|
[MOD] Tomato by kille72
|
| LuCzeK |
Dodano 14-02-2018 18:23
|
User
Posty: 140
Dołączył: 30/01/2009 18:22
|
Temat rozleglej opisany na 50 stronie tego wątku. Problem opisany prez qwerty321 w poście #993 |
| |
|
|
| kille72 |
Dodano 14-02-2018 19:10
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Cytat LuCzeK napisał(a):
Temat rozleglej opisany na 50 stronie tego wątku. Problem opisany prez qwerty321 w poście #993
Ja tego problemu nie mam, @pedro tez nie, wiec trudno jest wyłapać co jest nie tak...
kille72 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| qwerty321 |
Dodano 14-02-2018 21:10
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Używanie DNSCRYPT z DNSSEC. Jeżeli host pozwala na DNSSEC i go włączymy to router po jakimś czasie zwiśnie.
Używam więc CISCO bez DNSSEC-a. Na Sołtysiaku mi zwisał router.
Prawdopodobnie dzieje się to gdy Sołtysiak idzie offline czy ma problemy z przepustowością. Następuje obciążenie procesora i zwis totalny. Może to nie wystąpić przez tydzień ale może i w godzinę.
Bez Sołtysiaka i DNSSEC nigdy nie zwisł. |
| |
|
|
| kille72 |
Dodano 14-02-2018 21:24
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Cytat qwerty321 napisał(a):
Używanie DNSCRYPT z DNSSEC. Jeżeli host pozwala na DNSSEC i go włączymy to router po jakimś czasie zwiśnie.
Używam więc CISCO bez DNSSEC-a. Na Sołtysiaku mi zwisał router.
Prawdopodobnie dzieje się to gdy Sołtysiak idzie offline czy ma problemy z przepustowością. Następuje obciążenie procesora i zwis totalny. Może to nie wystąpić przez tydzień ale może i w godzinę.
Bez Sołtysiaka i DNSSEC nigdy nie zwisł.
To testuj też inne host proszę, nie tylko Sołtysiaka... |
| |
|
|
| qwerty321 |
Dodano 14-02-2018 21:37
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Testowałem. DNSSEC to powoduje. |
| |
|
|
| jurasjo |
Dodano 14-02-2018 21:40
|
User
Posty: 45
Dołączył: 13/07/2012 20:29
|
Potwierdzam słowa @qwerty321.
W takim razie co polecicie z DNSSEC dla Polski(wiadomo chodzi o czas odpowiedzi)?
Asus RT-N18U
Tomato Firmware 2018.1.025 -beta-kille72 K26ARM USB AIO-64K-NOSMP
|
| |
|
|
| kille72 |
Dodano 14-02-2018 21:43
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
U mnie nie ma problemu z DNSSEC + dnscrypt.
kille72 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
|
| |
|
|
| qwerty321 |
Dodano 14-02-2018 21:54
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Ja mam kilka routerów i na każdym to było. W końcu się zawiesiły.
Pisałem o tym już dawno, tydzień z tym walczyłem i po wyłączeniu DNSSEC momentalnie się uspokoiło.
Czyli reasumująć DNSCRYPT działa poprawnie ale włączenie DNSSEC powoduje wysokie użycie procesora i wolny RAM spada do zera aż do zwisu. Nie zawsze się to dzieje ale w końcu się stanie.
Edytowany przez qwerty321 dnia 14-02-2018 22:02
|
| |
|
|
| jurasjo |
Dodano 14-02-2018 22:00
|
User
Posty: 45
Dołączył: 13/07/2012 20:29
|
Czyli chodzi o sołtysiaka?
Asus RT-N18U
Tomato Firmware 2018.1.025 -beta-kille72 K26ARM USB AIO-64K-NOSMP
|
| |
|
|
| qwerty321 |
Dodano 14-02-2018 22:03
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Ale co by miał do tego Sołtysiak? Musi być błąd w DNSCRYPCIE/DNSSECU. To jest normalne zjadanie RAMU aż się router zawiesi. |
| |
|
|
| kille72 |
Dodano 14-02-2018 22:43
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Skompiluję wam wersję testową, może zmiany w dnsmasq ze stycznia coś poprawiły. Jakie macie routery i jakie chcecie obrazy? |
| |
|
|
| tom1024 |
Dodano 15-02-2018 07:00
|
User
Posty: 76
Dołączył: 25/08/2014 12:13
|
RT-N18U
Mikrotik HAP AC3
Orange Światłowód 300
|
| |
|
|
| kpietrek |
Dodano 15-02-2018 07:52
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
Czy może mi ktoś wyjaśnić dość dokładnie do czego ta opcja DNSCRYPT z DNSSEC służy. I jak ją prawidłowo skonfigurować to też bym u siebie sprawdził.
Do tej pory z niej nie korzystałem.
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| LuCzeK |
Dodano 15-02-2018 10:02
|
User
Posty: 140
Dołączył: 30/01/2009 18:22
|
Świetny pomysł, opublikowanie najświeższej właściwej konfiguracji dla obrazu 2017.3 pomogło by użytkownikom poprawnie ustawić na ich ruterach.
Czy wystarczy ustawienie
Basic > Network
zaznaczenie DNSSEC oraz dnscrypto-proxy i wybranie resolvera?
Czy wymagane jest ustawienie również czegoś w
Advanced > DHCP/DNS ?
Można nawet pomyśleć o opublikowaniu takiej poprawnej konfiguracji wraz ze screenami w dziale "Tutoriale".
Na moim routerze skonfigurowałem posiłkując się wątkiem "OpenDNS + DNSSEC + dnscrypt-proxy" z 2015 roku, btw screeny zamieszczone przez qrs które były bardzo pomocne zdaje się że zostały usunięte z hostingu |
| |
|
|
| qrs |
Dodano 15-02-2018 13:41
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
Cytat LuCzeK napisał(a):
Na moim routerze skonfigurowałem posiłkując się wątkiem "OpenDNS + DNSSEC + dnscrypt-proxy" z 2015 roku, btw screeny zamieszczone przez qrs które były bardzo pomocne zdaje się że zostały usunięte z hostingu
fakt, pokuszę się o przygotowanie nowych w wolnej chwili.
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| qwerty321 |
Dodano 15-02-2018 17:52
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Cytat kpietrek napisał(a):
Czy może mi ktoś wyjaśnić dość dokładnie do czego ta opcja DNSCRYPT z DNSSEC służy.
Do tej pory z niej nie korzystałem.
Są dwa powody używania DNSCRYPT.
1. Ukrycie przed operatorami internetu jakie domeny wpisujesz w przeglądarkę. Czyli np pornhub, gejowskie, informacje o narkotykach, uzależnieniach, grach hazardowych, preferencjach politycznych, antysemickie, onr - to tylko przykłady itp. Tych informacji nie zobaczy ani nie zaloguje nikt po drodze do serwera niezależnego resolvera DNS. O ile oczywiście taki Sołtysiak Cię nie wyda. Dane te mogą kiedyś zostać użyte w procesach sądowych przeciw użytkownikowi lub zwyczajnie wyciec i nas latami kompromitować. Lepiej korzystać z obcych resolverów gdzie nie sięga jurysdykcja kraju użytkownika. DNSCRYPT służy ukryciu tego co wpisujesz w przeglądarkę, bo dalej i tak idzie po HTTPS więc też nie do końca wiadomo na jaką stronę wchodzisz i co tam przeglądasz. (Ucziwi nie mają nic do ukrycia jak to mówią...)
Ale poczytaj i to:
[url]
https://zaufanatrzeciastrona.pl/post/co-sie-dzieje-gdy-twoje-wpisy-na-fb-czytaja-sluzby-specjalne-oraz-zus/
[/url]
2. Ominięcie cenzury internetu opartej o zapytania DNS. W Polsce blokuje się wiele stron po domenach na zasadzie naszego Adblocka w Tomato. Ministrowie państw wpisują tam na listę wiele domen. W Polsce hazardowe i coś tam jeszcze ale są kraje, że znacznie więcej jest cenzurowanych. W Turcji Erdogan blokował po DNS media społecznościowe.
DNSSEC to tylko dodatek do DNSCRYPT proxy, który ma pewniej autoryzować dany resolver. Jest to ważne o tyle, że kraje mogą podkładać fejkowe resolvery. |
| |
|
|
| kpietrek |
Dodano 15-02-2018 18:04
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
Cytat qwerty321 napisał(a):
Cytat kpietrek napisał(a):
Czy może mi ktoś wyjaśnić dość dokładnie do czego ta opcja DNSCRYPT z DNSSEC służy.
Do tej pory z niej nie korzystałem.
Są dwa powody używania DNSCRYPT.
1. Ukrycie przed operatorami internetu jakie domeny wpisujesz w przeglądarkę. Czyli np pornhub, gejowskie, informacje o narkotykach, uzależnieniach, grach hazardowych, preferencjach politycznych, antysemickie, onr - to tylko przykłady itp. Tych informacji nie zobaczy ani nie zaloguje nikt po drodze do serwera niezależnego resolvera DNS. O ile oczywiście taki Sołtysiak Cię nie wyda. Dane te mogą kiedyś zostać użyte w procesach sądowych przeciw użytkownikowi lub zwyczajnie wyciec i nas latami kompromitować. Lepiej korzystać z obcych resolverów gdzie nie sięga jurysdykcja kraju użytkownika. DNSCRYPT służy ukryciu tego co wpisujesz w przeglądarkę, bo dalej i tak idzie po HTTPS więc też nie do końca wiadomo na jaką stronę wchodzisz i co tam przeglądasz. (Ucziwi nie mają nic do ukrycia jak to mówią...)
Ale poczytaj i to:
[url]
https://zaufanatrzeciastrona.pl/post/co-sie-dzieje-gdy-twoje-wpisy-na-fb-czytaja-sluzby-specjalne-oraz-zus/
[/url]
2. Ominięcie cenzury internetu opartej o zapytania DNS. W Polsce blokuje się wiele stron po domenach na zasadzie naszego Adblocka w Tomato. Ministrowie państw wpisują tam na listę wiele domen. W Polsce hazardowe i coś tam jeszcze ale są kraje, że znacznie więcej jest cenzurowanych. W Turcji Erdogan blokował po DNS media społecznościowe.
DNSSEC to tylko dodatek do DNSCRYPT proxy, który ma pewniej autoryzować dany resolver. Jest to ważne o tyle, że kraje mogą podkładać fejkowe resolvery.
Fajnie dziękuję za wyczerpującą informację.
A pokusi się ktoś o sprawdzoną i poprawnie działającą konfigurację??
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| pedro |
Dodano 15-02-2018 18:24
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
Ale co chcesz konfigurować? 
Ptaszkujesz "Use dnscrypt-proxy", proponuje również zaznaczyć "Ephemeral Keys", wybierasz resolver z listy i już.
Jeśli resolver nie żyje/jest w danej chwili down, to od razu będziesz wiedział, bo nie rozwiąże nazw i nigdzie się nie dostaniesz.
Jeśli chcesz jeszcze użyć DNSSEC, to pod napisem "Resolver" jest link, w którym najpierw sprawdzasz, który resolver go obsługuje, wybierasz obsługujący, itd, j/w.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| kille72 |
Dodano 15-02-2018 18:27
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Cytat pedro napisał(a):
Jeśli chcesz jeszcze użyć DNSSEC, to pod napisem "Resolver" jest link, w którym najpierw sprawdzasz, który resolver go obsługuje, wybierasz obsługujący, itd, j/w.
Własnie ten link został zmieniony i chyba nie działa w 2017.3, wydam Bete 2018.1.x to sprawdzicie na niej. |
| |
|
|
| qwerty321 |
Dodano 15-02-2018 18:49
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Cytat kille72 napisał(a):
Własnie ten link został zmieniony i chyba nie działa w 2017.3, wydam Bete 2018.1.x to sprawdzicie na niej.
Zaptaszkowanie tego powoduje właśnie wyciek pamięci i obciążenie procesora i zwis routera.
Aha i trzeba też zaznaczyć Intercept port 53. Czy to na pewno działa jak należy ? |
| |
|
' target='_blank'>Link
