Например чтобы избавится от DNS спуффинга провайдера.
Запросы сертификатов для https уже научился шифровать?
Причём тут сертификаты для HTTPS в софте кторый занимается обработкой DNS запросов? Открытый ключ для коммуникаций с вышестоящим сервером указывается явно при запуске или в конфиге.
Эта хрень на сервере должна быть настроена? По различным оценкам https используют 3-5% ресурсов. Пробовал включать HTTPS Everywhere, и похоже, так оно и есть.
Понял. Но DPI по HTTPS SNI позволяет только блокировать запросы (и ответы) DoH/DoT. Провайдер по крайнер мере не будет подменять пакеты.
Для этого разве недостаточно просто задействовать иной DNS чем DNS провайдера?
В отличии от DPI по HTTPS SNI обычные DNS запросы давно уже подделывают) Хоть в гугл запрос хоть в яндекс. В blockcheck есть ещё интересный метод проверки подмены DNS через Google DNS API - его ещё пока не научились подделывать.
Я за минимализм. У меня нет каких-то секретных данных. Блокировки РКН я обхожу двумя правилами iptables на обычном консьюмерском роутере - там всё равно линукс внутри. Начнут спуфить DNS - поставлю там же dnscrypt. Ну на всякий держу там запасной VPN и TOR поднятыми - но скорость страдает, а наша гос. машина очень инертна в плане технических решений даже если это касается цензуры. Подождём что дальше будет.
Капитан, перелогиньтесь. Если серьёзно, то да, DNS через VPN + локальный DNS резолвер является хорошим решением. Но гонять весь трафик через VPN очень накладно.
dnsmasq + stubby + DoT (серверы на выбор, дофига их). Но да, провайдеры задолбали лезть в днс-трафик, причем это касается не только РФ, но и всего мира - не видел еще сотового опсоса, который не лез бы в днс со своей говнорекламой в случае нерезолвящегося адреса.
Пинг ухудшает, да. И то не всегда. У меня например немецкий впн даже немного улучшал пинг до игровых серверов, которые тоже в германии находятся. Но в целом, если играешь, то на время игры впн придётся отключить скорее всего. А так, если скорость сетевого соединения на сервере впн лучше чем у тебя, то впн почти не даёт оверхеда по скорости передачи данных.
допустим, мне нужно иметь доступ к: - провайдерской внутрисети, где живет личный кабинет; - доменам внутрисети одного из vpn'ов; - onion-сайтам; это - типичная задача для dnsmasq на роутере.