23 Listopada 2024 22:03:31
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
18.118.119.77
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
OpenDNS + DNSSEC + dnscrypt-proxy
qrs
Chciałbym poruszyć w osobnym wątku temat jak w tytule bo jest wart uwagi.

Moja obecna konfiguracja
i.imgur.com/wCMXa0H.jpg
i.imgur.com/vInVuVb.jpg

Dynamic DNS aktywny (OpenDNS)
i.imgur.com/mfDxCfJ.jpg

UPnP oraz NAT-PMP wyłączone
i.imgur.com/SBl2wby.jpg

Podsumowanie połączenia (jestem za NAT-em)
i.imgur.com/VymEOSV.jpg\

Generalnie działa, ale w logach widać mały error

Cytat

Jan 1 01:00:09 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
Jan 1 01:00:10 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
Jan 1 01:00:13 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
Jan 1 01:00:15 | daemon.err apcupsd[850]: apcupsd FATAL ERROR in linux-usb.c at line 609 Cannot find UPS device -- For a link to detailed USB trouble shooting information, please see .
Jan 1 01:00:15 | daemon.err apcupsd[850]: apcupsd error shutdown completed
Jan 1 01:00:19 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
Jan 1 01:00:28 | daemon.err dnscrypt-proxy[1033]: No useable certificates found

mimo to chyba nie ma się czym przejmować Smile

Test ze strony: https://www.grc.com/dns/dns.htm

i.imgur.com/lks2FkX.jpg
i.imgur.com/1Z0Arhj.jpg
i.imgur.com/veYy1Jq.jpg
i.imgur.com/o1xPKWt.jpg

Być może ktoś ma "lepszą" konfigurację więc zachęcam do dzielenia się wiedzą Wink
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
b3rok
Ale po co dynamic dns? (w kontekście Twojego tematu). Już dostałeś odpowiedź, że ta usługa służy do czegoś innego:

Cytat

kille72 napisał(a):

Cytat

qrs napisał(a):
czy przy powyższym powinienem aktywować Dynamic DNS?

i.imgur.com/jwE1szF.jpg



DDNS nie ma nic wspolnego z powyzszym:
https://pl.wikipedia.org/wiki/DDNS

Tzn. przydatne, gdy mamy zmienne IP, a potrzebujemy mieć dostęp do routera czy serwerach/innych urządzeń wewnątrz sieci.

Zastanawia mnie opcja DNSSEC - tzn. czy wystarczy zaznaczyć ptaszek i po sprawie. Na google jest trochę opisów i konfig jest bardziej skomplikowany (między innymi zmiana serwera DNS z deafultowego w Tomato dnsmasq na unbound...
Edytowany przez b3rok dnia 22-06-2015 22:15
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
qrs
od paru dni mam nowego operatora, wcześniej miałem to aktywne więc zastawiłem.
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
b3rok
Fajnie przygotowałeś Twój konnfig ze screenami, tylko przydałby się opisy (dla mniej doświadczonych userów) co do czego służy. BTW zerknij na mój wcześniejszy wpis, bo go wyedytowałem (dopisałem).
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
qrs
nie mogę już edytować więc jakoś to spiszę, ale pewnie nie będzie już tak czytelne
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
kille72
Resolver na najwyzszym obrazku masz miec ustawione na opendns a nie opendns-port53.


https://github.com/jedisct1/dnscrypt-...olvers.csv
Zobacz w tabelce DNSSEC validation dla opendns-port53:
opendns-port53 no

Mnie bardziej zastanawia to co napisalem z kolega @qwerty321:

Cytat

kille72 napisał(a):

Cytat

kille72 napisał(a):

DNS Nameserver Spoofability Test

https://www.grc.com/dns/dns.htm


Ten test mowi ze uzywam 3 serwerow DNS: 1 OpenDNS + 2 od mojego prowidera. DNSSEC+dnscrypt-proxy aktywne...


Mnie też to zastanawia. Kiedyś zauważyłem, że przechwytywanie portu 53 do końca nie działa. Zgłaszałem to dawno temu. Jak ustawisz sobie inne DNS-y w komuterze, ręcznie je wpiszesz, to mimo przechwytywanie portu 53 router to przepuści. To jest błąd w routerze. Trzeba zapytać Shibbiego. Z tym lokalnym DNS jest wszystko fajnie jeżeli komputer korzysta z IP routera jako DNS. To jest bez sensu żeby router puszczał port 53 bokiem.
 
qrs

Cytat

kille72 napisał(a):

Resolver na najwyzszym obrazku masz miec ustawione na opendns a nie opendns-port53.



ok dzięki, zmienię i zobaczę czy cokolwiek się zmieni Wink
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
dnscryptpl
Jeśli używasz dnscrypt z OpenDNS to możesz sprawdzić czy Twoje zapytania są szyfrowane takoż.
Windows:

nslookup -type=txt debug.opendns.com

Linux (jeśli masz dig)

dig debug.opendns.com txt


W sekcji answer powinna być linijka:

debug.opendns.com.      0       IN      TXT     "dnscrypt enabled (7136666E76576A42)"


Jeśli używasz 3 różnych serwerów to tylko szyfrujesz i DNSSECujesz tylko część zapytań. Dlatego też ten test w sytuacji gdy masz 3 serwery, będzie działać "w kratkę".

Zdecydowanie powinieneś używać tylko dnscrypt-proxy gadającego z którymś z dostawców dnscrypt, który validuje DNSSEC.

Dobrze jest mieć dostawcę DNSSEC na porcie innym niż 53, bo wtedy możesz całkowicie zablokować nieszyfrowany DNS blokując port 53 na interfejsie WAN.
--
I run DNSCrypt Poland -- Free, Non-logged and Uncensored with DNSChain and Namecoin

Netgear WNDR3800 OpenWRT Chaos Calmer RC2 --> Inea DSL 100Mb/s
Linksys WRT54GL Tomato USB w/reduced buffer bloat --
 
qrs
zmieniłem resolver z opendns-port53 na opendns

logi Smile

Cytat

Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11420]: Generating a new key pair
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11420]: Done
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11418]: Server certificate #1408841567 received
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11418]: This certificate looks valid
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11418]: Chosen certificate #1408841567 is valid from [2014-08-15] to [2015-08-15]
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11418]: Server key fingerprint is 8201:**************************:CD63
Jun 23 18:05:00 RT-* daemon.notice dnscrypt-proxy[11418]: Proxying from 127.0.0.1:40 to 208.67.220.220:443


dig debug.opendns.com txt dla opendns-port53

Cytat


; <<>> DiG 9.9.5-3ubuntu0.2-Ubuntu <<>> debug.opendns.com txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9076
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com. IN TXT

;; ANSWER SECTION:
debug.opendns.com. 0 IN TXT "server 3.wrw"
debug.opendns.com. 0 IN TXT "flags 20 0 72 11504117020010110C3"
debug.opendns.com. 0 IN TXT "originid 30112641"
debug.opendns.com. 0 IN TXT "actype 2"
debug.opendns.com. 0 IN TXT "bundle 8288867"
debug.opendns.com. 0 IN TXT "source 192.*.*.*:33693"
debug.opendns.com. 0 IN TXT "dnscrypt enabled (31447764594D3387)"

;; Query time: 26 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Tue Jun 23 18:04:10 CEST 2015
;; MSG SIZE rcvd: 282


dig debug.opendns.com txt dla opendns

Cytat


; <<>> DiG 9.9.5-3ubuntu0.2-Ubuntu <<>> debug.opendns.com txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61010
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com. IN TXT

;; ANSWER SECTION:
debug.opendns.com. 0 IN TXT "server 1.wrw"
debug.opendns.com. 0 IN TXT "flags 20 0 72 11504117020010110C3"
debug.opendns.com. 0 IN TXT "originid 30112641"
debug.opendns.com. 0 IN TXT "actype 2"
debug.opendns.com. 0 IN TXT "bundle 8288867"
debug.opendns.com. 0 IN TXT "source 192.*.*.*:9075"
debug.opendns.com. 0 IN TXT "dnscrypt enabled (31447764594D3387)"

;; Query time: 24 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Tue Jun 23 18:08:40 CEST 2015
;; MSG SIZE rcvd: 281


w obu przypadkach dnscrypt enabled
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
kille72

Cytat

dnscryptpl napisał(a):

Jeśli używasz 3 różnych serwerów to tylko szyfrujesz i DNSSECujesz tylko część zapytań. Dlatego też ten test w sytuacji gdy masz 3 serwery, będzie działać "w kratkę".

Zdecydowanie powinieneś używać tylko dnscrypt-proxy gadającego z którymś z dostawców dnscrypt, który validuje DNSSEC.

Dobrze jest mieć dostawcę DNSSEC na porcie innym niż 53, bo wtedy możesz całkowicie zablokować nieszyfrowany DNS blokując port 53 na interfejsie WAN.


Nie rozumiem jak zmusic router do przechwytywania portu 53 zeby wszystko szlo przez dnscrypt-proxy opendns...
 
hermes-80

Cytat

Dobrze jest mieć dostawcę DNSSEC na porcie innym niż 53, bo wtedy możesz całkowicie zablokować nieszyfrowany DNS blokując port 53 na interfejsie WAN.

iptables -I FORWARD -p udp --dport 53 -s 192.168.1.0/24 -j DROP

W Access Restriction też się da zablokować port 53 wszystkim userom w sieci.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
qrs

Cytat

qrs napisał(a):
zmieniłem resolver z opendns-port53 na opendns


mimo zmiany nadal lecę przez port 53

i.imgur.com/HwISs3T.jpg

nie rozumiem, co w tym złego?
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
hermes-80
To że masz DNS-a ISP na WAN-ie to nic nie znaczy - sprawdź sobie połączenia w QoS w detalach.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
qrs
w detalach QoS prawie pusto

i.imgur.com/2XSnyba.jpg
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
dnscryptpl

Cytat

kille72 napisał(a):

Cytat

dnscryptpl napisał(a):

Jeśli używasz 3 różnych serwerów to tylko szyfrujesz i DNSSECujesz tylko część zapytań. Dlatego też ten test w sytuacji gdy masz 3 serwery, będzie działać "w kratkę".

Zdecydowanie powinieneś używać tylko dnscrypt-proxy gadającego z którymś z dostawców dnscrypt, który validuje DNSSEC.

Dobrze jest mieć dostawcę DNSSEC na porcie innym niż 53, bo wtedy możesz całkowicie zablokować nieszyfrowany DNS blokując port 53 na interfejsie WAN.


Nie rozumiem jak zmusic router do przechwytywania portu 53 zeby wszystko szlo przez dnscrypt-proxy opendns...

Jeśli ten firmware działa tak jak powinien to wystarczy, że klienci w sieci lokalnej będą używać routera jako serwera DNS i niczego innego:
Klient --> DNS na routerze --> dnscrypt-proxy na routerze --> Server DNSCrypt

Przechwytywanie DNSu ma sens wtedy gdy chcesz całkowicie zapobiec ruchowi DNS poza podaną wyżej ścieżką.
Może mieć sens, ale wolałbym nie przechwytywać ruchu, bo te regułki działają tylko ona UDP a DNS spokojnie po TCP działa, więc tak naprawdę nie zatykasz dziury dopóki nie zablokujesz całkowicie DNSu.

Jeśli ktoś chce zablokować DNS całkowicie to musi pamiętać, że DNSCrypt potrzebuje dobrego czasu na routerze więc (to pewnie jest ukryte) ruch DNS by rozwiązać serwer czasu musi iść normalnym DNSem. Tu jest dobry opis tego co jest pod spodem: http://wiki.openwrt.org/inbox/dnscrypt
--
I run DNSCrypt Poland -- Free, Non-logged and Uncensored with DNSChain and Namecoin

Netgear WNDR3800 OpenWRT Chaos Calmer RC2 --> Inea DSL 100Mb/s
Linksys WRT54GL Tomato USB w/reduced buffer bloat --
 
qrs
nie długo dostanę pulę IPv6 od swojego dostawcy, czy powyższe będzie wtedy miało jeszcze sens?
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
dnscryptpl

Cytat

qrs napisał(a):

nie długo dostanę pulę IPv6 od swojego dostawcy, czy powyższe będzie wtedy miało jeszcze sens?

Tak, będzie*. Z IPv6, tradycyjny DNS nadal jest nieszyfrowany, a ISP nie koniecznie robi walidację DNSSEC.
Z tego powodu wiele serwerów DNSCrypt jest dostępnych przez ipv6. Wtedy będziesz mieć state of the art: IPv6 + DNSSEC + DNSCrypt.
--
I run DNSCrypt Poland -- Free, Non-logged and Uncensored with DNSChain and Namecoin

Netgear WNDR3800 OpenWRT Chaos Calmer RC2 --> Inea DSL 100Mb/s
Linksys WRT54GL Tomato USB w/reduced buffer bloat --
 
qrs
Ostatnio zmieniałem ustawienia i chyba wszystko ustawiłem poprawnie, otóż w zakładce Network mam

i.imgur.com/TuhTNxw.jpg

ale mam wątpliwości co do poniższych ekranów

i.imgur.com/oeVQ2hm.jpg

oraz

i.imgur.com/rRXyFYF.jpg

a dokładnie do tego ustawienia

i.imgur.com/kZwrAyq.jpg

Czy dobrze wybrałem opcję wskazaną jako recommended?

Zapytanie dig debug.opendns.com txt zwraca:

Cytat


; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> debug.opendns.com txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29335
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com. IN TXT

;; ANSWER SECTION:
debug.opendns.com. 0 IN TXT "server 1.wrw"
debug.opendns.com. 0 IN TXT "flags 20 0 72 1950400002000330041"
debug.opendns.com. 0 IN TXT "originid 30342331"
debug.opendns.com. 0 IN TXT "actype 2"
debug.opendns.com. 0 IN TXT "bundle 7185867"
debug.opendns.com. 0 IN TXT "source 191.152.051.9:13349"
debug.opendns.com. 0 IN TXT "dnscrypt enabled (717333506545635A)"

;; Query time: 10 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Tue Nov 10 18:55:00 CET 2015
;; MSG SIZE rcvd: 282

---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 117

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,463,278 unikalnych wizyt