dnscrypt-proxy (подозрение, что не шифрует dns трафик)

Для новичков как вообще в Linux, так и в конкретной теме, к которой относится вопрос.

Модератор: Bizdelnick

igor@igor
Сообщения: 1381
ОС: Debian GNU/Linux, wheezy-amd64

dnscrypt-proxy

Сообщение igor@igor »

Всем привет!
Установил в дистрибутиве: Devuan 4.0.
sudo apt-get install dnscrypt-proxy
...
Делал по этой иструкции:
https://qna.habr.com/q/1080394

Единственное, только wireshark не установил для "прослушки" трафика и сервер cloudflare только использую.

Вопрос: почему на сайте 2ip.ru dns невозможно определить, а на whoer.net - обнаружена
утечка dns ?
https://www.dnsleaktest.com тоже выявлена утечка (cloudflare я использую)
...
Каким сайтам доверять?
Скажите, пожалуйста.
Последний раз редактировалось igor@igor 28.05.2023 08:38, всего редактировалось 1 раз.
Спасибо сказали:
Аватара пользователя
UnixNoob
Сообщения: 1447
ОС: Slackware

Re: dnscrypt-proxy

Сообщение UnixNoob »

igor@igor
Расписать что вы в итоге конкретно сделали. Там не инструкция, а вопрос с ответами, мало-ли вы не дочитали чего.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
igor@igor
Сообщения: 1381
ОС: Debian GNU/Linux, wheezy-amd64

Re: dnscrypt-proxy

Сообщение igor@igor »

UnixNoob писал:
24.05.2023 23:12
Расписать что вы в итоге конкретно сделали. Там не инструкция, а вопрос с ответами, мало-ли вы не дочитали чего.
Получается, что я не зашифровал? И как быть?
Скажите, пожалуйста.
Спасибо сказали:
Аватара пользователя
UnixNoob
Сообщения: 1447
ОС: Slackware

Re: dnscrypt-proxy

Сообщение UnixNoob »

igor@igor, я не знаю что вы зашифровали или нет, т.к вы не расписали шаги, которые вы перед этим сделали.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
igor@igor
Сообщения: 1381
ОС: Debian GNU/Linux, wheezy-amd64

Re: dnscrypt-proxy

Сообщение igor@igor »

Я сделал следующее:
1. sudo apt-get install dnscrypt-proxy
2. sudo apt-get install libsodium-dev [библиотека для шифрования dns]
3. Привёл /etc/dnscrypt-proxy/dnscrypt-proxy.toml к такому виду:

Код: Выделить всё

# Empty listen_addresses to use systemd socket activation

#listen_addresses = []

#listen_addresses = ['127.0.0.1:53', '[::1]:53'])

listen_addresses = ['127.0.0.1:53']

server_names = ['cloudflare']

#, 'adguard-dns-doh', 'alername']

#server_names = ['opendns']

[query_log]
  file = '/var/log/dnscrypt-proxy/query.log'

[nx_log]
  file = '/var/log/dnscrypt-proxy/nx.log'

[sources]
  [sources.'public-resolvers']
  url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
  cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

#[resolve]
#server_names = ['cloudflare']

Код: Выделить всё

#nameserver 192.168.42.129

#nameserver 208.67.222.222
#nameserver 208.67.220.220
#nameserver 208.67.123.123

nameserver 127.0.0.1

#nameserver 127.0.0.1
#nameserver 127.0.0.1

4. sudo chattr +u /etc/resolv.conf
sudo chattr +s /etc/resolv.conf
sudo chattr +i /etc/resolv.conf

5. Добавил dns-nameservers 127.0.0.1
в /etc/network/interfaces [если нужно, то файл настройки сети предоставлю]

6. На 2ip.ru утечки dns нет, а на whoer.net есть.

В итоге, непонятно зашифрован или нет dns трафик?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20934
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: dnscrypt-proxy

Сообщение Bizdelnick »

DNSCrypt только шифрует трафик от Вас до ресолвера. Он не должен и не может скрывать ресолвер от полномочного сервера.
igor@igor писал:
24.05.2023 23:01
на whoer.net - обнаружена
утечка dns
А Вы точно прочитали, что подразумевается под утечкой, и в каком случае есть смысл о ней говорить? DNSCrypt — не средство защиты от утечки.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
igor@igor
Сообщения: 1381
ОС: Debian GNU/Linux, wheezy-amd64

Re: dnscrypt-proxy

Сообщение igor@igor »

Bizdelnick писал:
25.05.2023 08:52
DNSCrypt только шифрует трафик от Вас до ресолвера. Он не должен и не может скрывать ресолвер от полномочного сервера.
А, прояснили. Спасибо!
Добавлено (23:50):
Bizdelnick писал:
25.05.2023 08:52
А Вы точно прочитали, что подразумевается под утечкой, и в каком случае есть смысл о ней говорить? DNSCrypt — не средство защиты от утечки.
Ну да, прочитал. На том же whoer.net
Только там речь идёт про dns сервера от провайдера. А я использую публичные сервера от cloudflare
Всё равно, я паникую((((
КСЖ..!
...
Добавлено (00:01):
И как быть?
Скажите, пожалуйста.
Спасибо сказали:
Kopilov
Сообщения: 953
ОС: [K]Ubuntu, Debian

Re: dnscrypt-proxy

Сообщение Kopilov »

igor@igor писал:
25.05.2023 23:40
Всё равно, я паникую((((
КСЖ..!
...
Добавлено (00:01):
И как быть?
Не по теме, но можно пролечить панику у психиатра (квалифицированного)
Спасибо сказали:
igor@igor
Сообщения: 1381
ОС: Debian GNU/Linux, wheezy-amd64

Re: dnscrypt-proxy

Сообщение igor@igor »

Kopilov писал:
26.05.2023 11:43
Не по теме, но можно пролечить панику у психиатра (квалифицированного)
Очень смешно!
Я по делу спросил.
И выразился похоже не правильно((((((((((((((
В итоге, как устранить "утечку" dns?
Скажите, пожалуйста.
Спасибо сказали:
Аватара пользователя
UnixNoob
Сообщения: 1447
ОС: Slackware

Re: dnscrypt-proxy

Сообщение UnixNoob »

igor@igor писал:
26.05.2023 12:20
В итоге, как устранить "утечку" dns?
Скажите, пожалуйста.
Ну в роутере может dns поменять/в системе. Я не знаю у кого приоритет выше и как они, если указаны разные, взаимодействуют.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
igor@igor
Сообщения: 1381
ОС: Debian GNU/Linux, wheezy-amd64

Re: dnscrypt-proxy

Сообщение igor@igor »

UnixNoob писал:
26.05.2023 13:42
Ну в роутере может dns поменять/в системе. Я не знаю у кого приоритет выше и как они, если указаны разные, взаимодействуют.
Я с планшета в инет выхожу. (в данный момент)
У меня вот такая структура сети:
1. планшет в ВМ пробрасываю;
2. сеть + VPN "поднимаются" (всё автоматизировано, конечно (ручные / статические настройки сети прописал в файл /etc/network/interfaces))
VPN с помощью скрипта при загрузке ОС "зажигается"
3. dnscrypt-proxy - служба при загрузке ОС стартует (cloudflare dns - публичные сервера использую)
[Сейчас в "движухе" похоже - cloudflare dns (1.1.1.1)] ...
4. dhcp "вырубил" к чёрту (только ручные настройки сети оставил;
5. привёл /etc/dnscrypt-proxy/dnscrypt-proxy.toml к такому виду:

Код: Выделить всё

# Empty listen_addresses to use systemd socket activation

#listen_addresses = []

#listen_addresses = ['127.0.0.1:53', '[::1]:53'])

listen_addresses = ['127.0.0.1:53']

server_names = ['cloudflare']

#, 'adguard-dns-doh', 'alername']

#server_names = ['opendns']

[query_log]
  file = '/var/log/dnscrypt-proxy/query.log'

[nx_log]
  file = '/var/log/dnscrypt-proxy/nx.log'

[sources]
  [sources.'public-resolvers']
  url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
  cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

#[resolve]
#server_names = ['cloudflare']

6. /etc/resolv.conf к такому:

Код: Выделить всё

#nameserver 192.168.42.129

#nameserver 208.67.222.222
#nameserver 208.67.220.220
#nameserver 208.67.123.123

nameserver 127.0.0.1

#nameserver 127.0.0.1
#nameserver 127.0.0.1

7.
sudo chattr +u /etc/resolv.conf
sudo chattr +s /etc/resolv.conf
sudo chattr +i /etc/resolv.conf

8. Добавил dns-nameservers 127.0.0.1 в /etc/network/interfaces


В Devuan 4.0 dnscrypt-proxy c libsodium в "репах" есть.
В Debian 7.11 всё это "добро" из "исходников" собирать нужно.
ИЧСХ в 7.11 - тоже утечка dns на whoer.net определяется((((
...

Естесственно, никаких NetworkManaer'ов у меня нет! (Никакой попсятины..! Только хардкор / метал! :) В смысле, всё "ручками" настраиваю ..!)

Может быть, я "из мухи слона делаю!"?
В смысле, я зря переживаю по поводу dns?
"Шифровка" dns трафика ведь есть...
...
Добавлено (15:35):
UnixNoob писал:
26.05.2023 13:42
Я не знаю у кого приоритет выше и как они, если указаны разные, взаимодействуют.
У "железного" роутера приоритет выше вроде.
Разностный dns - вы используете - тот же whoer при тестах показывает(((
Например, если в роутер "вбить" днс от opendns , а в ОС использовать днс от "батюшки" Гугла! :)
Добавлено (15:41):
В итоге, мне стоит переживать по поводу dns..?
Скажите, пожалуйста.
Последний раз редактировалось igor@igor 28.05.2023 09:12, всего редактировалось 1 раз.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20934
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: dnscrypt-proxy

Сообщение Bizdelnick »

igor@igor, с чего Вы взяли, что происходит утечка? Никакой сервис этого определить не может, если Вы пользуетесь публичным ресолвером. Он видит только сам ресолвер, но не знает, как к нему пришёл запрос — через VPN или нет. Если у Вас весь трафик идёт через VPN, очевидно, что и DNS-запросы тоже.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
igor@igor
Сообщения: 1381
ОС: Debian GNU/Linux, wheezy-amd64

Re: dnscrypt-proxy

Сообщение igor@igor »

Bizdelnick писал:
26.05.2023 15:45
igor@igor, с чего Вы взяли, что происходит утечка? Никакой сервис этого определить не может, если Вы пользуетесь публичным ресолвером. Он видит только сам ресолвер, но не знает, как к нему пришёл запрос — через VPN или нет. Если у Вас весь трафик идёт через VPN, очевидно, что и DNS-запросы тоже.
Спасибо! Успокоили! Прояснили! :) - Правда.
Вообще, я публичные сервера от opendns "любил" в Debian 7.11 использовать...
А в Devuan 4.0 - "основная движуха искаропки :)" cloudflare dns ... ((((

Вообще, я личный ip арендую от VPN конторы Hidemy ...
А вот whoer меня в заблуждение и ввёл - ("у вас обнаружена утечка днс и чтобы её устранить приобретите / используете наш впн")
...
=> Бизнес есть бизнес! :)
Спасибо сказали: