# 4 года, 7 месяцев назад (отредактировано 4 года, 5 месяцев назад)
Уфф. И упарился же я его настраивать. Есть люди в теме? Кто-нибудь уже все настроил? 🙂
У меня уже около года работает без проблем. # 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)
Уррааа! 🙂 Делаю аж по двум викам — https://wiki.archlinux.org/index.php/DNSCrypt — https://github.com/jedisct1/dnscrypt-proxy/wiki/Configuration и не работает.
Пока что без никаких local DNS caching programs и systemd заморочек для запуска как сервис при старте системы хоть увидеть, как оно работает, можно как-нибудь? 🙂
1. Устанавливаем из репозитория арча. 2. Вносим в конфигурационный файл изменения, а именно определяем:
или Вы какое, кстати, ResolverName используете?
Далее. В первой вики написано еще внести изменения в resolv.conf. Но после этого невозможно открыть ни один сайт потом. Во второй вики этого нет. Не надо уже?
3. Запускаем для проверки и получаем ошибки типа И на чек-сайтах видим утечку DNS, естественно.
И как с этим бороться?
У меня система без системдэ, поэтому все по-другому настраивается, я думаю 🙂
Я пользуюсь этим скриптом, он пока что не работает с dnscrypt версии выше 1.9.1, так что у меня заблокировано обновление. Демон запускается командой
В resolv.conf, соответственно, nameserver 127.0.0.1
На самом деле у меня чуть сложнее, потому что есть еще кеширующий pdnsd в серединке, но работает и без него 🙂
Системддд пока ни при чем. Спец службу и потом можно сделать. ) Видел этот скрипт. Жаль, что не последняя версия там. Будем копать. Спасибо за отклик. 🙂
Ой, ну фсёёё. Я уже почти Штирлиц! )) Проблема решилась заменой resolver на Российский. И теперь на https://2ip.ru/ у мну везде палец вверх, то бишь все зашифровано. ) Но теперь появился новый план работ и несколько вопросов. Я так понимаю, что использующим DNSCrypt OpenDNS уже без надобности или их можно как-то использовать вместе? И теперь сразу видны изъяны «браузерных VPN». Лесом и в топку. И что остается? OpenVPN? Или еще какие-нибудь варианты? # 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)
Внимание всем партизанам! Российский resolver нельзя использовать. Идет логирование ваших действий. Чтобы одновременно работал DNSCrypt и OpenDNS нужно выбирать опцию —resolver-name=cisco .
P.S.: cisco тоже пишет логи. Выход — только собственный DNS сервер где-нибудь в лесу. ))
P.P.S.: Если использовать cisco, почему-то идет утечка DNS. Если yandex, то нет. Уловка от логирования — отсылка эфемерных ключей с опцией —ephemeral-keys .
Честно, я не поняла, чего вы хотите добиться 🙂 DNSCrypt всего лишь шифрует и защищает от подмены днс-запросы, которые она пускает по своему, выбранному вами, ресолверу. Ведет ли этот ресолвер логи, написано в файле dnscrypt-resolvers.conf. Если у вас работает какое-то браузерное дополнение с vpn, или общесистемный vpn, то и днс-запросы скорее всего тоже идут через этот vpn. А OpenDNS это открытый большой днс-сервер. В общем, вы меня запутали 🙂 # 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)
Ну, мы тут на нашей поляне по рации узнали, что даже если мы используем VPN, то без шифрования DNS-запросов мы все равно не в безопасности. )) Ладно уже с логами. Отсылка эфемерных ключей и коньяк поможет нам успокоится. ) Если же использовать при этом «браузерные VPN», то там задействуются еще и другие DNS-серверы, по которым будут идти незашифрованные DNS-запросы, и DNSCrypt не поможет. Поэтому нужен общесистемный VPN. Вы каким пользуетесь? ) А OpenDNS и DNSCrypt все же можно использовать вместе, если —resolver-name=cisco. Но сайты, где можно проверить «утечку DNS», определяют OpenDNS сервер. А если использовать —resolver-name=yandex, то проверка покажет, что DNS- сервер не определен. Хотя может и с OpenDNS утечки нет. DNS- сервер должен быть виден всем может быть? ) И это не говорит о том, что наши соединения с ним незашифрованы? В общем все как-то работает. )) Осталось решить вопрос с общесистемным VPN. 🙂
Я vpn не пользуюсь, поэтому ничего не подскажу.
R.V. OpenDNS и DNSCrypt все же можно использовать вместе, если —resolver-name=cisco. Но сайты, где можно проверить «утечку DNS», определяют OpenDNS сервер.
DNSCrypt — это протокол, который проверяет подлинность связи между DNS клиентом и DNS резолвером. Это предотвращает подмену DNS. Он использует криптографические подписи, чтобы убедиться, что ответы исходят от выбранного DNS резолвера и не были подделаны. Реализации доступны для большинства операционных систем, включая Linux, OSX, Android, IOS, BSD и Windows. DNSCrypt не связан (аффелирован) с какой-либо компанией или организацией, является документированным протоколом с использованием высокой степени защиты, не-NIST криптография, и его ссылки реализаций с открытым исходным кодом и выпущен под очень либеральной лицензией. Обратите внимание, что DNSCrypt не является заменой VPN, так как он только проверяет подлинность DNS-трафика, и не мешает «утечки DNS» или регистрации вашей деятельности от сторонних DNS резолверов. Протокол TLS, используемый в HTTPS и HTTP2, а также утечек веб-сайтов имена узлов в виде обычного текста, что делает DNSCrypt бесполезным, как способ чтобы скрыть эту информацию.
Инструменты для настройки DnsCrypt: 1. Simple DNSCrypt 2. DNSCrypt WinClient (оригинальный интерфейс для Win) 3. DNSCrypt Windows Service Manager (полнофункциональный пользовательский интерфейс для Win).
В чем разница между DNSCrypt, DNSSEC, DNS over TLS/HTTPS
Откуда вы эти списки все берете и причем здесь https://www.dnsleaktest.com Есть же dnscrypt-resolvers.csv v2.берет сам при запуске dnscrypt-resolvers.csv, при этом в папке появляется еще файл dnscrypt-resolvers.csv.minisig В файле настройки dnscrypt-proxy.toml пользователь прописывает резолвер самостоятельно.
Причем здесь OpenDNS? Они официально прикрыли сопровождение и убрали страницу сабжа и проверку Welcome. Поэтому при отказе jedisct1 быть мэйнтейнером, все рухнуло.
Всего записей: 4671 | Зарегистр. 19-05-2004 | Отправлено:21:09 18-01-2018
Откуда вы эти списки все берете и причем здесь https://www.dnsleaktest.com
Если Вы про OpenDNS, то из файла dnscrypt-resolvers.csv. Если про те, которые на скриншоте, то это через dnsleaktest. Он при том, что после запуска dnscrypt-proxy проверяю, через что идет мои DNS-запросы. Так вот, при использовании 1.9.5 — «утечка» была только через выбранный мною резольвер. При использовании беты 2.х — через те резольверы, которые на скриншоте. Цитата из сравнения dnscrypt-proxy 1 и 2:
Цитата:
Support for multiple servers Nonexistent Yes, with automatic failover and load-balancing
Цитата:
Automatically picks the fastest servers Lol, it supports only one at a time, anyway Yes, out of the box
Я могу ошибаться, но пока мне кажется, что 2.х работает сразу через несколько серверов. Сайты «утечек» DNS это подтверждают. Причем серверы выбираются в автоматическом режиме и без привязки к файлу dnscrypt-resolvers.csv.
Цитата:
Причем здесь OpenDNS? Они официально прикрыли сопровождение и убрали страницу сабжа и проверку Welcome. Поэтому при отказе jedisct1 быть мэйнтейнером, все рухнуло.
Вот этого не знал. Проверяю.
Добавлено: По поводу OpenDNS. Не подтверждаю, работает. https://imgur.com/TdzQZpc Но почему-то блокирует некоторые российские сайты. Проверял не только на DNSCrypt, но и на их обычных DNS 208.67.222.222 · 208.67.220.220
Вы уверены, что правильно понимаете как работает dnscrypt? Мне кажется вам надо внимательно прочитать Вики например (в шапке). При правильной настройке и работе никаких утечек не должно быть, т.к. все запросы между клиентом и резолвером шифруются. Если ресурс показывает утечку, то зачем использовать такой резолвер? Это сразу надо в колокола бить и предупреждать владельца резолвера.
Еще раз, протокол разработали Frank Denis и Yecheng Fu, а OpenDNS и еще несколько днс-резолверов поддержали проект, а первые объявили о первом публичном DNS-сервисе, поддерживающем DNSCrypt в декабре 2011. Можете посмотреть список сервера, например, OpenNIC, так у них не все поддерживают протокол dnscrypt. Собственно версии 0.х размещались на сайте OpenDNS, как и страница проверки, в последующем, все переехало на https://dnscrypt.org/ и гит.
Не очень понимаю, что там работает у OpenDNS. Сервера доменных имен что ли? Ну да работают. Те адреса которые вы привели, это сродни гугловским 8.8.8.8 и 8.8.4.4. Если что то блокируется, то это вопросы к хозяивам сервром, которые устанавливают политики безопасности. У Нортона есть защищенные ДНС под определенные задачи. Ну и т.д. Смысл в том, что ДНС серверов много, но чтобы работал сабж, нужно чтобы они поддерживали протокол dnscrypt, но это не так, вот поэтому как раз и появился список, который находится в файле dnscrypt-resolvers.csv
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mleo Ок, могу ошибаться, поправьте меня. Сайты типа https://www.dnsleaktest.com (будем использовать как обобщенное понятие) проверяют «утечку» DNS, то есть показывают, через какие резольверы проходят DNS-запросы (без конкретизации, что это за запросы). А уж «левые» это резольверы или нет — решать пользователю. Далее. В версии 1.9.5 в настройках выбираю random или конкретный сервер. Затем захожу на dnsleaktest.com и проверяю, через что идут мои DNS-запросы. При выборе конкретного сервера сайт мне показывает его данные, при выборе случайного — ВСЕГДА сервер из списка dnscrypt-resolvers.csv. Из чего я делаю выводы, что dnscrypt настроен правильно и все мои DNS-запросы идут через выбранный сервер. Без всякой проверки шифруются они или нет (это оставляю вне рассуждений). В версии бета 2.х файл dnscrypt-proxy.toml не изменял, все оставил как есть. Установил службу, запустил службу. Затем захожу на dnsleaktest.com и вижу картинку, которую ранее выложил. Вывод у меня напрашивается только один: DNS-запросы идут через эти серверы. Я не прав? Где ошибка в рассуждениях? Попробуйте сами с сайтами и версиями 1.9.5 и 2.х.
Цитата:
Если что то блокируется, то это вопросы к хозяивам сервром, которые устанавливают политики безопасности.
Все верно. После того, как проверил их публичные серверы, подтвердилось. Это не DNSCrypt, а OpenDNS. Но поскольку он в списке публичных резольверов, то и написал. Но он до сих пор поддерживает dnscrypt-proxy.
Всего записей: 514 | Зарегистр. 07-12-2015 | Отправлено:23:14 18-01-2018
Вопрос доверия к сабжу и резолверов в принципе вне обсуждения. Оставим так же значение random в конфиге пока без комментариев. Протокол что в 1 что во 2 версиях одинаковый. Клиент в версии 2 написан на GO. Какие там изменения можно увидеть в таблице сравнения.
Зашел на https://www.dnsleaktest.com, при установленной версии 2 по дефолту (конфиг не менял для чистоты эксперимента)
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mleo Какие команды вводили для работы 2.х? Если до этого была установлена 1.9.5, удаляли службу?
-service string Control the system service: [«start» «stop» «restart» «install» «uninstall]
1. Остановил службу 1.9.5 2. Заменил файл dnscrypt-proxy.exe на версию 2 3. Запустил комстроку от админа 4. Запустил dnscrypt-proxy.exe
CRITICAL] Unable use source [proxy v1 list from github]: [Get https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v1/dns crypt-resolvers.csv: dial tcp: lookup raw.githubusercontent.com: no such host] [NOTICE] Now listening to 127.0.0.1:53 [UDP] [NOTICE] Now listening to 127.0.0.1:53 [TCP] [NOTICE] Now listening to [::1]:53 [UDP] [NOTICE] Now listening to [::1]:53 [TCP] [NOTICE] [2.dnscrypt-cert.fr.dnscrypt.org.] OK (crypto v1) — rtt: 65ms [NOTICE] [2.dnscrypt-cert.fr.dnscrypt.org.] OK (crypto v2) — rtt: 65ms [NOTICE] dnscrypt-proxy 2.0.0beta2 is ready — live servers : 1 [NOTICE] Stopped.
Всего записей: 4671 | Зарегистр. 19-05-2004 | Отправлено:00:02 19-01-2018
syrenium
Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mleo Попробуйте, как описано на https://github.com/jedisct1/dnscrypt-proxy/. Удалите службу 1.9.5. В папке файлы только с версией 2.х.
Код:
dnscrypt-proxy -service install
Код:
dnscrypt-proxy -service start
А затем проверьте на сайте.
Всего записей: 514 | Зарегистр. 07-12-2015 | Отправлено:00:07 19-01-2018
Удалял, ставил, запускал как сервис, запускал просто процесс, делал тест как standart так и extended. Считаю что эти манипуляции излишне, т.к. клиенты не совместимы и их можно спокойно размещать в одной папке, но я их раскидал по разным. Результат прежний.
Если провайдер не поддерживает, вырезайте [не дожидаясь перитонита]. Ибо это неизведанная до конца дыра.
Всего записей: 4671 | Зарегистр. 19-05-2004 | Отправлено:00:53 19-01-2018
mleo
Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Установил dnscrypt-proxy 2.0.0beta3 и начался кавардак (( Перестал работать dnscrypt-winclient.exe (как в альфах)
Последняя нормально работающая 2-я бета.
Всего записей: 4671 | Зарегистр. 19-05-2004 | Отправлено:03:24 19-01-2018
mleo
Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Внес в шапку информацию о клиенте версии 2. Пока без надлежащего оформления, ибо ссылки могут меняться, как и сам проект.
Всего записей: 4671 | Зарегистр. 19-05-2004 | Отправлено:11:50 19-01-2018
syrenium
Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Бета и есть бета. Пока удалил v2. Выйдет релиз, потестируем. Пока останусь на 1.9.5. Коллеги, а кто какие серверы использует (кроме random)?
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Комментарий с https://www.comss.ru/disqus/page.php?id=1018
Цитата:
Хм. Спецификация протокола DNSCrypt версии 2. подразумевает удаление и очистку системы от версии 1(на данный момент 1.9.5). Неплохо бы об этом предупредить. То есть установка DNSCrypt2 начисто.
Всего записей: 514 | Зарегистр. 07-12-2015 | Отправлено:19:07 19-01-2018
О какой очистки идет речь, если в систему сабж не устанавливается как таковой? Сами клиенты написаны на разных языках и несовместимы.
Всего записей: 4671 | Зарегистр. 19-05-2004 | Отправлено:19:16 19-01-2018
syrenium
Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mleo Это не мой комментарий. Я его привел просто для информации. В версии 1.9.5 какое назначение команды?
Код:
—reinstall-with-config-file=.
Пробовал таким образом поменять сервер, ответ
Цитата:
01/19/18 22:32:10 [ERROR] Unable to install the service 01/19/18 22:32:10 [ERROR] Make sure that you are using an elevated command prompt and that the service hasn’t been already installed
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору syrenium Будьте внимательней, и спешите медленно. mleo пытается донести до вас, что Цитата:
Сами клиенты написаны на разных языках и несовместимы.
Т.е. это молодая, совершенно новая разработка, с чистого листа, совсем на другом языке программирования «GO». У неё свои собственные, новые команды запуска, установки и активации сервисов, новый синтаксис параметров конфигурирования.
Откройте новый файл конфигурации «dnscrypt-proxy.toml» и вы в этом убедитесь.
Команды управления, которые доступны на данный момент (beta 3):
Usage of C:\Program Files\DNSCrypt\dnscrypt-proxy.exe :
— config — path to the configuration file (default: «dnscrypt-proxy.toml»)
— loglevel — Log level (0-6) (default 2) Чем меньше значение, тем подробнее логи (например, 1). К самой работе уже установленной службы эти логи отношения не имеют, только к управлению запуском dnscrypt-proxy.
— service — Control the system service: [«start» «stop» «restart» «install» «uninstall»]
Управление системной службой dnscrypt-proxy
dnscrypt-proxy -service install — регистрация в качестве системной службы dnscrypt-proxy -service start — запуск службы
dnscrypt-proxy -service stop — остановка службы dnscrypt-proxy -service restart — перезапуск службы
dnscrypt-proxy -service uninstall — удаление службы из системы
• Стандартные команды, которые могут пригодиться при отладке:
