LINUX.ORG.RU

Ответ на: комментарий от anonymous

А зачем?

Например чтобы избавится от DNS спуффинга провайдера.

Запросы сертификатов для https уже научился шифровать?

Причём тут сертификаты для HTTPS в софте кторый занимается обработкой DNS запросов? Открытый ключ для коммуникаций с вышестоящим сервером указывается явно при запуске или в конфиге.

Mike_RM ()
Ответ на: комментарий от Mike_RM

Например чтобы избавится от DNS спуффинга провайдера.

Для этого разве недостаточно просто задействовать иной DNS чем DNS провайдера?

eternal_sorrow ★★★★★ ()
Ответ на: комментарий от eternal_sorrow

Не, недостаточно. Провайдер видит нешифрованые запросы и можео прислать ответ раньше, чем 8.8.8.8 или любой другой.

anonymous ()
Ответ на: комментарий от eternal_sorrow

Эта хрень на сервере должна быть настроена?
По различным оценкам https используют 3-5% ресурсов.
Пробовал включать HTTPS Everywhere, и похоже, так оно и есть.

anonymous ()
Ответ на: комментарий от eternal_sorrow

Понял. Но DPI по HTTPS SNI позволяет только блокировать запросы (и ответы) DoH/DoT. Провайдер по крайнер мере не будет подменять пакеты.

Для этого разве недостаточно просто задействовать иной DNS чем DNS провайдера?

В отличии от DPI по HTTPS SNI обычные DNS запросы давно уже подделывают) Хоть в гугл запрос хоть в яндекс. В blockcheck есть ещё интересный метод проверки подмены DNS через Google DNS API - его ещё пока не научились подделывать.

Mike_RM ()
Ответ на: комментарий от eternal_sorrow

Я за минимализм. У меня нет каких-то секретных данных. Блокировки РКН я обхожу двумя правилами iptables на обычном консьюмерском роутере - там всё равно линукс внутри. Начнут спуфить DNS - поставлю там же dnscrypt. Ну на всякий держу там запасной VPN и TOR поднятыми - но скорость страдает, а наша гос. машина очень инертна в плане технических решений даже если это касается цензуры. Подождём что дальше будет.

Mike_RM ()
Ответ на: комментарий от eternal_sorrow

Капитан, перелогиньтесь.
Если серьёзно, то да, DNS через VPN + локальный DNS резолвер является хорошим решением. Но гонять весь трафик через VPN очень накладно.

anonymous ()

dnsmasq + stubby + DoT (серверы на выбор, дофига их).
Но да, провайдеры задолбали лезть в днс-трафик, причем это касается не только РФ, но и всего мира - не видел еще сотового опсоса, который не лез бы в днс со своей говнорекламой в случае нерезолвящегося адреса.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от anonymous

Пинг ухудшает, да. И то не всегда. У меня например немецкий впн даже немного улучшал пинг до игровых серверов, которые тоже в германии находятся. Но в целом, если играешь, то на время игры впн придётся отключить скорее всего. А так, если скорость сетевого соединения на сервере впн лучше чем у тебя, то впн почти не даёт оверхеда по скорости передачи данных.

eternal_sorrow ★★★★★ ()
Ответ на: комментарий от eternal_sorrow

dnsmasq заведует тем, что раскидывает разным резолверам разные домены и составляет ipset'ы для того, что нужно роутить через разные vpn'ы и tor

stubby предоставляет обычный резолвер на одном из лупбэков для того, чтобы dnsmasq мог использовать dns over tls

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

допустим, мне нужно иметь доступ к:
- провайдерской внутрисети, где живет личный кабинет;
- доменам внутрисети одного из vpn'ов;
- onion-сайтам;
это - типичная задача для dnsmasq на роутере.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

раскидывает разным резолверам разные домены

зачем?

составляет ipset'ы для того, что нужно роутить через разные vpn'ы и tor

не проще это делать через iptables и ip route/ip rule?

eternal_sorrow ★★★★★ ()
Ответ на: комментарий от eternal_sorrow

зачем?

ответил выше

не проще это делать через iptables и ip route/ip rule?

динамически это можно сделать только через ipset

pekmop1024 ★★★★★ ()

вопрос о том как это сделать в debian 9 : dnscrypt-proxy + настройка сети

вопрос о том как это сделать в debian 9 : dnscrypt-proxy + настройка сети

ustas1 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.