[MOD] Tomato by shibby
|
qwerty321 |
Dodano 18-06-2015 02:10
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Cytat jack78 napisał(a):
A to może takie lamerskie pytanie.
Nie mam aktywnego ani DNSCRYPT ani OPENDNS, a korzystam z DDNS no-ip. Do czego wykorzystuje się te dwie funkcje, skoro DDNS działa bez nich?
DDNS to funkcja, które pozwala przypisać nazwę np ja.no-ip.org do adresu IP jaki nada przykładowo Neostrada po restarcie. Po to żeby dało się wejść do routera w domu musisz znać jego zewnętrzny IP ale go nie znasz, bo się zmienia. Po to przypisujesz mu domenę w no-ip żeby z ZEWNĄTRZ dostać się do routera/strony www na swoim routerze czy co tam sobie ustawisz.
Jest to coś co zapewnia połączenie do CIEBIE z ZEWNĄRZ, z internetu, od strony WAN gdy masz zmienny adres IP nadawany przez np. Neostradę..
Natomiast DNSCRYPT + OPENDNS to coś innego. Włączasz sobie w Advanced przechwytywanie portu 53 i włączasz żeby router był lokalnym serwerem DNS dla sieci wewnętrznej. Kompy i tablety będą miały podany przez DHCP 192.168.1.1 jako serwer DNS, a nie adresy tepsy czy tam operatora jakiego tam masz. Statycznie musisz sobie go sam wpisać 192.168.1.1.
Ale ale !
Teraz włączasz DNSCRYPT + OPENDNS aby nasz router sam się karmił odpowiedziami nadrzędnego serwera DNS ale nie od Neostrady tylko poprzez szyfrowany tunel do sieci serwerów OPENDNS z włączonym szyfrowaniem DNSCRYPT. W trzech słowach to taki jakby https dla DNS, tunel szyfrowany.
1. Operator nie widzi jakie zapytania DNS robią użytkownicy twojej sieci przez co masz mniej logów na siebie w razie "W". Operatorzy logują przede wszystkim zapytania. A tak będzie tylko jedno połączenie szyfrowane do jednego z serwerów OPENDNS.
Na przykład jesteś księdzem i wpisujesz adres strony gejowskiej. Oczywiście chcesz aby to było dyskretne aby nikt się nie dowiedział. Zapytanie typu "pod jakim adresem IP jest geje.com?". To leci szyfrowanym tunelem. Dostajesz odpowiedź że ta strona jest na tym a tym adresie IP ale ten adres należy do amazonaws albo innego dużego operatora verizon czy cokolwiek i wszystko jest ładnie. Dalej już wchodzisz z przeglądarki na https:// do Apacza czy NGINX'a na którym stoi tysiąc innych domen. I dalej co robisz też jest zaszyfrowane. Nie widać z kim umawiasz sie na randkę ani na jakiej stronie z tego tysiąca jesteś.
Nie bez powodu dałem taki przykład. Taka wiedza może skutkować tym, że dany ksiądz będzie szantażowany lub zmuszany do współpracy.
2. W razie akcji typu chociażby "przecieki" operator może próbować zbanować zapytania DNS-owe do konkretnych hostów na wniosek władzy aby na szybko, większości mniej obeznanej, odciąć dostęp do materiałów i treści. Pamiętamy wybryki Erdogana i napisy na murach 8.8.8.8 ?
3. Spada znacznie ryzyko celowego przekierowania przeglądarki do strony z wirusami przez władzę lub przestępcę gdyż nie będzie już tak prosto. Normalnie wystarczy zmiana w DNS u operatora.
Używając OPENDNS z DNSCRYPT operator będzie widział tylko jedno połączenie, a wiarygodność połączenia gwarantują certyfikaty RSA zasztre w Tomato i w serwerach OPENDNS.
Jedyną osobą która by mogła zmienić certyfikaty jest Shibby w czasie kompilacji lub ktoś mógłby podmienić plik w czasie ściągania lub nawet na serwerze u Shibbiego, wyedytować hex edytorem co nieco i wgrać zabugowany firmware
.
Dobrze by się stało aby były hasze plików z Tomato aby osoby szczególnie narażone, dziennikarze, aktywiści mogli przed upgrejdem zweryfikować MD5 czy SHA256 wgrywanego firmware.
Po to między innymi mamy w Tomato sieć Tor oraz usługi typu lokalny DNS + korzystaj z serwerów OPENDNS + korzystaj w sposób szyfrowany DNSCRYPT.
Ale IPv6 to samo zło. Teraz mamy NAT/Masquerade, mamy setki stron www na tym samym adresie IP. Jak wejdzie IPv6 to każdy każdego natychmiast zidentyfikuje. Ksiądz nie wyłga się, że ze swojego komputera na plebanii łączył się do strony gejowskiej. IPv6 to samo zło jak na razie.
Jasne?
Edytowany przez qwerty321 dnia 18-06-2015 02:21
|
|
|
|
maxikaaz |
Dodano 18-06-2015 02:29
|
Super User
Posty: 546
Dołączył: 03/11/2006 23:04
|
W mordę... nigdy bym nie przypuszczał, że tak znaczącym targetem dla Tomato by Shibby są księża, geje, aktywiści i dziennikarze. Jak do tego dodać księży-gejów, dziennikarzy-aktywistów i resztę kombinacji, to zaczynam się czuć mniejszością.
WL-500gPv1@128MB&OC300MHz, Tomato DualWAN
RT-N16, FT 2021.8
RT-AC56u, FT 2022.1
R7000, FT 2022.1
DIR868L=>RT-AC66u B1, FT 2022.1
ZyXEL NSA-310, GargoylePL
ZyXEL NSA-325v2, GargoylePL
|
|
|
|
jack78 |
Dodano 18-06-2015 07:18
|
OL Maniac
Posty: 1365
Dołączył: 22/04/2007 22:28
|
@qwerty321
Dzięki za wytłumaczenie, teraz już kumam do czego to służy.
Mikrotik hAP ac2
UniFi AP AC v2-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
|
|
|
|
shibby |
Dodano 18-06-2015 09:08
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
popieram słowa maxikaaza
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
|
|
|
jack78 |
Dodano 18-06-2015 10:34
|
OL Maniac
Posty: 1365
Dołączył: 22/04/2007 22:28
|
shibby zerknales moze na problemy z modemem E3276 zwykly?
Mikrotik hAP ac2
UniFi AP AC v2-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
|
|
|
|
maxikaaz |
Dodano 18-06-2015 10:43
|
Super User
Posty: 546
Dołączył: 03/11/2006 23:04
|
@jack78 - z innego wątku:
Cytat shibby napisał(a):
faktycznie non-Hilink ma coś problem z wykryciem modemu za pierwszym razem. Zaraz się temu przyjrzę.
Połączony z 16 June 2015 12:23:52:
problem namierzony i załatany:
Cytat Jan 1 01:00:16 unknown user.notice root: 4G MODEM found - non-Hilink - using cdc_ncm module
Jan 1 01:00:16 unknown user.notice root: 4G MODEM not found - count: 0
Jan 1 01:00:21 unknown user.notice root: 4G MODEM NDIS not found - cdc_ether - count: 0
Jan 1 01:00:26 unknown user.notice root: 4G MODEM NDIS found - non-hilink - using cdc_ncm module
Jan 1 01:00:26 unknown user.notice root: 4G MODEM WAN found - non-hilink - using usb0 as WAN
Jan 1 01:00:26 unknown user.info kernel: usbcore: registered new interface driver usbserial
Jan 1 01:00:26 unknown user.info kernel: drivers/usb/serial/usb-serial.c: USB Serial support registered for generic
Jan 1 01:00:26 unknown user.notice root: 4G MODEM ready - using usbserial module
Jan 1 01:00:26 unknown user.info kernel: usbserial_generic 1-2:1.0: generic converter detected
Jan 1 01:00:26 unknown user.info kernel: usb 1-2: generic converter now attached to ttyUSB0
Jan 1 01:00:26 unknown user.info kernel: usbserial_generic 1-2:1.1: generic converter detected
Jan 1 01:00:26 unknown user.info kernel: usb 1-2: generic converter now attached to ttyUSB1
Jan 1 01:00:26 unknown user.info kernel: usbcore: registered new interface driver usbserial_generic
Jan 1 01:00:26 unknown user.info kernel: drivers/usb/serial/usb-serial.c: USB Serial Driver core
Jan 1 01:00:40 unknown user.notice root: 4G MODEM DIAG found - /dev/ttyUSB0
Jan 1 01:00:54 unknown user.notice root: 4G MODEM DIAG found - /dev/ttyUSB1
Jan 1 01:00:56 unknown user.notice root: 4G MODEM Signal Strength: -69 dBm
Jan 1 01:00:56 unknown user.notice root: 4G MODEM - connecting ...
Jan 1 01:01:00 unknown user.notice root: 4G MODEM - connected ...
Jan 1 01:01:00 unknown user.info kernel: ADDRCONF(NETDEV_UP): usb0: link is not ready
Jan 1 01:01:00 unknown user.info kernel: cdc_ncm: usb0: 150 mbit/s downlink 150 mbit/s uplink
Jan 1 01:01:00 unknown user.notice root: 4G MODEM - WAN configured ...
Jan 1 01:01:00 unknown user.info kernel: cdc_ncm: usb0: network connection: connected
Jan 1 01:01:00 unknown user.info kernel: ADDRCONF(NETDEV_CHANGE): usb0: link becomes ready
niestety trzeba poczekać do nowej wersji. Zatem jeżeli komuś zależy na obsłudze non-hilinka to albo niech przeczeka na v128/129 albo niech napisze do mnie. W miarę możliwości postaram się podsyłać poprawione obrazy.
WL-500gPv1@128MB&OC300MHz, Tomato DualWAN
RT-N16, FT 2021.8
RT-AC56u, FT 2022.1
R7000, FT 2022.1
DIR868L=>RT-AC66u B1, FT 2022.1
ZyXEL NSA-310, GargoylePL
ZyXEL NSA-325v2, GargoylePL
|
|
|
|
jack78 |
Dodano 18-06-2015 10:53
|
OL Maniac
Posty: 1365
Dołączył: 22/04/2007 22:28
|
dzieki, nie znalazlem tego
Mikrotik hAP ac2
UniFi AP AC v2-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
|
|
|
|
qrs |
Dodano 18-06-2015 11:25
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
mam aktywną usługę OpenDNS - czy to jest tożsame z aktywną funkcją DNSCRYPT?
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
|
|
|
need_password |
Dodano 18-06-2015 11:26
|
User
Posty: 100
Dołączył: 23/09/2014 10:25
|
Cytat qwerty321 napisał(a):
Cytat jack78 napisał(a):
A to może takie lamerskie pytanie.
Nie mam aktywnego ani DNSCRYPT ani OPENDNS, a korzystam z DDNS no-ip. Do czego wykorzystuje się te dwie funkcje, skoro DDNS działa bez nich?
DDNS to funkcja, które pozwala przypisać nazwę np ja.no-ip.org do adresu IP jaki nada przykładowo Neostrada po restarcie. Po to żeby dało się wejść do routera w domu musisz znać jego zewnętrzny IP ale go nie znasz, bo się zmienia. Po to przypisujesz mu domenę w no-ip żeby z ZEWNĄTRZ dostać się do routera/strony www na swoim routerze czy co tam sobie ustawisz.
Jest to coś co zapewnia połączenie do CIEBIE z ZEWNĄRZ, z internetu, od strony WAN gdy masz zmienny adres IP nadawany przez np. Neostradę..
Natomiast DNSCRYPT + OPENDNS to coś innego. Włączasz sobie w Advanced przechwytywanie portu 53 i włączasz żeby router był lokalnym serwerem DNS dla sieci wewnętrznej. Kompy i tablety będą miały podany przez DHCP 192.168.1.1 jako serwer DNS, a nie adresy tepsy czy tam operatora jakiego tam masz. Statycznie musisz sobie go sam wpisać 192.168.1.1.
Ale ale !
Teraz włączasz DNSCRYPT + OPENDNS aby nasz router sam się karmił odpowiedziami nadrzędnego serwera DNS ale nie od Neostrady tylko poprzez szyfrowany tunel do sieci serwerów OPENDNS z włączonym szyfrowaniem DNSCRYPT. W trzech słowach to taki jakby https dla DNS, tunel szyfrowany.
1. Operator nie widzi jakie zapytania DNS robią użytkownicy twojej sieci przez co masz mniej logów na siebie w razie "W". Operatorzy logują przede wszystkim zapytania. A tak będzie tylko jedno połączenie szyfrowane do jednego z serwerów OPENDNS.
Na przykład jesteś księdzem i wpisujesz adres strony gejowskiej. Oczywiście chcesz aby to było dyskretne aby nikt się nie dowiedział. Zapytanie typu "pod jakim adresem IP jest geje.com?". To leci szyfrowanym tunelem. Dostajesz odpowiedź że ta strona jest na tym a tym adresie IP ale ten adres należy do amazonaws albo innego dużego operatora verizon czy cokolwiek i wszystko jest ładnie. Dalej już wchodzisz z przeglądarki na https:// do Apacza czy NGINX'a na którym stoi tysiąc innych domen. I dalej co robisz też jest zaszyfrowane. Nie widać z kim umawiasz sie na randkę ani na jakiej stronie z tego tysiąca jesteś.
Nie bez powodu dałem taki przykład. Taka wiedza może skutkować tym, że dany ksiądz będzie szantażowany lub zmuszany do współpracy.
2. W razie akcji typu chociażby "przecieki" operator może próbować zbanować zapytania DNS-owe do konkretnych hostów na wniosek władzy aby na szybko, większości mniej obeznanej, odciąć dostęp do materiałów i treści. Pamiętamy wybryki Erdogana i napisy na murach 8.8.8.8 ?
3. Spada znacznie ryzyko celowego przekierowania przeglądarki do strony z wirusami przez władzę lub przestępcę gdyż nie będzie już tak prosto. Normalnie wystarczy zmiana w DNS u operatora.
Używając OPENDNS z DNSCRYPT operator będzie widział tylko jedno połączenie, a wiarygodność połączenia gwarantują certyfikaty RSA zasztre w Tomato i w serwerach OPENDNS.
Jedyną osobą która by mogła zmienić certyfikaty jest Shibby w czasie kompilacji lub ktoś mógłby podmienić plik w czasie ściągania lub nawet na serwerze u Shibbiego, wyedytować hex edytorem co nieco i wgrać zabugowany firmware
.
Dobrze by się stało aby były hasze plików z Tomato aby osoby szczególnie narażone, dziennikarze, aktywiści mogli przed upgrejdem zweryfikować MD5 czy SHA256 wgrywanego firmware.
Po to między innymi mamy w Tomato sieć Tor oraz usługi typu lokalny DNS + korzystaj z serwerów OPENDNS + korzystaj w sposób szyfrowany DNSCRYPT.
Ale IPv6 to samo zło. Teraz mamy NAT/Masquerade, mamy setki stron www na tym samym adresie IP. Jak wejdzie IPv6 to każdy każdego natychmiast zidentyfikuje. Ksiądz nie wyłga się, że ze swojego komputera na plebanii łączył się do strony gejowskiej. IPv6 to samo zło jak na razie.
Jasne?
W temacie anonimowości ...
... ja bym jeszcze dodał, że zestawiamy sobie w Tomato tunel OpenVpn płatny i przekierowujemy cały nasz ruch przez tego VPNa (najlepiej taki VPN, który nie trzyma logów). Na kompie stawiamy debiana, na debianie Virtualboxa a na nim Whonixa, który cały ruch puszcza przez Tora. Na przegladarce w systemie Whonix wpisujemy jakies polskie proxy, tak zeby było widac polskie IP podczas przegladania stron. Ktos namierzy człoweika który uzywa takiej anonimowości? Szczerze wątpie, raczej nie jest to wykonalne, ajuz na pewno dla Polskich władz to kosmos nie do przejścia. Być może w podobny sposób Polsilver (ten od włamu do Plus Banku) korzystał z Netu
Połączony z 18 June 2015 11:40:43:
Cytat qrs napisał(a):
mam aktywną usługę OpenDNS - czy to jest tożsame z aktywną funkcją DNSCRYPT?
Tak powinno to wyglądać
Edytowany przez need_password dnia 18-06-2015 11:40
Asus RT-AC56U
Netgear R7000
Asus RT-N10U
Tenda N60
Linksys WRT54G
|
|
|
|
Lacky |
Dodano 18-06-2015 11:46
|
User
Posty: 73
Dołączył: 10/01/2014 19:43
|
W przypadku powyższej teorii i być może praktyki bardzo fajnie to wygląda względem anonimowości, ale zawsze jest ale.
Masz np. VPN'a płatnego bez logów przy połączenie przez ISP masz prędkość 60/20, po włączeniu VPN prędkość spada do 8/8, do tego jak dodasz TOR'a to się już robi 4/4, jeszcze niech dojdzie proxy to już masz 1/1 i jak tu działać.
Takie coś to chyba jak będziesz robił jakieś poważne przestępstwa, dla anonimowego p2p czy forum czy cokolwiek chcesz to chyba TOR, czy VPN starczy...
Asus RT-AC68U
|
|
|
|
qrs |
Dodano 18-06-2015 12:01
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
|
|
|
qwerty321 |
Dodano 18-06-2015 18:43
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
OpenDNS ustawia z jakiego resolvera korzystasz
stawiasz ptaszek przy dnscrypt-proxy żeby zaszyfrować zapytania DNS
i powyżej włącz DNSSEC też, to jest security extension. Normalne reżimowe DMS-y nie obsługują ale jak używasz OpenDNS+dnscrypt-proxy to jak najbardziej włącz DNSSEC.
Połączony z 18 June 2015 18:53:49:
Tak ale on i tak jest taki ułomny i niezbyt często aktualizowany tak jak torbrowser. Lepiej jak napisał #11129 użyć VPN do Chin czy Rosji i przez niego w tunelu puścić Torbrowsera już bez stawiania nawet maszyny wirtualnej i whonixa. Z niepokojem patrzę na to co się dzieje, jak media cenzurują i wchodzą w tyłek władzy. Za chwilę będzie masowa cenzura internetu. Zaczną od DNS właśnie. To jest mniej kosztowne obliczeniowo niż regułki na routerach brzegowych.
Byłem w Dubaju i tam nawet nie wejdziesz na stronę skype.com !!! Dostajesz captive portal od władz, że strona wykluczona dla doba obywateli ale sam skype działa. Utrudniają założenie kont. Przez to cały Dubaj używa VPN-ów do przeglądania internetu, dosłownie każdy ma gdzieś wykupiony VPN. Czy to znaczy, że wszyscy mieszkańcy Dubaju są przestępcami ? NIE! To autorytarna władza.
Edytowany przez qwerty321 dnia 18-06-2015 18:54
|
|
|
|
qrs |
Dodano 18-06-2015 19:04
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
ustawiłem
skąd pewność że to działa tzn jak to zweryfikować?
Logi pokazują niby że
Cytat Jun 18 04:16:57 RT-* daemon.notice miniupnpd[1479]: version 1.9 started
Jun 18 04:16:57 RT-* daemon.notice miniupnpd[1479]: HTTP listening on port 36901
Jun 18 04:16:57 RT-* daemon.notice miniupnpd[1479]: Listening for NAT-PMP/PCP traffic on port 5351
Jun 18 18:59:35 RT-* daemon.notice dnscrypt-proxy[11093]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:35 RT-* daemon.notice dnscrypt-proxy[11095]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:35 RT-* daemon.notice dnscrypt-proxy[11093]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
Jun 18 18:59:35 RT-* daemon.notice miniupnpd[1479]: shutting down MiniUPnPd
Jun 18 18:59:53 RT-* daemon.notice dnscrypt-proxy[11349]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:53 RT-* daemon.notice dnscrypt-proxy[11351]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:53 RT-* daemon.notice dnscrypt-proxy[11349]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
Jun 18 18:59:54 RT-* daemon.notice dnscrypt-proxy[11490]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:54 RT-* daemon.notice dnscrypt-proxy[11492]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:54 RT-* daemon.notice dnscrypt-proxy[11490]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
Jun 18 18:59:55 RT-* daemon.notice dnscrypt-proxy[11528]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:55 RT-* daemon.notice dnscrypt-proxy[11530]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:55 RT-* daemon.notice dnscrypt-proxy[11528]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
Jun 18 19:00:00 RT-* daemon.notice miniupnpd[11869]: version 1.9 started
Jun 18 19:00:00 RT-* daemon.notice miniupnpd[11869]: HTTP listening on port 53536
Jun 18 19:00:00 RT-* daemon.notice miniupnpd[11869]: Listening for NAT-PMP/PCP traffic on port 5351
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
|
|
|
b3rok |
Dodano 18-06-2015 19:25
|
Administrator
Posty: 621
Dołączył: 10/01/2008 18:40
|
Edytowany przez b3rok dnia 18-06-2015 19:27
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
|
|
|
|
qrs |
Dodano 18-06-2015 19:26
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
jest OK
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
|
|
|
b3rok |
Dodano 18-06-2015 19:29
|
Administrator
Posty: 621
Dołączył: 10/01/2008 18:40
|
Szybki jesteś , edytowałem mojego posta (teraz ma trochę inny wydźwięk). Bo widzę, że opis z linku, który podałem jest o poprawnej konfiguracji OpneDNS a nie samego DNSCrypta.
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
|
|
|
|
qrs |
Dodano 18-06-2015 19:31
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
ale ten test pokazuje że działa OpenDNS a nie że aktywne jest szyfrowanie via dnscrypt-proxy+DNSSEC
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
|
|
|
b3rok |
Dodano 18-06-2015 19:40
|
Administrator
Posty: 621
Dołączył: 10/01/2008 18:40
|
Cytat qrs napisał(a):
ale ten test pokazuje że działa OpenDNS a nie że aktywne jest szyfrowanie via dnscrypt-proxy+DNSSEC
No własnie... Znalazłem taki opis (nie wiem jak z angielskim stoisz - w razie co mogę przetłumaczyć).
Cytat You go to OpenDNS Welcome page and you should see something like "Welcome to OpenDNS! Your Internet is safer, faster, and smarter because you're using OpenDNS." This means you're using OpenDNS as your DNS provider and if you haven't configured OpenDNS without dnscrypt your DNS requests should be encrypted.
Another way would be to snoop the DNS traffic using wireshark, tcpdump, etc and see if it's indeed encrypted but that's more convoluted and requires some in-depth knowledge.
DNSSEC to już inna sprawa niż DNScrypt. Ja niestety poległem na konfiguracji.
Cytat https://www.opendns.com/about/innovations/dnscrypt/
Cytat hat about DNSSEC? Does this eliminate the need for DNSCrypt?
No. DNSCrypt and DNSSEC are complementary. DNSSEC does a number of things. First, it provides authentication. (Is the DNS record IR17;m getting a response for coming from the owner of the domain name IR17;m asking about or has it been tampered with?) Second, DNSSEC provides a chain of trust to help establish confidence that the answers youR17;re getting are verifiable. But unfortunately, DNSSEC doesnR17;t actually provide encryption for DNS records, even those signed by DNSSEC. Even if everyone in the world used DNSSEC, the need to encrypt all DNS traffic would not go away. Moreover, DNSSEC today represents a near-zero percentage of overall domain names and an increasingly smaller percentage of DNS records each day as the Internet grows.
That said, DNSSEC and DNSCrypt can work perfectly together. They arenR17;t conflicting in any way. Think of DNSCrypt as a wrapper around all DNS traffic and DNSSEC as a way of signing and providing validation for a subset of those records. There are benefits to DNSSEC that DNSCrypt isnR17;t trying to address. In fact, we hope DNSSEC adoption grows so that people can have more confidence in the entire DNS infrastructure, not just the link between our customers and OpenDNS.
Edytowany przez b3rok dnia 18-06-2015 19:43
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
|
|
|
|
qrs |
Dodano 18-06-2015 19:43
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
kluczowe jest
Cytat if you haven't configured OpenDNS without dnscrypt your DNS requests should be encrypted.
chyba jest OK
Cytat daemon.notice dnscrypt-proxy[11528]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
daemon.info dnsmasq[11508]: read /etc/hosts - 14 addresses
daemon.info dnsmasq[11508]: read /etc/dnsmasq/hosts/hosts - 14 addresses
daemon.info dnsmasq-dhcp[11508]: read /etc/dnsmasq/dhcp/dhcp-hosts
Edytowany przez qrs dnia 18-06-2015 19:51
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
|
|
|
qwerty321 |
Dodano 18-06-2015 20:51
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Cytat
ustawiłem
..
skąd pewność że to działa tzn jak to zweryfikować?
Po pierwsze Static DNS wywal. Wpisz tam 0.0.0.0 we wszystkie pola. Nie używaj już zadnych statycznych DNS.
Sprawdź tak.
Wejdź w QOS view details albo lepiej z optware zainstaluj iptraf i posnifuj ruch. Tylko odłącz wszystko od netu i pozamykaj programy żeby było kilka połączeń, bo nie znajdziesz.
|
|
|