dnscrypt-proxy (подозрение, что не шифрует dns трафик)
Модератор: Bizdelnick
-
- Сообщения: 1381
- ОС: Debian GNU/Linux, wheezy-amd64
dnscrypt-proxy
Всем привет!
Установил в дистрибутиве: Devuan 4.0.
sudo apt-get install dnscrypt-proxy
...
Делал по этой иструкции:
https://qna.habr.com/q/1080394
Единственное, только wireshark не установил для "прослушки" трафика и сервер cloudflare только использую.
Вопрос: почему на сайте 2ip.ru dns невозможно определить, а на whoer.net - обнаружена
утечка dns ?
https://www.dnsleaktest.com тоже выявлена утечка (cloudflare я использую)
...
Каким сайтам доверять?
Скажите, пожалуйста.
Установил в дистрибутиве: Devuan 4.0.
sudo apt-get install dnscrypt-proxy
...
Делал по этой иструкции:
https://qna.habr.com/q/1080394
Единственное, только wireshark не установил для "прослушки" трафика и сервер cloudflare только использую.
Вопрос: почему на сайте 2ip.ru dns невозможно определить, а на whoer.net - обнаружена
утечка dns ?
https://www.dnsleaktest.com тоже выявлена утечка (cloudflare я использую)
...
Каким сайтам доверять?
Скажите, пожалуйста.
Последний раз редактировалось igor@igor 28.05.2023 08:38, всего редактировалось 1 раз.
-
- Сообщения: 1447
- ОС: Slackware
Re: dnscrypt-proxy
igor@igor
Расписать что вы в итоге конкретно сделали. Там не инструкция, а вопрос с ответами, мало-ли вы не дочитали чего.
Расписать что вы в итоге конкретно сделали. Там не инструкция, а вопрос с ответами, мало-ли вы не дочитали чего.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
-
- Сообщения: 1381
- ОС: Debian GNU/Linux, wheezy-amd64
-
- Сообщения: 1447
- ОС: Slackware
Re: dnscrypt-proxy
igor@igor, я не знаю что вы зашифровали или нет, т.к вы не расписали шаги, которые вы перед этим сделали.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
-
- Сообщения: 1381
- ОС: Debian GNU/Linux, wheezy-amd64
Re: dnscrypt-proxy
Я сделал следующее:
1. sudo apt-get install dnscrypt-proxy
2. sudo apt-get install libsodium-dev [библиотека для шифрования dns]
3. Привёл /etc/dnscrypt-proxy/dnscrypt-proxy.toml к такому виду:
4. sudo chattr +u /etc/resolv.conf
sudo chattr +s /etc/resolv.conf
sudo chattr +i /etc/resolv.conf
5. Добавил dns-nameservers 127.0.0.1
в /etc/network/interfaces [если нужно, то файл настройки сети предоставлю]
6. На 2ip.ru утечки dns нет, а на whoer.net есть.
В итоге, непонятно зашифрован или нет dns трафик?
1. sudo apt-get install dnscrypt-proxy
2. sudo apt-get install libsodium-dev [библиотека для шифрования dns]
3. Привёл /etc/dnscrypt-proxy/dnscrypt-proxy.toml к такому виду:
Код: Выделить всё
# Empty listen_addresses to use systemd socket activation
#listen_addresses = []
#listen_addresses = ['127.0.0.1:53', '[::1]:53'])
listen_addresses = ['127.0.0.1:53']
server_names = ['cloudflare']
#, 'adguard-dns-doh', 'alername']
#server_names = ['opendns']
[query_log]
file = '/var/log/dnscrypt-proxy/query.log'
[nx_log]
file = '/var/log/dnscrypt-proxy/nx.log'
[sources]
[sources.'public-resolvers']
url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
refresh_delay = 72
prefix = ''
#[resolve]
#server_names = ['cloudflare']
Код: Выделить всё
#nameserver 192.168.42.129
#nameserver 208.67.222.222
#nameserver 208.67.220.220
#nameserver 208.67.123.123
nameserver 127.0.0.1
#nameserver 127.0.0.1
#nameserver 127.0.0.1
sudo chattr +s /etc/resolv.conf
sudo chattr +i /etc/resolv.conf
5. Добавил dns-nameservers 127.0.0.1
в /etc/network/interfaces [если нужно, то файл настройки сети предоставлю]
6. На 2ip.ru утечки dns нет, а на whoer.net есть.
В итоге, непонятно зашифрован или нет dns трафик?
-
- Модератор
- Сообщения: 20934
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: dnscrypt-proxy
DNSCrypt только шифрует трафик от Вас до ресолвера. Он не должен и не может скрывать ресолвер от полномочного сервера.
А Вы точно прочитали, что подразумевается под утечкой, и в каком случае есть смысл о ней говорить? DNSCrypt — не средство защиты от утечки.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 1381
- ОС: Debian GNU/Linux, wheezy-amd64
Re: dnscrypt-proxy
А, прояснили. Спасибо!Bizdelnick писал: ↑25.05.2023 08:52DNSCrypt только шифрует трафик от Вас до ресолвера. Он не должен и не может скрывать ресолвер от полномочного сервера.
Добавлено (23:50):
Ну да, прочитал. На том же whoer.netBizdelnick писал: ↑25.05.2023 08:52А Вы точно прочитали, что подразумевается под утечкой, и в каком случае есть смысл о ней говорить? DNSCrypt — не средство защиты от утечки.
Только там речь идёт про dns сервера от провайдера. А я использую публичные сервера от cloudflare
Всё равно, я паникую((((
КСЖ..!
...
Добавлено (00:01):
И как быть?Скажите, пожалуйста.
-
- Сообщения: 953
- ОС: [K]Ubuntu, Debian
-
- Сообщения: 1381
- ОС: Debian GNU/Linux, wheezy-amd64
-
- Сообщения: 1447
- ОС: Slackware
Re: dnscrypt-proxy
Ну в роутере может dns поменять/в системе. Я не знаю у кого приоритет выше и как они, если указаны разные, взаимодействуют.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
-
- Сообщения: 1381
- ОС: Debian GNU/Linux, wheezy-amd64
Re: dnscrypt-proxy
Я с планшета в инет выхожу. (в данный момент)
У меня вот такая структура сети:
1. планшет в ВМ пробрасываю;
2. сеть + VPN "поднимаются" (всё автоматизировано, конечно (ручные / статические настройки сети прописал в файл /etc/network/interfaces))
VPN с помощью скрипта при загрузке ОС "зажигается"
3. dnscrypt-proxy - служба при загрузке ОС стартует (cloudflare dns - публичные сервера использую)
[Сейчас в "движухе" похоже - cloudflare dns (1.1.1.1)] ...
4. dhcp "вырубил" к чёрту (только ручные настройки сети оставил;
5. привёл /etc/dnscrypt-proxy/dnscrypt-proxy.toml к такому виду:
Код: Выделить всё
# Empty listen_addresses to use systemd socket activation
#listen_addresses = []
#listen_addresses = ['127.0.0.1:53', '[::1]:53'])
listen_addresses = ['127.0.0.1:53']
server_names = ['cloudflare']
#, 'adguard-dns-doh', 'alername']
#server_names = ['opendns']
[query_log]
file = '/var/log/dnscrypt-proxy/query.log'
[nx_log]
file = '/var/log/dnscrypt-proxy/nx.log'
[sources]
[sources.'public-resolvers']
url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
refresh_delay = 72
prefix = ''
#[resolve]
#server_names = ['cloudflare']
Код: Выделить всё
#nameserver 192.168.42.129
#nameserver 208.67.222.222
#nameserver 208.67.220.220
#nameserver 208.67.123.123
nameserver 127.0.0.1
#nameserver 127.0.0.1
#nameserver 127.0.0.1
sudo chattr +u /etc/resolv.conf
sudo chattr +s /etc/resolv.conf
sudo chattr +i /etc/resolv.conf
8. Добавил dns-nameservers 127.0.0.1 в /etc/network/interfaces
В Devuan 4.0 dnscrypt-proxy c libsodium в "репах" есть.
В Debian 7.11 всё это "добро" из "исходников" собирать нужно.
ИЧСХ в 7.11 - тоже утечка dns на whoer.net определяется((((
...
Естесственно, никаких NetworkManaer'ов у меня нет! (Никакой попсятины..! Только хардкор / метал! В смысле, всё "ручками" настраиваю ..!)
Может быть, я "из мухи слона делаю!"?
В смысле, я зря переживаю по поводу dns?
"Шифровка" dns трафика ведь есть...
...
Добавлено (15:35):
У "железного" роутера приоритет выше вроде.
Разностный dns - вы используете - тот же whoer при тестах показывает(((
Например, если в роутер "вбить" днс от opendns , а в ОС использовать днс от "батюшки" Гугла!
Добавлено (15:41):
В итоге, мне стоит переживать по поводу dns..?Скажите, пожалуйста.
Последний раз редактировалось igor@igor 28.05.2023 09:12, всего редактировалось 1 раз.
-
- Модератор
- Сообщения: 20934
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: dnscrypt-proxy
igor@igor, с чего Вы взяли, что происходит утечка? Никакой сервис этого определить не может, если Вы пользуетесь публичным ресолвером. Он видит только сам ресолвер, но не знает, как к нему пришёл запрос — через VPN или нет. Если у Вас весь трафик идёт через VPN, очевидно, что и DNS-запросы тоже.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
-
- Сообщения: 1381
- ОС: Debian GNU/Linux, wheezy-amd64
Re: dnscrypt-proxy
Спасибо! Успокоили! Прояснили! - Правда.Bizdelnick писал: ↑26.05.2023 15:45igor@igor, с чего Вы взяли, что происходит утечка? Никакой сервис этого определить не может, если Вы пользуетесь публичным ресолвером. Он видит только сам ресолвер, но не знает, как к нему пришёл запрос — через VPN или нет. Если у Вас весь трафик идёт через VPN, очевидно, что и DNS-запросы тоже.
Вообще, я публичные сервера от opendns "любил" в Debian 7.11 использовать...
А в Devuan 4.0 - "основная движуха искаропки " cloudflare dns ... ((((
Вообще, я личный ip арендую от VPN конторы Hidemy ...
А вот whoer меня в заблуждение и ввёл - ("у вас обнаружена утечка днс и чтобы её устранить приобретите / используете наш впн")
...
=> Бизнес есть бизнес!