким образом это повлияет на DNS-траффик? Если DNS-сервер у тебя внешний и не находится ни в одной из твоих подсетей, например 8.8.8.8, запросы к нему пойдут через твой новый default gateway, следовательно через твою вторую сетевуху или VPN. А если DNS-сервер локальный (сервер провайдера, к примеру) - запросы пойдут через первое (незащищенное) соединение.
>>2260482а виртуальная сетевуха не годится?
>>2260299>это принципиально зависит от реализации сервера?Кратко: это зависит от твоих локальных настроек DNS-разрешения, от настроек VPN-сервера и от настроек VPN-клиента. Сам VPN-сервер ничего не резолвит в любом случае, это не его функция.Развёрнуто.1) У тебя в системе может быть указан DNS-сервером твой роутер, например, или сервер из локальной сети провайдера (192.168.x.x, 10.x.x.x). Подключение к виртуальной сети не меняет маршруты до адресов в локальной сети, поэтому всё и дальше будет ресолвиться на роутере, который перенаправляет запросы серверу провайдера.2) У тебя в системе может быть указан анонсированный адрес (не из локальной сети) DNS-сервера провайдера. При подключении к VPN маршрут до него изменится и трафик пойдёт через VPN-сервер. Но ты по-прежнему будешь отправлять запросы к DNS-серверу провайдера, хоть и через VPN-сервер.3) VPN-сервер в зависимости от настроек может при подключении отправлять инструкции по смене DNS-сервера на другой. VPN-клиент в зависимости от настроек может принимать их или не принимать.
>>2259030по делу есть что сказать?
>>2260508годится, не слушай дебича, нормальные впн пушат свои роуты в систему
Анонче, помоги разобраться с настройкой dnscrypt на роутере с LEDE Reboot.В репах графической оболочки для крипта нет, но я смог в консоль молодец, поковырял конфиги, как было велено тут ( https://wiki.openwrt.org/ru/inbox/dnscrypt ), но не завелось не молодец.Вопросы: IP-адрес, на который будет осуществляться прием DNS-запросов от клиентов всегда 127.0.0.1, менять не надо? Порт тоже не трогать?Файл в формате CSV, содержащему информацию о публичных DNS-серверах обязателен или можно самому прописать где-то сервера ADGuard?Ни один гугел толково не объяснил...
>>2260826> нормальные> пушат> нормальные> делают то, что не должныУ вас зонды головного мозга.
Спасибо анону за stubby! Мне понравился он больше, чем dnscrypt.
>>2261020>IP-адрес, на который будет осуществляться прием DNS-запросов от клиентов всегда 127.0.0.1, менять не надо? Порт тоже не трогать?Да, оставляй как есть. Только не забудь настроить dnsmasq на роутере! чтобы он перенаправлял все запросы на 127.0.0.1:5353.>Файл в формате CSV, содержащему информацию о публичных DNS-серверах обязателенОбязателен. Там адреса серверов и ключи для них.Удостоверься так же, что dnscrypt запущен и прослушивает порт 5353 (или какой ты там настроишь), командой netstat -nlp.
>>2259156https://github.com/dyne/dnscrypt-proxy
>>2261020Какие конкретно у тебя возникли проблемы? Веб-интерфейс для dnscrypt-proxy есть — https://forum.lede-project.org/t/new-luci-gui-for-dnscrypt-proxy/ . Пример рабочего конфига:/etc/config/dhcpconfig dnsmasq ... option allservers '1' option noresolv '1' list server '127.0.0.1#29170' list server '127.0.0.1#29171' list server '/pool.ntp.org/8.8.8.8' list server '/pool.ntp.org/2001:4860:4860::8844' .../etc/config/dnscrypt-proxyconfig dnscrypt-proxy 'ns1' option address '127.0.0.1' option port '29170' option resolver 'cisco'config dnscrypt-proxy 'ns2' option address '127.0.0.1' option port '29171' option resolver 'cisco-ipv6'/etc/config/networkconfig interface 'wan' ... option peerdns '0' option dns '127.0.0.1'>>2262515Stubby ещё может быть не очень стабилен, но его усиленного пилят серьёзные люди, и у dns-over-tls всё ещё довольно грустно с серверами для российского пользователя. В любом случае это самое ближайшее будущее ( https://dnsprivacy.org/wiki/display/DNSPWS/NDSS%3A+DNS+Privacy+Workshop+2018 ), dnscrypt уже всё.
>>2263320Ты сам хоть понял что там есть?
>>2263585Код dnscrypt-proxy последней версии.
>>2260237Ну може форки есть, это ж попенсорс
>>2262686>>2263334Спасибо, покурю, поковыряю. А что скажете насчет Unbound? Вроде бы, предтвращает утечку ДНС запросов на сторону, исключая третьих лиц. Причем, проект скорее жив, чем мертв.
>>2263846> исключая третьих лицЭто смотря кого ты считаешь третьими лицами. Ведь DNS нужен тебе для начала общения между сайтом и тобой, и сам является сторонним, лишним и ненужным сервисом.> предтвращает утечку ДНС запросов на сторонуТы ничего не поня. DNS-запросы так или иначе будут утекать от тебя в той или иной форме. Ты же не собираешься у себя дома держать полную БД DNS вообще со всеми существующими доменами?
>>2263846Unbound ничего не предотвращает, это просто рекурсивный dns-сервер. Понятия не имею, зачем домашнему пользователю unbound.>Причем, проект скорее жив, чем мертв.Лол, типо того.
https://2ch.hk/s/res/2214478.html#2253320КАК это понимать?>>2253320
>>2263910>>2263937Это да, третьих лиц тут и так хватает, понятно. Лишних бы не прибыло.Хммм... Да еще и грузит неслабо мой и так не шибко мощный роутер TL-WR1043ND (ver.1), если кому не насрать. Сетка живет, но аж веб-морда Люськи еле шевелится :)Выпилю его нах и попробую таки в dnscrypt. Или есть другие варианты, более актуальные?
>>2264200У тебя есть три правильных варианта:1. dnsmasq и днс-сервер на нестандартном порту, например яндекс. Провайдеры палят запросы к днс по стандартному порту.2. dnsmasq и dnscrypt. В lede/openwrt всё работает отлично. Пример конфига >>22633343. dnsmasq и stubby. Последний есть в разрабатываемой (trunk) ветке lede/openwrt.>>2264039Анон не привёл конкретных доказательств, но и без этого понятно, что с dnscrypt-proxy что-то не так.
>>22642314. Наиболее правильный вариант. Всё в vpn.
>>2264231>dnsmasq и днс-сервер на нестандартном портуА это как? Dnsmasq должен быть настроен на дополнительно установленный на роутере днс-сервер? Или сразу на внешний сервер можно по нестандартному порту отправить?И я бы предпочел днс-сервера ADGuard, нахуй эти корпорации добра и зла...
>>2264309>А это как?dnsmasq.confserver=77.88.8.8#1253server=77.88.8.1#1253>нахуй эти корпорации добра и злаКак будто adguard чем-то отличается от яндекс в плане приватности. Если тебе нужна приватность, то >>2264232
>>2264309Нахуй это адгвард. Ставишь pdnsd, добавляешь сервера Verisign и OpenNIC в конфиг, также прописываешь там хост-файл с блокировкой рекламных доменов. Профит.
>>2264324>>2264390Оно понятно, что все торгуют приватностью. Оно и Verisign с OpenNIC торгуют, небось. Просто с Adguard меньше рекламы будет и шпионов. А остальное уже модуль адблока на роутере добьет.Хотя... А будет ли при этом роскомнадзор обходится, если днс-запросы (dnscrypt же!) таки местные не перехватят и в жопу городского телекома не перенаправят?
>>2264324И внешний ДНС-сервер будет слышать обращение по нестандартному порту?
>>2264708Если поддерживает. Яндекс поддерживает подключения на 1253 порту. Можешь поискать другие днс-серверы с подобными возможностями. Некоторые серверы поддерживающие dns-over-tls поддерживают и не шифрованные подключения на 853 порту.
>>2264706Можно прилепить dnscrypt-proxy к pdnsd. Выше в треде был конфиг
>>2264766Да успокойся уже со своим pdnsd. Он мало кому нужен.
Прочитал вот эту статью https://habrahabr.ru/company/oleg-bunin/blog/350550/ и включил dns резолвер в своем pfsense роутере, теперь я сам себе dns сервер и не завишу от сторонних серверов.В этом режиме роутер ходит непосредственно на корневые dns сервера, забирает оттуда ns записи и обращается уже на них для резолвинга конкретной доменной зоны. И как я раньше про эту фишку не знал. Кто захочет сделать так же, включите опции "Prefetch Support" и "Serve Expired" в настройках, с ними в кеше всегда будут актуальные записи для часто посещаемых доменов.У кого нет pfsense, все это можно сделать в unbound на linux.
>>2264231https://dxdt.ru/2016/06/21/7975/
>>2265290Попробую угадать. Ты просто скинул мне какую-то рандомную ссылку на описание, как работает dnscrypt и даже не задумался отвечает ли это на коммент.>>2265233Единственный способ обезопасить такую схему это впн.
>>2265395угадал
>>2265395>Единственный способ обезопасить такую схему это впн.У меня оно и так через vpn, на скринах можешь заметить.Да даже и без него это безопаснее получается, чем пользоваться провайдерскими или гугловскими dns, ведь они 100% все логгируют.
>>2265398>безопаснееПриватнее получается, безопаснее нет.>ведь они 100% все логгируют.А руты и авторитарные серверы не логгируют, лол.
>>2228163Как будто что-то плохое.
>>2265446Зачем ты апаешь комменты жертвы пропаганда?
Чет новый днс крипт часто не стартует при загрузке вин7. Приходится вручную. В журнале ошибки.
>>2226775 (OP)> Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдера, т.е. он видит (а так же товарищьмайор) что и когда и как часто посещал.Это не единственный минус. Если накатить впн но оставить провайдерский ДНС - myip покажет тебе что ты белый человек из белой страны, но все сайтики по прежнему будут заблокированы роскомпарашей.Так что гугловский.
>>2267218А мониторить IP адреса и потом резолвить оператор не может типо?
>>2267335Я нихера не понял, ты о чем?
>>2267338Оператор увидит, в любом случае, куда ты заходишь
>>2267347Хуй немытый он увидит. Он увидит только коннект до впна шифрованый - и больше нихуя.
>>2267348С впн не увидит конечно
>>2267109Никто не замечал?
>>2267511Бывает, но редко.
>>2267109что за ошибки?
>>2267747Вот эти две подряд. Пробовал настройки восстановления теребить как на пикче 3, но бывает и 2 подряд перезапусков службе не помогают. Ненормальное дерьмо.
>>2264231>dnsmasq и днс-сервеdnsmasq вместе со стабби не нужен. Нужен unbound- работает надёжнее.
>>2263846Использовать unbound - хорошая идея!https://artkus.com/DNS-over-TLS.html
>>2263937>>2268010>>2267799Так торт этот ваш Unbound или не торт? Чем он вообще отличается от того же dnscrypt?
>>2268629Ubound- торт! Погугли про работу днс и поймешь в чем разница. Unbound может сам шифрованно отправлять/получать запросы к/от серверу(а), а может и через посредника типа dnscrypt, stubby и т. п. Тогда уже они шифруют dns запросы/ответы. как же блядь не удобно с телефона писать
>>2268822Unbound точно более ресурсоемкий, оправдано ли?
>>2269315
>>2269315более ресурсоемкий, чем что?ты сильно ограничен в ресурсах?
Кто может пояснить за днс, что это такое и с чем его едят?
>>2269411Это магазин такой
>>2269415Ну кстати я так сначала и подумал
>>2269411я могу, но не будугугл
>>2269411Хуйня, которая превращает доменное имя (например, lmgtfy.com/dns) в IP-адрес (например, 178.248.232.78)
>>2269411https://dnsprivacy.org/wiki/
>>2269411https://ru.wikipedia.org/wiki/DNS
>>2267799 >>2268629 >>2268822 Unbound это только dns-сервер. В то время, как dnsmasq это комплексное решение — dhcp и dns, которые знают друг о друге — для маленькой сети.Unbound очень ограниченно по сравнению со stubby умеет в dns-over-tls — https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Implementation+Status .Unbound не нужен обычному пользователю. Не понимаю почему вы пытаетесь изобретать хуёвые велосипеды.
>>2270083Хуёвый велосипед- это dnsmasq+ stabbyЗачем 2 в одном советовать-то. Этож блядь не всем нужноНахуй вы его форсите тут
>>2270083@ГОВОРИТ ЧТО DNSMASQ ЛУЧШЕ@ДАЁТ ССЫЛЛКУ ГДЕ ПРО НЕГО НЕТ НИ СЛОВА@...
>>2264766> прилепить dnscrypt-proxy к pdnsdЗачем. DNS-записи кешируются системой, днскриптом и бразуером. Зачем тут ещё один элемент?
>>2270103Лол.Unbound не умеет ничего, кроме dns-over-tls и tcp fast open. Факт.Stubby единственное существующее решение умеющее всё, что только можно в рамках текущей работы по обеспечению безопасности, приватности и скорости резолва dns. Факт.Unbound не умеет ничего, кроме dns в принципе. Факт.Unbound (как и Knot и BIND) по функционалу это в первую очередь рекурсивный сервер, а не форвардер. Факт.Dnsmasq единственное полноценно функциональное решение для обеспечение dns (как форвардер) и dhcp, которые в небольшой сети непосредственно связаны друг с другом. Плюс некоторые клёвые штуки, вроде поддержки ipset (можно трафик связанный с конкретным доменом отправить в впн). Факт.Dnsmasq+stubby единственное корректное решение для домашней сети. Лучший вариант это отправить весь трафик в vpn.
>>2270137Попробуй прочитать комментарий. Там есть такая штука, как предложения — наборы слов разделённые точкой. И ссылка сравнивает функционал stubby и unbound, как и написано в предложении, к которому эта ссылка относится.
>>2270152>как и написано в предложении, к которому эта ссылка относится@ГОВОРИТ ЧТО DNSMASQ ЛУЧШЕ@ДАЁТ ССЫЛЛКУ НА комментарий ГДЕ ПРО НЕГО НЕТ НИ СЛОВА@...
>>2270154Ты аутист? Где ты увидел здесь что-то про dnsmasq?>Unbound очень ограниченно по сравнению со stubby умеет в dns-over-tls — https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Implementation+Status .
>>2270145>Unbound (как и Knot и BIND) по функционалу это в первую очередь рекурсивный сервер, а не форвардер. ФактТы скозал?Зачем unbound уметь всё подряд? Для чего тогда stubby?
>>2270160Открой официальные сайты и ознакомься с функционалом. В очередной раз могу дать ссылку на https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Implementation+Status , где всё тоже самое написано в рамках tcp/tls функционала.>Зачем unbound уметь всё подряд? Для чего тогда stubby?Попробуй сформулировать мысль и я отвечу. Для чего нужен stubby написано >>2270145 .
>>2270168>Unbound не умеет ничего, кроме dns в принципе.Ты так говоришь, как будто это что-то плохое
>>2269398Да, ограничен. Это дело крутится на не шибко мощном роутере TL-WR1043ND (ver.1) под управлением LEDE Reboot.
>>2270187В случае, если кроме dns-форвардера ничего не требуется (уже не кейс обычной домашней сети), то нет особой разницы между unbound+stubby или dnsmasq+stubby.
>>2270143Для стабильности. dnscrypt кэширует только свои данные для одного сервера, а в pdnsd можно добавить несколько серверов. Если один из них отвалится, проблем не будет.
>>2270241>dnsmasq+stubby.У меня dnsmasq падал раз в сутки-двое. С unbound таких проблем нет
>>2270250Ещё один изобретатель херовый велосипедов. Система кеширует, браузер кеширует, dnsmasq или unbound кеширует.Единственное зачем нужен pdnsd это кеш переживающих перезагрузки сервиса/устройства, что является ключевой особенностью pdnsd и отраженно в названии — p значит persistent. Актуально только для совсем тормозных линков, когда отсутствие кеша (выключили электричество или нужно было перезагрузить маршрутизатор) это ещё больше тормозов, пока кеш не заполнится.
>>2270279Ок.
>>2270280Дело не в кэше. В pdnsd можно больше серверов добавить и включить блокировку рекламы на всех устройствах
>>2270383Так на любом dns-сервере можно сделать
>>2270383И к тому же резолвить буит не через кучу серверов, которую ты хочешь добавить, а через посредника в виде stubby, dnscrypt и т. п.
>>2270383> В pdnsd можно больше серверов добавить Наркоман. Там должен быть только один локальный dnscrypt-сервер. Все остальные сервера (а-ля из шапки) идут лесом.
>>2270502Почему это? Слежки испугался?
>>2268822Какие сервера юзает Unbound по умолчанию?
>>2270684ни какие
>>2270383>Дело не в кэше.Единственное зачем нужен pdnsd это сохраняемый кеш.>можно больше серверов добавитьКак и в dnsmasq, unbound, stubby, dnscrypt v2. Только dnscrypt v1 не умеет в такое и надо поднимать несколько копий dnscrypt.>включить блокировку рекламыКак и в dnsmasq, unbound, dnscrypt.
>>2270755Как это никакие? Данные для резолвинга откуда?
>>2270890Какие сервера добавишь, такие и будут. Хоть корневые назначь
>>2270891Куда добавишь? В конфиге никаких серверов нет, а он резолвит.
>>2270896У тебя линукс?
>>2270898Да
>>2270896Если да, то резолаить может не он а сама система. Проверь network/interfaces, resolv.conf. Там могу быть прописаны другие днс, через которые помимо unbound резолв идет
>>2270903Там стоит 127.0.0.1
>>2270905И тут "/etc/network/interfaces.d/*" ?
>>2270912Такой папки нет Archlinux
>>2271015Хехехехе, ты проиграл, грязный арчевыблядок.
>>2271016Нахуй с треда иди, школяр ебаный
>>2271019Ой как у тебя пригорает от правды матки)Рач - это дистор для дебилов и тестировщиков. Нормальные ребята юзают пикрил.
>>2271024Ты вытекаешь из треда.
>>2270598Ебать ты дебил. Посмотри эту ветку выше.
>>2271024> Рач - это дистор для дебилов и тестировщиков. Нормальные ребята юзают пикрил.> ubuntu> fedoraВыйди в окно
>>2271059Выйди к доске
>>2271015Посмотри в аналогичной. Я на работе и даже нагуглить не могу
>>2271063Смотрел в systemd, там всё закомментировано.
>>2271077Я не пользуюсь линуком, поэтому больше ничем не могу помочь тебе. Гугл в помощь
>>2271077Может тут найдешь что-нибудь полезное
>>2271094Ой бля! Тут https://wiki.archlinux.org/index.php/Resolv.conf#Preserve_DNS_settings
>>2270896Так может ты выложишь конфиг?
>>2271104Брал конфиг тут: http://muff.kiev.ua/content/unbound-nastroika-keshiruyushchego-dns-servera
>>2271211Предположу, что без прописанных форвардеров, unbound работает резолвером. То есть резолвит через корневые серверы.
>>2271248Тогда они должны быть в root.hints или как-то так, должны быть прописаны
>>2271479Не обязательно. Если ничего не прописано, то будет использоваться "встроенные".
>>2270684>>2270890Изначально запрос уходит на один из корневых серверов, оттуда берется ns, обслуживающий доменную зону, с него берется ns, обслуживающий конкретный домен, ну и дальше по цепочке.Адреса корневых серверов не меняются и прописаны в unbound. В такой схеме ты не зависишь от посредника в виде стороннего dns сервера.
>>2272179Где же они там прописаны? Мне прходилось самому их добавлять.
Это ОП.Ебать вы мой тред распидорасили. Тут просил годноты, и поделиться чем вы пользуетесь, а вы тут какие-то манятеории начали писать, никто блядь в сетях абсолютно не разбирается, но пытается пропихнуть различные проф. инструменты.Вы ебанутые ребят.
>>2272555Это я ОП. Пиздуй с моих двачей, зелёный
>>2272321https://www.unbound.net/documentation/unbound.conf.htmlRead the root hints from this file. Default is nothing, usingbuiltin hints for the IN class.>>2272555Судя по шапке ты один из главных аутистов.
>>2272564Ты довен?
>>2226775 (OP)https://habrahabr.ru/post/351664/
>>2274941О чём "статья"? Блокировать рекламу можно множеством способов, в том числе dnsmasq. А dnscrypt уже не нужен, тем более, что автор показал себя неадекватом.
>>2275332Какая замена dnscrypt для защиты от спуфа? Кроме впн, тора.
>>2275335dns-over-tls. Странный вопрос.
>>2275336Stubby, я правильно нагуглил?
>>2275338Stubby или unbound. Но первый лучше.https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Implementation+Status
>>2275340Спасибо.
>>2275332Что там с автором?
>>2275417Присоединяюсь к вопросу.
>>2275417В конце прошлого года Frank Denis (один из двух авторов протокола dnscrypt и разработчик dnscrypt-proxy) написал в твиттере, что dnscrypt-proxy нужен мейнтейнер (разработчик) и на вопрос, что он использует для защиты dns, ответил vpn. Ничего такого, приходят серьёзные стандарты для защиты dns, человек потерял интерес к проекту и тд.Некоторое время спустя он полностью удаляет репозитарий с dnscrypt-proxy. Уже говорит об неадекватности. Сайт редиректит, то на tenta.com/blog/post/2017/12/dns-over-tls-vs-dnscrypt , то на dnsprivacy.org.Вскоре появляется на 99% готовый dnscrypt-proxy v2 и новый сайт на котором очень подробно расписано (с враньём/ошибками и аргументацией детского сада), почему dnscrypt это хорошо, а dns-over-tls это плохо. Сам Frank Denis присутствует на реддите и форуме леде, где объясняет тоже самое.
Не знаю туда ли спрашиваю.Стоит ли доверять Adguard?Так и не смог найти конкретную информацию о Performix LLC. Откуда они? Если РФ, то сливают ли данные гебне?
>>2277349Раньше чем они всё сольет твой провайдер
Так может, это теперь dns privacy тред?
>>2275625А можно с ссылку на новый сайт?
>>2277368https://dnscrypt.info/
>>2277349Нет
>>2277384Спасибо
https://webcache.googleusercontent.com/search?q=cache:https://1.1.1.1/
>>2279893Удалили, лол. DNS резолвер от Cloudflare. Умеет в DNS-over-TLS.2001:2001:: 2001:2001:2001:: 1.1.1.11.0.0.1
>>2277349>Откуда они? Если РФ, то сливают ли данные гебне? 1) Из России, Performix LLC это англоязычное название одноименной ООО-шки (ООО "Перформикс" - ОГРН 1127746508262 , ИНН 7728812120 ). Пруф (выписка из ЕГРЮЛ): http://www.rusprofile.ru/id/6119578https://выставить-счет.рф/vipiska-egrul/ogrn.1127746508262.htmlhttps://выставить-счет.рф/egr/egr.1127746508262.pdf?0889052) Да.
https://1.1.1.1 . Резовлер от Cloudflare (и APNIC). Быстрый (на уровне Google, если не быстрее), поддерживает DNS-over-TLS и DNS-over-HTTPS. В отличие от Quad9 нормально резолвит, что делает Cloudflare главным DNS-over-TLS резолвером.
>>2280898Прогони тест https://www.grc.com/dns/dns.htmТам везде статус Moderate стоит
Напишите шапку в тред и гайды по настройке
>>2280904Первый диапазон серверов excellent, остальные moderate. Как и Гугла.
>>2280904>Spoofability Mitigation Note: Even though one or more of the individual “spoofability” parameters shown above does indicate a worrying spoofability grade of “Moderate”, our attempt to directly query this server from the Internet failed. Therefore, “Kaminsky-style” cache poisoning attacks will be either more difficult or impossible to conduct. As long as this nameserver remains inaccessible to Internet queries, there is little danger of it becoming a victim of Kaminsky-style cache poisoning attacks.>26 “Pseudo-Resolvers” in a Class-C Network: As you can see from the details provided in the blue bar above, 5,000 queries were received from 26 unique IP addresses closely grouped within a single class-C network. In other words, only the last byte of the IP addresses of those 5,000 queries differed from each other. This indicates that rather than there being 26 actual nameservers at those individual IP addresses, only a single nameserver is located behind a “reverse NAT”, causing it to emit queries from up to 256 randomly-chosen IP addresses. This introduces an additional eight (8) bits of uncertainty into this nameserver's queries, since the querying IP might have any least significant byte. Therefore, even if the nameserver's query source port range, or its transaction IDs, are limited, significant additional randomness has been introduced into this nameserver's queries.
$ ./dnseval.py -f servers.txt -c10 google.com server avg(ms) min(ms) max(ms) stddev(ms) lost(%) ttl flags ----------------------------------------------------------------------------------------------------------- 8.8.8.8 40.126 26.475 44.378 4.927 %0 36 QR -- -- RD RA -- -- 8.8.4.4 41.285 40.737 42.397 0.593 %0 72 QR -- -- RD RA -- -- 1.1.1.1 27.008 26.683 27.696 0.389 %0 299 QR -- -- RD RA -- -- 1.0.0.1 27.114 26.466 28.831 0.645 %0 299 QR -- -- RD RA -- -- 9.9.9.10 55.257 54.336 56.908 0.846 %0 221 QR -- -- RD RA -- -- 208.67.222.222 68.738 67.499 70.014 0.970 %0 74 QR -- -- RD RA -- -- 208.67.220.220 69.306 67.374 70.466 0.983 %0 73 QR -- -- RD RA -- -- 77.88.8.8 30.764 28.275 33.174 1.800 %0 214 QR -- -- RD RA -- -- 77.88.8.1 32.324 29.023 34.714 1.520 %0 211 QR -- -- RD RA -- --
>>2281183В пизду.
По open nic есть нормальный гайд? Их сайт гавно ебаное там нихуя нормального нет!
>>2282194Гайд? Зачем? Вписываешь IP сервера и всё
>>2282198Че это такое и как работает.
Реквестирую конфиг stubby для clooudflare dns (1.1.1.1)
Реквестирую пояснение за cloudflare dns
>>2282216https://1.1.1.1
>>2282217Я не про настройку, а откуда у них финансирование на это, продают ли третьим лицам инфу о тебе сотрудничают ли с гэбэ и тд
>>2282219Говорят, что упор на конфиденциальность. но я не верю
>>2282221Вот и я о том же, поэтому интересно узнать у знающих срывателей покровов так ли это, как написано на заборе
>>2282219>откуда у них финансированиеКомпания стоимостью за 3 миллиарда. И правда, откуда у них деньги.
Нарыл список DNS серверов со всего мира. Можно чекать через DNSbench - http://rgho.st/7Wjhk8w9l