25 Listopada 2024 05:26:31
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· DIR868l OFW asus vs ...
· Nowe routery: UX, UC...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
Najpopularniejsze obecnie wątki
· DIR868l OFW asus ... [11]
· Nowe routery: UX,... [0]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.141.29.162
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
[MOD] Tomato by shibby
qwerty321

Cytat

jack78 napisał(a):

A to może takie lamerskie pytanie.
Nie mam aktywnego ani DNSCRYPT ani OPENDNS, a korzystam z DDNS no-ip. Do czego wykorzystuje się te dwie funkcje, skoro DDNS działa bez nich?


DDNS to funkcja, które pozwala przypisać nazwę np ja.no-ip.org do adresu IP jaki nada przykładowo Neostrada po restarcie. Po to żeby dało się wejść do routera w domu musisz znać jego zewnętrzny IP ale go nie znasz, bo się zmienia. Po to przypisujesz mu domenę w no-ip żeby z ZEWNĄTRZ dostać się do routera/strony www na swoim routerze czy co tam sobie ustawisz.
Jest to coś co zapewnia połączenie do CIEBIE z ZEWNĄRZ, z internetu, od strony WAN gdy masz zmienny adres IP nadawany przez np. Neostradę..

Natomiast DNSCRYPT + OPENDNS to coś innego. Włączasz sobie w Advanced przechwytywanie portu 53 i włączasz żeby router był lokalnym serwerem DNS dla sieci wewnętrznej. Kompy i tablety będą miały podany przez DHCP 192.168.1.1 jako serwer DNS, a nie adresy tepsy czy tam operatora jakiego tam masz. Statycznie musisz sobie go sam wpisać 192.168.1.1.
Ale ale !
Teraz włączasz DNSCRYPT + OPENDNS aby nasz router sam się karmił odpowiedziami nadrzędnego serwera DNS ale nie od Neostrady tylko poprzez szyfrowany tunel do sieci serwerów OPENDNS z włączonym szyfrowaniem DNSCRYPT. W trzech słowach to taki jakby https dla DNS, tunel szyfrowany.

1. Operator nie widzi jakie zapytania DNS robią użytkownicy twojej sieci przez co masz mniej logów na siebie w razie "W". Operatorzy logują przede wszystkim zapytania. A tak będzie tylko jedno połączenie szyfrowane do jednego z serwerów OPENDNS.
Na przykład jesteś księdzem i wpisujesz adres strony gejowskiej. Oczywiście chcesz aby to było dyskretne aby nikt się nie dowiedział. Zapytanie typu "pod jakim adresem IP jest geje.com?". To leci szyfrowanym tunelem. Dostajesz odpowiedź że ta strona jest na tym a tym adresie IP ale ten adres należy do amazonaws albo innego dużego operatora verizon czy cokolwiek i wszystko jest ładnie. Dalej już wchodzisz z przeglądarki na https:// do Apacza czy NGINX'a na którym stoi tysiąc innych domen. I dalej co robisz też jest zaszyfrowane. Nie widać z kim umawiasz sie na randkę ani na jakiej stronie z tego tysiąca jesteś.
Nie bez powodu dałem taki przykład. Taka wiedza może skutkować tym, że dany ksiądz będzie szantażowany lub zmuszany do współpracy.

2. W razie akcji typu chociażby "przecieki" operator może próbować zbanować zapytania DNS-owe do konkretnych hostów na wniosek władzy aby na szybko, większości mniej obeznanej, odciąć dostęp do materiałów i treści. Pamiętamy wybryki Erdogana i napisy na murach 8.8.8.8 ?

3. Spada znacznie ryzyko celowego przekierowania przeglądarki do strony z wirusami przez władzę lub przestępcę gdyż nie będzie już tak prosto. Normalnie wystarczy zmiana w DNS u operatora.

Używając OPENDNS z DNSCRYPT operator będzie widział tylko jedno połączenie, a wiarygodność połączenia gwarantują certyfikaty RSA zasztre w Tomato i w serwerach OPENDNS.
Jedyną osobą która by mogła zmienić certyfikaty jest Shibby w czasie kompilacji lub ktoś mógłby podmienić plik w czasie ściągania lub nawet na serwerze u Shibbiego, wyedytować hex edytorem co nieco i wgrać zabugowany firmware
.
Dobrze by się stało aby były hasze plików z Tomato aby osoby szczególnie narażone, dziennikarze, aktywiści mogli przed upgrejdem zweryfikować MD5 czy SHA256 wgrywanego firmware.

Po to między innymi mamy w Tomato sieć Tor oraz usługi typu lokalny DNS + korzystaj z serwerów OPENDNS + korzystaj w sposób szyfrowany DNSCRYPT.

Ale IPv6 to samo zło. Teraz mamy NAT/Masquerade, mamy setki stron www na tym samym adresie IP. Jak wejdzie IPv6 to każdy każdego natychmiast zidentyfikuje. Ksiądz nie wyłga się, że ze swojego komputera na plebanii łączył się do strony gejowskiej. IPv6 to samo zło jak na razie.

Jasne?


Edytowany przez qwerty321 dnia 18-06-2015 02:21
 
maxikaaz
W mordę... nigdy bym nie przypuszczał, że tak znaczącym targetem dla Tomato by Shibby są księża, geje, aktywiści i dziennikarze. Jak do tego dodać księży-gejów, dziennikarzy-aktywistów i resztę kombinacji, to zaczynam się czuć mniejszością.


WL-500gPv1@128MB&OC300MHz, Tomato DualWAN
RT-N16, FT 2021.8
RT-AC56u, FT 2022.1
R7000, FT 2022.1
DIR868L=>RT-AC66u B1, FT 2022.1
ZyXEL NSA-310, GargoylePL
ZyXEL NSA-325v2, GargoylePL
 
jack78
@qwerty321
Dzięki za wytłumaczenie, teraz już kumam do czego to służy.



Mikrotik hAP ac2
UniFi AP AC v2
-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
 
shibby
popieram słowa maxikaaza Smile


Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
jack78
shibby zerknales moze na problemy z modemem E3276 zwykly?



Mikrotik hAP ac2
UniFi AP AC v2
-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
 
maxikaaz
@jack78 - z innego wątku:

Cytat

shibby napisał(a):

faktycznie non-Hilink ma coś problem z wykryciem modemu za pierwszym razem. Zaraz się temu przyjrzę.

Połączony z 16 June 2015 12:23:52:
problem namierzony i załatany:

Cytat

Jan 1 01:00:16 unknown user.notice root: 4G MODEM found - non-Hilink - using cdc_ncm module
Jan 1 01:00:16 unknown user.notice root: 4G MODEM not found - count: 0
Jan 1 01:00:21 unknown user.notice root: 4G MODEM NDIS not found - cdc_ether - count: 0
Jan 1 01:00:26 unknown user.notice root: 4G MODEM NDIS found - non-hilink - using cdc_ncm module
Jan 1 01:00:26 unknown user.notice root: 4G MODEM WAN found - non-hilink - using usb0 as WAN
Jan 1 01:00:26 unknown user.info kernel: usbcore: registered new interface driver usbserial
Jan 1 01:00:26 unknown user.info kernel: drivers/usb/serial/usb-serial.c: USB Serial support registered for generic
Jan 1 01:00:26 unknown user.notice root: 4G MODEM ready - using usbserial module
Jan 1 01:00:26 unknown user.info kernel: usbserial_generic 1-2:1.0: generic converter detected
Jan 1 01:00:26 unknown user.info kernel: usb 1-2: generic converter now attached to ttyUSB0
Jan 1 01:00:26 unknown user.info kernel: usbserial_generic 1-2:1.1: generic converter detected
Jan 1 01:00:26 unknown user.info kernel: usb 1-2: generic converter now attached to ttyUSB1
Jan 1 01:00:26 unknown user.info kernel: usbcore: registered new interface driver usbserial_generic
Jan 1 01:00:26 unknown user.info kernel: drivers/usb/serial/usb-serial.c: USB Serial Driver core
Jan 1 01:00:40 unknown user.notice root: 4G MODEM DIAG found - /dev/ttyUSB0
Jan 1 01:00:54 unknown user.notice root: 4G MODEM DIAG found - /dev/ttyUSB1
Jan 1 01:00:56 unknown user.notice root: 4G MODEM Signal Strength: -69 dBm
Jan 1 01:00:56 unknown user.notice root: 4G MODEM - connecting ...
Jan 1 01:01:00 unknown user.notice root: 4G MODEM - connected ...
Jan 1 01:01:00 unknown user.info kernel: ADDRCONF(NETDEV_UP): usb0: link is not ready
Jan 1 01:01:00 unknown user.info kernel: cdc_ncm: usb0: 150 mbit/s downlink 150 mbit/s uplink
Jan 1 01:01:00 unknown user.notice root: 4G MODEM - WAN configured ...
Jan 1 01:01:00 unknown user.info kernel: cdc_ncm: usb0: network connection: connected
Jan 1 01:01:00 unknown user.info kernel: ADDRCONF(NETDEV_CHANGE): usb0: link becomes ready


niestety trzeba poczekać do nowej wersji. Zatem jeżeli komuś zależy na obsłudze non-hilinka to albo niech przeczeka na v128/129 albo niech napisze do mnie. W miarę możliwości postaram się podsyłać poprawione obrazy.


WL-500gPv1@128MB&OC300MHz, Tomato DualWAN
RT-N16, FT 2021.8
RT-AC56u, FT 2022.1
R7000, FT 2022.1
DIR868L=>RT-AC66u B1, FT 2022.1
ZyXEL NSA-310, GargoylePL
ZyXEL NSA-325v2, GargoylePL
 
jack78
dzieki, nie znalazlem tego



Mikrotik hAP ac2
UniFi AP AC v2
-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
 
qrs
mam aktywną usługę OpenDNS - czy to jest tożsame z aktywną funkcją DNSCRYPT?


---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
need_password

Cytat

qwerty321 napisał(a):

Cytat

jack78 napisał(a):

A to może takie lamerskie pytanie.
Nie mam aktywnego ani DNSCRYPT ani OPENDNS, a korzystam z DDNS no-ip. Do czego wykorzystuje się te dwie funkcje, skoro DDNS działa bez nich?


DDNS to funkcja, które pozwala przypisać nazwę np ja.no-ip.org do adresu IP jaki nada przykładowo Neostrada po restarcie. Po to żeby dało się wejść do routera w domu musisz znać jego zewnętrzny IP ale go nie znasz, bo się zmienia. Po to przypisujesz mu domenę w no-ip żeby z ZEWNĄTRZ dostać się do routera/strony www na swoim routerze czy co tam sobie ustawisz.
Jest to coś co zapewnia połączenie do CIEBIE z ZEWNĄRZ, z internetu, od strony WAN gdy masz zmienny adres IP nadawany przez np. Neostradę..

Natomiast DNSCRYPT + OPENDNS to coś innego. Włączasz sobie w Advanced przechwytywanie portu 53 i włączasz żeby router był lokalnym serwerem DNS dla sieci wewnętrznej. Kompy i tablety będą miały podany przez DHCP 192.168.1.1 jako serwer DNS, a nie adresy tepsy czy tam operatora jakiego tam masz. Statycznie musisz sobie go sam wpisać 192.168.1.1.
Ale ale !
Teraz włączasz DNSCRYPT + OPENDNS aby nasz router sam się karmił odpowiedziami nadrzędnego serwera DNS ale nie od Neostrady tylko poprzez szyfrowany tunel do sieci serwerów OPENDNS z włączonym szyfrowaniem DNSCRYPT. W trzech słowach to taki jakby https dla DNS, tunel szyfrowany.

1. Operator nie widzi jakie zapytania DNS robią użytkownicy twojej sieci przez co masz mniej logów na siebie w razie "W". Operatorzy logują przede wszystkim zapytania. A tak będzie tylko jedno połączenie szyfrowane do jednego z serwerów OPENDNS.
Na przykład jesteś księdzem i wpisujesz adres strony gejowskiej. Oczywiście chcesz aby to było dyskretne aby nikt się nie dowiedział. Zapytanie typu "pod jakim adresem IP jest geje.com?". To leci szyfrowanym tunelem. Dostajesz odpowiedź że ta strona jest na tym a tym adresie IP ale ten adres należy do amazonaws albo innego dużego operatora verizon czy cokolwiek i wszystko jest ładnie. Dalej już wchodzisz z przeglądarki na https:// do Apacza czy NGINX'a na którym stoi tysiąc innych domen. I dalej co robisz też jest zaszyfrowane. Nie widać z kim umawiasz sie na randkę ani na jakiej stronie z tego tysiąca jesteś.
Nie bez powodu dałem taki przykład. Taka wiedza może skutkować tym, że dany ksiądz będzie szantażowany lub zmuszany do współpracy.

2. W razie akcji typu chociażby "przecieki" operator może próbować zbanować zapytania DNS-owe do konkretnych hostów na wniosek władzy aby na szybko, większości mniej obeznanej, odciąć dostęp do materiałów i treści. Pamiętamy wybryki Erdogana i napisy na murach 8.8.8.8 ?

3. Spada znacznie ryzyko celowego przekierowania przeglądarki do strony z wirusami przez władzę lub przestępcę gdyż nie będzie już tak prosto. Normalnie wystarczy zmiana w DNS u operatora.

Używając OPENDNS z DNSCRYPT operator będzie widział tylko jedno połączenie, a wiarygodność połączenia gwarantują certyfikaty RSA zasztre w Tomato i w serwerach OPENDNS.
Jedyną osobą która by mogła zmienić certyfikaty jest Shibby w czasie kompilacji lub ktoś mógłby podmienić plik w czasie ściągania lub nawet na serwerze u Shibbiego, wyedytować hex edytorem co nieco i wgrać zabugowany firmware
.
Dobrze by się stało aby były hasze plików z Tomato aby osoby szczególnie narażone, dziennikarze, aktywiści mogli przed upgrejdem zweryfikować MD5 czy SHA256 wgrywanego firmware.

Po to między innymi mamy w Tomato sieć Tor oraz usługi typu lokalny DNS + korzystaj z serwerów OPENDNS + korzystaj w sposób szyfrowany DNSCRYPT.

Ale IPv6 to samo zło. Teraz mamy NAT/Masquerade, mamy setki stron www na tym samym adresie IP. Jak wejdzie IPv6 to każdy każdego natychmiast zidentyfikuje. Ksiądz nie wyłga się, że ze swojego komputera na plebanii łączył się do strony gejowskiej. IPv6 to samo zło jak na razie.

Jasne?

W temacie anonimowości ...
... ja bym jeszcze dodał, że zestawiamy sobie w Tomato tunel OpenVpn płatny i przekierowujemy cały nasz ruch przez tego VPNa (najlepiej taki VPN, który nie trzyma logów). Na kompie stawiamy debiana, na debianie Virtualboxa a na nim Whonixa, który cały ruch puszcza przez Tora. Na przegladarce w systemie Whonix wpisujemy jakies polskie proxy, tak zeby było widac polskie IP podczas przegladania stron. Ktos namierzy człoweika który uzywa takiej anonimowości? Szczerze wątpie, raczej nie jest to wykonalne, ajuz na pewno dla Polskich władz to kosmos nie do przejścia. Być może w podobny sposób Polsilver (ten od włamu do Plus Banku) korzystał z Netu Smile

Połączony z 18 June 2015 11:40:43:

Cytat

qrs napisał(a):

mam aktywną usługę OpenDNS - czy to jest tożsame z aktywną funkcją DNSCRYPT?


Tak powinno to wyglądać
www.iv.pl/images/09496130898325304934_thumb.jpg


Edytowany przez need_password dnia 18-06-2015 11:40
Asus RT-AC56U
Netgear R7000
Asus RT-N10U
Tenda N60
Linksys WRT54G
 
Lacky
W przypadku powyższej teorii i być może praktyki bardzo fajnie to wygląda względem anonimowości, ale zawsze jest ale.

Masz np. VPN'a płatnego bez logów przy połączenie przez ISP masz prędkość 60/20, po włączeniu VPN prędkość spada do 8/8, do tego jak dodasz TOR'a to się już robi 4/4, jeszcze niech dojdzie proxy to już masz 1/1 i jak tu działać.

Takie coś to chyba jak będziesz robił jakieś poważne przestępstwa, dla anonimowego p2p czy forum czy cokolwiek chcesz to chyba TOR, czy VPN starczy...


Asus RT-AC68U
 
qrs
my tu o DNSCRYPT a tymczasem TOR nie działa Smile

https://openlinksys.info/forum/viewth...ost_145332


---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
qwerty321
OpenDNS ustawia z jakiego resolvera korzystasz
stawiasz ptaszek przy dnscrypt-proxy żeby zaszyfrować zapytania DNS
i powyżej włącz DNSSEC też, to jest security extension. Normalne reżimowe DMS-y nie obsługują ale jak używasz OpenDNS+dnscrypt-proxy to jak najbardziej włącz DNSSEC.

Połączony z 18 June 2015 18:53:49:

Cytat

qrs napisał(a):

my tu o DNSCRYPT a tymczasem TOR nie działa Smile


Tak ale on i tak jest taki ułomny i niezbyt często aktualizowany tak jak torbrowser. Lepiej jak napisał #11129 użyć VPN do Chin czy Rosji i przez niego w tunelu puścić Torbrowsera już bez stawiania nawet maszyny wirtualnej i whonixa. Z niepokojem patrzę na to co się dzieje, jak media cenzurują i wchodzą w tyłek władzy. Za chwilę będzie masowa cenzura internetu. Zaczną od DNS właśnie. To jest mniej kosztowne obliczeniowo niż regułki na routerach brzegowych.

Byłem w Dubaju i tam nawet nie wejdziesz na stronę skype.com !!! Dostajesz captive portal od władz, że strona wykluczona dla doba obywateli ale sam skype działa. Utrudniają założenie kont. Przez to cały Dubaj używa VPN-ów do przeglądania internetu, dosłownie każdy ma gdzieś wykupiony VPN. Czy to znaczy, że wszyscy mieszkańcy Dubaju są przestępcami ? NIE! To autorytarna władza.


Edytowany przez qwerty321 dnia 18-06-2015 18:54
 
qrs
ustawiłem

i.imgur.com/m6RrOEt.jpg

skąd pewność że to działa tzn jak to zweryfikować?

Logi pokazują niby że

Cytat

Jun 18 04:16:57 RT-* daemon.notice miniupnpd[1479]: version 1.9 started
Jun 18 04:16:57 RT-* daemon.notice miniupnpd[1479]: HTTP listening on port 36901
Jun 18 04:16:57 RT-* daemon.notice miniupnpd[1479]: Listening for NAT-PMP/PCP traffic on port 5351
Jun 18 18:59:35 RT-* daemon.notice dnscrypt-proxy[11093]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:35 RT-* daemon.notice dnscrypt-proxy[11095]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:35 RT-* daemon.notice dnscrypt-proxy[11093]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
Jun 18 18:59:35 RT-* daemon.notice miniupnpd[1479]: shutting down MiniUPnPd
Jun 18 18:59:53 RT-* daemon.notice dnscrypt-proxy[11349]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:53 RT-* daemon.notice dnscrypt-proxy[11351]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:53 RT-* daemon.notice dnscrypt-proxy[11349]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
Jun 18 18:59:54 RT-* daemon.notice dnscrypt-proxy[11490]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:54 RT-* daemon.notice dnscrypt-proxy[11492]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:54 RT-* daemon.notice dnscrypt-proxy[11490]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
Jun 18 18:59:55 RT-* daemon.notice dnscrypt-proxy[11528]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:55 RT-* daemon.notice dnscrypt-proxy[11530]: Starting dnscrypt-proxy 1.4.1
Jun 18 18:59:55 RT-* daemon.notice dnscrypt-proxy[11528]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
Jun 18 19:00:00 RT-* daemon.notice miniupnpd[11869]: version 1.9 started
Jun 18 19:00:00 RT-* daemon.notice miniupnpd[11869]: HTTP listening on port 53536
Jun 18 19:00:00 RT-* daemon.notice miniupnpd[11869]: Listening for NAT-PMP/PCP traffic on port 5351


---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
b3rok

Cytat

qrs napisał(a):

mam aktywną usługę OpenDNS - czy to jest tożsame z aktywną funkcją DNSCRYPT?


Nie wiem czy to wystarczający test:
oficjalna strona https://support.opendns.com/entries/2...iguration-


Edytowany przez b3rok dnia 18-06-2015 19:27
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
qrs
jest OK Grin

i.imgur.com/fdb2Ftb.jpg


---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
b3rok
Szybki jesteś Pfft, edytowałem mojego posta (teraz ma trochę inny wydźwięk). Bo widzę, że opis z linku, który podałem jest o poprawnej konfiguracji OpneDNS a nie samego DNSCrypta.


I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
qrs
ale ten test pokazuje że działa OpenDNS a nie że aktywne jest szyfrowanie via dnscrypt-proxy+DNSSEC


---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
b3rok

Cytat

qrs napisał(a):

ale ten test pokazuje że działa OpenDNS a nie że aktywne jest szyfrowanie via dnscrypt-proxy+DNSSEC


No własnie... Znalazłem taki opis (nie wiem jak z angielskim stoisz - w razie co mogę przetłumaczyć).

Cytat

You go to OpenDNS Welcome page and you should see something like "Welcome to OpenDNS! Your Internet is safer, faster, and smarter because you're using OpenDNS." This means you're using OpenDNS as your DNS provider and if you haven't configured OpenDNS without dnscrypt your DNS requests should be encrypted.

Another way would be to snoop the DNS traffic using wireshark, tcpdump, etc and see if it's indeed encrypted but that's more convoluted and requires some in-depth knowledge.


DNSSEC to już inna sprawa niż DNScrypt. Ja niestety poległem na konfiguracji.

Cytat

https://www.opendns.com/about/innovations/dnscrypt/

Cytat

hat about DNSSEC? Does this eliminate the need for DNSCrypt?
No. DNSCrypt and DNSSEC are complementary. DNSSEC does a number of things. First, it provides authentication. (Is the DNS record IR17;m getting a response for coming from the owner of the domain name IR17;m asking about or has it been tampered with?) Second, DNSSEC provides a chain of trust to help establish confidence that the answers youR17;re getting are verifiable. But unfortunately, DNSSEC doesnR17;t actually provide encryption for DNS records, even those signed by DNSSEC. Even if everyone in the world used DNSSEC, the need to encrypt all DNS traffic would not go away. Moreover, DNSSEC today represents a near-zero percentage of overall domain names and an increasingly smaller percentage of DNS records each day as the Internet grows.
That said, DNSSEC and DNSCrypt can work perfectly together. They arenR17;t conflicting in any way. Think of DNSCrypt as a wrapper around all DNS traffic and DNSSEC as a way of signing and providing validation for a subset of those records. There are benefits to DNSSEC that DNSCrypt isnR17;t trying to address. In fact, we hope DNSSEC adoption grows so that people can have more confidence in the entire DNS infrastructure, not just the link between our customers and OpenDNS.


Edytowany przez b3rok dnia 18-06-2015 19:43
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
 
qrs
kluczowe jest

Cytat

if you haven't configured OpenDNS without dnscrypt your DNS requests should be encrypted.


chyba jest OK

Cytat

daemon.notice dnscrypt-proxy[11528]: Proxying from 127.0.0.1:40 to 208.67.220.220:53
daemon.info dnsmasq[11508]: read /etc/hosts - 14 addresses
daemon.info dnsmasq[11508]: read /etc/dnsmasq/hosts/hosts - 14 addresses
daemon.info dnsmasq-dhcp[11508]: read /etc/dnsmasq/dhcp/dhcp-hosts


Edytowany przez qrs dnia 18-06-2015 19:51
---
Netgear R7000Netgear WNR3500L v2MikroTik hAP ac^2TP-LINK M7650
 
qwerty321

Cytat



ustawiłem
..
skąd pewność że to działa tzn jak to zweryfikować?


Po pierwsze Static DNS wywal. Wpisz tam 0.0.0.0 we wszystkie pola. Nie używaj już zadnych statycznych DNS.

Sprawdź tak.
Wejdź w QOS view details albo lepiej z optware zainstaluj iptraf i posnifuj ruch. Tylko odłącz wszystko od netu i pozamykaj programy żeby było kilka połączeń, bo nie znajdziesz.

 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 105

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,680,132 unikalnych wizyt