|
OpenDNS + DNSSEC + dnscrypt-proxy
|
| qrs |
Dodano 22-06-2015 21:25
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
Chciałbym poruszyć w osobnym wątku temat jak w tytule bo jest wart uwagi.
Moja obecna konfiguracja
Dynamic DNS aktywny (OpenDNS)
UPnP oraz NAT-PMP wyłączone
Podsumowanie połączenia (jestem za NAT-em)
 \
Generalnie działa, ale w logach widać mały error
Cytat Jan 1 01:00:09 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
Jan 1 01:00:10 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
Jan 1 01:00:13 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
Jan 1 01:00:15 | daemon.err apcupsd[850]: apcupsd FATAL ERROR in linux-usb.c at line 609 Cannot find UPS device -- For a link to detailed USB trouble shooting information, please see .
Jan 1 01:00:15 | daemon.err apcupsd[850]: apcupsd error shutdown completed
Jan 1 01:00:19 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
Jan 1 01:00:28 | daemon.err dnscrypt-proxy[1033]: No useable certificates found
mimo to chyba nie ma się czym przejmować 
Test ze strony: https://www.grc.com/dns/dns.htm
Być może ktoś ma "lepszą" konfigurację więc zachęcam do dzielenia się wiedzą 
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| b3rok |
Dodano 22-06-2015 22:01
|
Administrator
Posty: 620
Dołączył: 10/01/2008 18:40
|
Ale po co dynamic dns? (w kontekście Twojego tematu). Już dostałeś odpowiedź, że ta usługa służy do czegoś innego:
Tzn. przydatne, gdy mamy zmienne IP, a potrzebujemy mieć dostęp do routera czy serwerach/innych urządzeń wewnątrz sieci.
Zastanawia mnie opcja DNSSEC - tzn. czy wystarczy zaznaczyć ptaszek i po sprawie. Na google jest trochę opisów i konfig jest bardziej skomplikowany (między innymi zmiana serwera DNS z deafultowego w Tomato dnsmasq na unbound...
Edytowany przez b3rok dnia 22-06-2015 22:15
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
|
| |
|
|
| qrs |
Dodano 22-06-2015 22:14
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
od paru dni mam nowego operatora, wcześniej miałem to aktywne więc zastawiłem.
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| b3rok |
Dodano 22-06-2015 22:17
|
Administrator
Posty: 620
Dołączył: 10/01/2008 18:40
|
Fajnie przygotowałeś Twój konnfig ze screenami, tylko przydałby się opisy (dla mniej doświadczonych userów) co do czego służy. BTW zerknij na mój wcześniejszy wpis, bo go wyedytowałem (dopisałem).
I. Huawei HG8240 + 1x Netgear r7000 @FreshTomato + Synology DS1512+
II. TP-Link TL-WDR4300 @Obsy OpenWRT Gargoyle
III. TP-Link TL-WDR3600 @Obsy OpenWRT Gargyle
|
| |
|
|
| qrs |
Dodano 22-06-2015 22:29
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
nie mogę już edytować więc jakoś to spiszę, ale pewnie nie będzie już tak czytelne
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| kille72 |
Dodano 23-06-2015 07:09
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Resolver na najwyzszym obrazku masz miec ustawione na opendns a nie opendns-port53.
https://github.com/jedisct1/dnscrypt-...olvers.csv
Zobacz w tabelce DNSSEC validation dla opendns-port53:
opendns-port53 no
Mnie bardziej zastanawia to co napisalem z kolega @qwerty321:
Cytat kille72 napisał(a):
Ten test mowi ze uzywam 3 serwerow DNS: 1 OpenDNS + 2 od mojego prowidera. DNSSEC+dnscrypt-proxy aktywne...
Mnie też to zastanawia. Kiedyś zauważyłem, że przechwytywanie portu 53 do końca nie działa. Zgłaszałem to dawno temu. Jak ustawisz sobie inne DNS-y w komuterze, ręcznie je wpiszesz, to mimo przechwytywanie portu 53 router to przepuści. To jest błąd w routerze. Trzeba zapytać Shibbiego. Z tym lokalnym DNS jest wszystko fajnie jeżeli komputer korzysta z IP routera jako DNS. To jest bez sensu żeby router puszczał port 53 bokiem. |
| |
|
|
| qrs |
Dodano 23-06-2015 10:30
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
Cytat kille72 napisał(a):
Resolver na najwyzszym obrazku masz miec ustawione na opendns a nie opendns-port53.
ok dzięki, zmienię i zobaczę czy cokolwiek się zmieni
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| dnscryptpl |
Dodano 23-06-2015 17:15
|
User
Posty: 4
Dołączył: 23/06/2015 16:05
|
Jeśli używasz dnscrypt z OpenDNS to możesz sprawdzić czy Twoje zapytania są szyfrowane takoż.
Windows:
nslookup -type=txt debug.opendns.com
Linux (jeśli masz dig)
dig debug.opendns.com txt
W sekcji answer powinna być linijka:
debug.opendns.com. 0 IN TXT "dnscrypt enabled (7136666E76576A42)"
Jeśli używasz 3 różnych serwerów to tylko szyfrujesz i DNSSECujesz tylko część zapytań. Dlatego też ten test w sytuacji gdy masz 3 serwery, będzie działać "w kratkę".
Zdecydowanie powinieneś używać tylko dnscrypt-proxy gadającego z którymś z dostawców dnscrypt, który validuje DNSSEC.
Dobrze jest mieć dostawcę DNSSEC na porcie innym niż 53, bo wtedy możesz całkowicie zablokować nieszyfrowany DNS blokując port 53 na interfejsie WAN.
--
I run DNSCrypt Poland -- Free, Non-logged and Uncensored with DNSChain and Namecoin
Netgear WNDR3800 OpenWRT Chaos Calmer RC2 --> Inea DSL 100Mb/s
Linksys WRT54GL Tomato USB w/reduced buffer bloat -- |
| |
|
|
| qrs |
Dodano 23-06-2015 18:16
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
zmieniłem resolver z opendns-port53 na opendns
logi
Cytat Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11420]: Generating a new key pair
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11420]: Done
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11418]: Server certificate #1408841567 received
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11418]: This certificate looks valid
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11418]: Chosen certificate #1408841567 is valid from [2014-08-15] to [2015-08-15]
Jun 23 18:05:00 RT-* daemon.info dnscrypt-proxy[11418]: Server key fingerprint is 8201:**************************:CD63
Jun 23 18:05:00 RT-* daemon.notice dnscrypt-proxy[11418]: Proxying from 127.0.0.1:40 to 208.67.220.220:443
dig debug.opendns.com txt dla opendns-port53
Cytat
; <<>> DiG 9.9.5-3ubuntu0.2-Ubuntu <<>> debug.opendns.com txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9076
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com. IN TXT
;; ANSWER SECTION:
debug.opendns.com. 0 IN TXT "server 3.wrw"
debug.opendns.com. 0 IN TXT "flags 20 0 72 11504117020010110C3"
debug.opendns.com. 0 IN TXT "originid 30112641"
debug.opendns.com. 0 IN TXT "actype 2"
debug.opendns.com. 0 IN TXT "bundle 8288867"
debug.opendns.com. 0 IN TXT "source 192.*.*.*:33693"
debug.opendns.com. 0 IN TXT "dnscrypt enabled (31447764594D3387)"
;; Query time: 26 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Tue Jun 23 18:04:10 CEST 2015
;; MSG SIZE rcvd: 282
dig debug.opendns.com txt dla opendns
Cytat
; <<>> DiG 9.9.5-3ubuntu0.2-Ubuntu <<>> debug.opendns.com txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61010
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com. IN TXT
;; ANSWER SECTION:
debug.opendns.com. 0 IN TXT "server 1.wrw"
debug.opendns.com. 0 IN TXT "flags 20 0 72 11504117020010110C3"
debug.opendns.com. 0 IN TXT "originid 30112641"
debug.opendns.com. 0 IN TXT "actype 2"
debug.opendns.com. 0 IN TXT "bundle 8288867"
debug.opendns.com. 0 IN TXT "source 192.*.*.*:9075"
debug.opendns.com. 0 IN TXT "dnscrypt enabled (31447764594D3387)"
;; Query time: 24 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Tue Jun 23 18:08:40 CEST 2015
;; MSG SIZE rcvd: 281
w obu przypadkach dnscrypt enabled
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| kille72 |
Dodano 23-06-2015 18:42
|
Administrator
Posty: 2986
Dołączył: 12/02/2007 23:43
|
Cytat dnscryptpl napisał(a):
Jeśli używasz 3 różnych serwerów to tylko szyfrujesz i DNSSECujesz tylko część zapytań. Dlatego też ten test w sytuacji gdy masz 3 serwery, będzie działać "w kratkę".
Zdecydowanie powinieneś używać tylko dnscrypt-proxy gadającego z którymś z dostawców dnscrypt, który validuje DNSSEC.
Dobrze jest mieć dostawcę DNSSEC na porcie innym niż 53, bo wtedy możesz całkowicie zablokować nieszyfrowany DNS blokując port 53 na interfejsie WAN.
Nie rozumiem jak zmusic router do przechwytywania portu 53 zeby wszystko szlo przez dnscrypt-proxy opendns... |
| |
|
|
| hermes-80 |
Dodano 23-06-2015 18:53
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Cytat Dobrze jest mieć dostawcę DNSSEC na porcie innym niż 53, bo wtedy możesz całkowicie zablokować nieszyfrowany DNS blokując port 53 na interfejsie WAN.
iptables -I FORWARD -p udp --dport 53 -s 192.168.1.0/24 -j DROP
W Access Restriction też się da zablokować port 53 wszystkim userom w sieci.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| qrs |
Dodano 23-06-2015 19:52
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
mimo zmiany nadal lecę przez port 53
nie rozumiem, co w tym złego?
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| hermes-80 |
Dodano 23-06-2015 19:57
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
To że masz DNS-a ISP na WAN-ie to nic nie znaczy - sprawdź sobie połączenia w QoS w detalach.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| qrs |
Dodano 23-06-2015 20:09
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
w detalach QoS prawie pusto
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| dnscryptpl |
Dodano 23-06-2015 21:38
|
User
Posty: 4
Dołączył: 23/06/2015 16:05
|
Cytat kille72 napisał(a):
Cytat dnscryptpl napisał(a):
Jeśli używasz 3 różnych serwerów to tylko szyfrujesz i DNSSECujesz tylko część zapytań. Dlatego też ten test w sytuacji gdy masz 3 serwery, będzie działać "w kratkę".
Zdecydowanie powinieneś używać tylko dnscrypt-proxy gadającego z którymś z dostawców dnscrypt, który validuje DNSSEC.
Dobrze jest mieć dostawcę DNSSEC na porcie innym niż 53, bo wtedy możesz całkowicie zablokować nieszyfrowany DNS blokując port 53 na interfejsie WAN.
Nie rozumiem jak zmusic router do przechwytywania portu 53 zeby wszystko szlo przez dnscrypt-proxy opendns...
Jeśli ten firmware działa tak jak powinien to wystarczy, że klienci w sieci lokalnej będą używać routera jako serwera DNS i niczego innego:
Klient --> DNS na routerze --> dnscrypt-proxy na routerze --> Server DNSCrypt
Przechwytywanie DNSu ma sens wtedy gdy chcesz całkowicie zapobiec ruchowi DNS poza podaną wyżej ścieżką.
Może mieć sens, ale wolałbym nie przechwytywać ruchu, bo te regułki działają tylko ona UDP a DNS spokojnie po TCP działa, więc tak naprawdę nie zatykasz dziury dopóki nie zablokujesz całkowicie DNSu.
Jeśli ktoś chce zablokować DNS całkowicie to musi pamiętać, że DNSCrypt potrzebuje dobrego czasu na routerze więc (to pewnie jest ukryte) ruch DNS by rozwiązać serwer czasu musi iść normalnym DNSem. Tu jest dobry opis tego co jest pod spodem: http://wiki.openwrt.org/inbox/dnscrypt
--
I run DNSCrypt Poland -- Free, Non-logged and Uncensored with DNSChain and Namecoin
Netgear WNDR3800 OpenWRT Chaos Calmer RC2 --> Inea DSL 100Mb/s
Linksys WRT54GL Tomato USB w/reduced buffer bloat -- |
| |
|
|
| qrs |
Dodano 23-06-2015 22:10
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
nie długo dostanę pulę IPv6 od swojego dostawcy, czy powyższe będzie wtedy miało jeszcze sens?
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| dnscryptpl |
Dodano 24-06-2015 10:10
|
User
Posty: 4
Dołączył: 23/06/2015 16:05
|
Cytat qrs napisał(a):
nie długo dostanę pulę IPv6 od swojego dostawcy, czy powyższe będzie wtedy miało jeszcze sens?
Tak, będzie*. Z IPv6, tradycyjny DNS nadal jest nieszyfrowany, a ISP nie koniecznie robi walidację DNSSEC.
Z tego powodu wiele serwerów DNSCrypt jest dostępnych przez ipv6. Wtedy będziesz mieć state of the art: IPv6 + DNSSEC + DNSCrypt.
--
I run DNSCrypt Poland -- Free, Non-logged and Uncensored with DNSChain and Namecoin
Netgear WNDR3800 OpenWRT Chaos Calmer RC2 --> Inea DSL 100Mb/s
Linksys WRT54GL Tomato USB w/reduced buffer bloat -- |
| |
|
|
| qrs |
Dodano 10-11-2015 19:06
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
Ostatnio zmieniałem ustawienia i chyba wszystko ustawiłem poprawnie, otóż w zakładce Network mam
ale mam wątpliwości co do poniższych ekranów
oraz
a dokładnie do tego ustawienia
Czy dobrze wybrałem opcję wskazaną jako recommended?
Zapytanie dig debug.opendns.com txt zwraca:
Cytat
; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> debug.opendns.com txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29335
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com. IN TXT
;; ANSWER SECTION:
debug.opendns.com. 0 IN TXT "server 1.wrw"
debug.opendns.com. 0 IN TXT "flags 20 0 72 1950400002000330041"
debug.opendns.com. 0 IN TXT "originid 30342331"
debug.opendns.com. 0 IN TXT "actype 2"
debug.opendns.com. 0 IN TXT "bundle 7185867"
debug.opendns.com. 0 IN TXT "source 191.152.051.9:13349"
debug.opendns.com. 0 IN TXT "dnscrypt enabled (717333506545635A)"
;; Query time: 10 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Tue Nov 10 18:55:00 CET 2015
;; MSG SIZE rcvd: 282
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
' target='_blank'>Link
