dnscrypt-proxy (подозрение, что не шифрует dns трафик)

[igor@igor]

Всем привет!
Установил в дистрибутиве: Devuan 4.0.
sudo apt-get install dnscrypt-proxy
...
Делал по этой иструкции:
https://qna.habr.com/q/1080394

Единственное, только wireshark не установил для "прослушки" трафика и сервер cloudflare только использую.

Вопрос: почему на сайте 2ip.ru dns невозможно определить, а на whoer.net - обнаружена
утечка dns ?
https://www.dnsleaktest.com тоже выявлена утечка (cloudflare я использую)
...
Каким сайтам доверять?
Скажите, пожалуйста.

[UnixNoob]

igor@igor
Расписать что вы в итоге конкретно сделали. Там не инструкция, а вопрос с ответами, мало-ли вы не дочитали чего.

[igor@igor]

Расписать что вы в итоге конкретно сделали. Там не инструкция, а вопрос с ответами, мало-ли вы не дочитали чего.

Получается, что я не зашифровал? И как быть?
Скажите, пожалуйста.

[UnixNoob]

igor@igor, я не знаю что вы зашифровали или нет, т.к вы не расписали шаги, которые вы перед этим сделали.

[igor@igor]

Я сделал следующее:
1. sudo apt-get install dnscrypt-proxy
2. sudo apt-get install libsodium-dev [библиотека для шифрования dns]
3. Привёл /etc/dnscrypt-proxy/dnscrypt-proxy.toml к такому виду:

Код: Выделить всё

# Empty listen_addresses to use systemd socket activation

#listen_addresses = []

#listen_addresses = ['127.0.0.1:53', '[::1]:53'])

listen_addresses = ['127.0.0.1:53']

server_names = ['cloudflare']

#, 'adguard-dns-doh', 'alername']

#server_names = ['opendns']

[query_log]
  file = '/var/log/dnscrypt-proxy/query.log'

[nx_log]
  file = '/var/log/dnscrypt-proxy/nx.log'

[sources]
  [sources.'public-resolvers']
  url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
  cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

#[resolve]
#server_names = ['cloudflare']

Код: Выделить всё

#nameserver 192.168.42.129

#nameserver 208.67.222.222
#nameserver 208.67.220.220
#nameserver 208.67.123.123

nameserver 127.0.0.1

#nameserver 127.0.0.1
#nameserver 127.0.0.1

4. sudo chattr +u /etc/resolv.conf
sudo chattr +s /etc/resolv.conf
sudo chattr +i /etc/resolv.conf

5. Добавил dns-nameservers 127.0.0.1
в /etc/network/interfaces [если нужно, то файл настройки сети предоставлю]

6. На 2ip.ru утечки dns нет, а на whoer.net есть.

В итоге, непонятно зашифрован или нет dns трафик?

[Bizdelnick]

DNSCrypt только шифрует трафик от Вас до ресолвера. Он не должен и не может скрывать ресолвер от полномочного сервера.

на whoer.net - обнаружена
утечка dns

А Вы точно прочитали, что подразумевается под утечкой, и в каком случае есть смысл о ней говорить? DNSCrypt — не средство защиты от утечки.

[igor@igor]

DNSCrypt только шифрует трафик от Вас до ресолвера. Он не должен и не может скрывать ресолвер от полномочного сервера.

А, прояснили. Спасибо!

Добавлено (23:50):

А Вы точно прочитали, что подразумевается под утечкой, и в каком случае есть смысл о ней говорить? DNSCrypt — не средство защиты от утечки.

Ну да, прочитал. На том же whoer.net
Только там речь идёт про dns сервера от провайдера. А я использую публичные сервера от cloudflare
Всё равно, я паникую((((
КСЖ..!
...

Добавлено (00:01):

И как быть?
Скажите, пожалуйста.

[Kopilov]

Всё равно, я паникую((((
КСЖ..!
...
Добавлено (00:01):
И как быть?

Не по теме, но можно пролечить панику у психиатра (квалифицированного)

[igor@igor]

Не по теме, но можно пролечить панику у психиатра (квалифицированного)

Очень смешно!
Я по делу спросил.
И выразился похоже не правильно((((((((((((((
В итоге, как устранить "утечку" dns?
Скажите, пожалуйста.

[UnixNoob]

В итоге, как устранить "утечку" dns?
Скажите, пожалуйста.

Ну в роутере может dns поменять/в системе. Я не знаю у кого приоритет выше и как они, если указаны разные, взаимодействуют.

[igor@igor]

Ну в роутере может dns поменять/в системе. Я не знаю у кого приоритет выше и как они, если указаны разные, взаимодействуют.

Я с планшета в инет выхожу. (в данный момент)
У меня вот такая структура сети:
1. планшет в ВМ пробрасываю;
2. сеть + VPN "поднимаются" (всё автоматизировано, конечно (ручные / статические настройки сети прописал в файл /etc/network/interfaces))
VPN с помощью скрипта при загрузке ОС "зажигается"
3. dnscrypt-proxy - служба при загрузке ОС стартует (cloudflare dns - публичные сервера использую)
[Сейчас в "движухе" похоже - cloudflare dns (1.1.1.1)] ...
4. dhcp "вырубил" к чёрту (только ручные настройки сети оставил;
5. привёл /etc/dnscrypt-proxy/dnscrypt-proxy.toml к такому виду:

Код: Выделить всё

# Empty listen_addresses to use systemd socket activation

#listen_addresses = []

#listen_addresses = ['127.0.0.1:53', '[::1]:53'])

listen_addresses = ['127.0.0.1:53']

server_names = ['cloudflare']

#, 'adguard-dns-doh', 'alername']

#server_names = ['opendns']

[query_log]
  file = '/var/log/dnscrypt-proxy/query.log'

[nx_log]
  file = '/var/log/dnscrypt-proxy/nx.log'

[sources]
  [sources.'public-resolvers']
  url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
  cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

#[resolve]
#server_names = ['cloudflare']

6. /etc/resolv.conf к такому:

Код: Выделить всё

#nameserver 192.168.42.129

#nameserver 208.67.222.222
#nameserver 208.67.220.220
#nameserver 208.67.123.123

nameserver 127.0.0.1

#nameserver 127.0.0.1
#nameserver 127.0.0.1

7.
sudo chattr +u /etc/resolv.conf
sudo chattr +s /etc/resolv.conf
sudo chattr +i /etc/resolv.conf

8. Добавил dns-nameservers 127.0.0.1 в /etc/network/interfaces


В Devuan 4.0 dnscrypt-proxy c libsodium в "репах" есть.
В Debian 7.11 всё это "добро" из "исходников" собирать нужно.
ИЧСХ в 7.11 - тоже утечка dns на whoer.net определяется((((
...

Естесственно, никаких NetworkManaer'ов у меня нет! (Никакой попсятины..! Только хардкор / метал! В смысле, всё "ручками" настраиваю ..!)

Может быть, я "из мухи слона делаю!"?
В смысле, я зря переживаю по поводу dns?
"Шифровка" dns трафика ведь есть...
...

Добавлено (15:35):

Я не знаю у кого приоритет выше и как они, если указаны разные, взаимодействуют.

У "железного" роутера приоритет выше вроде.
Разностный dns - вы используете - тот же whoer при тестах показывает(((
Например, если в роутер "вбить" днс от opendns , а в ОС использовать днс от "батюшки" Гугла!

Добавлено (15:41):

В итоге, мне стоит переживать по поводу dns..?
Скажите, пожалуйста.

[Bizdelnick]

igor@igor, с чего Вы взяли, что происходит утечка? Никакой сервис этого определить не может, если Вы пользуетесь публичным ресолвером. Он видит только сам ресолвер, но не знает, как к нему пришёл запрос — через VPN или нет. Если у Вас весь трафик идёт через VPN, очевидно, что и DNS-запросы тоже.

[igor@igor]

igor@igor, с чего Вы взяли, что происходит утечка? Никакой сервис этого определить не может, если Вы пользуетесь публичным ресолвером. Он видит только сам ресолвер, но не знает, как к нему пришёл запрос — через VPN или нет. Если у Вас весь трафик идёт через VPN, очевидно, что и DNS-запросы тоже.

Спасибо! Успокоили! Прояснили! - Правда.
Вообще, я публичные сервера от opendns "любил" в Debian 7.11 использовать...
А в Devuan 4.0 - "основная движуха искаропки " cloudflare dns ... ((((

Вообще, я личный ip арендую от VPN конторы Hidemy ...
А вот whoer меня в заблуждение и ввёл - ("у вас обнаружена утечка днс и чтобы её устранить приобретите / используете наш впн")
...
=> Бизнес есть бизнес!