Блокировки от домру

dns over tls настрой.

возьми pritunl. он легко поднимается. это конструктор на базе openvpn

опенвпн тоже несложно. парой команд.

спасибо, уже ковыряю.

аа, пров походу свой днс юзает...надо попробовать днс гугля прописать
https://toster.ru/q/561368

надо попробовать днс гугля прописать

Dark_SavanT верно советует. У дом.сру скорее всего перехват есть. Можешь включить dnssec и офигеть, как проверки будут фейлиться.

так какое самое прямое решение?
пока на ум приходит навернуть свой днс-сервер на впс на нестандартном порту,
и потом на роутере настроить форвардинг/триггеринг портов с нестандартного на 53

аа, пров походу свой днс юзает...надо попробовать днс гугля прописать

А в чём проблема для прова подменить ответ от DNS гугля? dns over tls используй

Странно, что остались еще те провайдеры которые блокирует доступ по днс.

пока на ум приходит навернуть свой днс-сервер на впс на нестандартном порту,
и потом на роутере настроить форвардинг/триггеринг портов с нестандартного на 53

Не поможет, dns трафик не шифруется, Пров его подменит на свой.
Надо через зашифрованный канал пускать, и 53 порт блокировать.

Поднять dns на vps и прописать, чтобы роутер его раздавал по dhcp. Или чтобы форвардил все зарпосы на него, в зависимости от реализации dns там.

Странно, что остались еще те провайдеры которые блокирует доступ по днс.

В 99,9% это сработает, в чём проблема?

Поднять dns на vps и прописать, чтобы роутер его раздавал по dhcp. Или чтобы форвардил все зарпосы на него

Сам пробовал, перед тем, как такую чушь писать?

В 99,9% это сработает, в чём проблема?

В штрафах от ркн.

Поднять dns на vps и прописать, чтобы роутер его раздавал по dhcp.

а в этом случае почему провайдер не может перехватывать?

Но штраф приходит, если из сети провайдера на запрещённые ресурсы можно зайти, а раз подмена dns работает, то и штрафа провайдеру не будет.

почему провайдер не может перехватывать?

сможет.

В бывшем interzet, который теперь домру они просто шлют RST на любые запросы к запрещенным ресурсам. Раньше в качестве временного решения просто отрезал RST с помощью iptables.

Запрос не выходит за пределы твоего маршрутизатора в сеть провайдера, а идёт в openvpn-туннель.

прописал 8.8.8.8 для dhcp
пока что не помогает)

Но штраф приходит, если из сети провайдера на запрещённые ресурсы можно зайти, а раз подмена dns работает, то и штрафа провайдеру не будет

Не знаю как там за пределами мкад, но в Москве такое не работает.

в общем, накатил unbound с таким конфигом. пока что не прокатило.

server:
    # разрешаем подключения только с localhost-а
    access-control: 127.0.0.0/8 allow
    # слушать внешние интерфейсы смысла тоже нет.
    interface: 127.0.0.1
    # запись с ttl больше 14400 секунд в кеш записываем с ttl равным 14400
    cache-max-ttl: 14400
    # запись с ttl меньше 60 секунд записываем в кэш с ttl равным 60 секунду
    cache-min-ttl: 60
    # Скрываем то, что у нас unbound и его версию.
    hide-identity: yes
    hide-version: yes
    # если в них нет необходимости, то unbound убирает из своего ответа информацию о NS-серверах домена. Чуть увеличивает скорость и уменьшает трафик (если в unbound ходим по сети). 
    minimal-responses: yes
    # Эта опция включает обновление записей в кэше в фоне, ради неё мы всё и затеяли.
    prefetch: yes
    # снижаем количество информации, которую unbound отправляет на чужие NS в своих исходящих запросах. 
    qname-minimisation: yes
    # unbound будет отдавать записи одного типа (если их несколько, т.н. round-robin) в случайном порядке. 
    rrset-roundrobin: yes
    # приводит все ответы сервера (и записи в кэше) к нижнему регистру
    use-caps-for-id: yes
    # включает хождение наружу по tcp. Я пытался использовать её совместно с "do-udp no", но без форварда вместе они работать не будут. Но для примера пусть полежит.
    do-tcp: yes
    # включаем эту опцию, если собираемся форвардить dns через TLS (см. список серверов ниже)
    ssl-upstream: yes
forward-zone:
    name: "."
    forward-addr: 1.1.1.1@853 # CloudFlare
    forward-addr: 9.9.9.9@853 # quad9.net primary
    forward-addr: 149.112.112.112@853 # quad9.net secondary
    forward-addr: 145.100.185.15@853 # dnsovertls.sinodun.com US
    forward-addr: 145.100.185.16@853 # dnsovertls1.sinodun.com US
    forward-addr: 184.105.193.78@853 # tls-dns-u.odvr.dns-oarc.net US
    forward-addr: 185.49.141.37@853 # getdnsapi.net US
    forward-addr: 199.58.81.218@853 # dns.cmrg.net US
    forward-addr: 146.185.167.43@853 # securedns.eu Europe
    forward-addr: 89.233.43.71@853 # unicast.censurfridns.dk Europe

Гнать надо через контролируемый канал. Про openvpn подумал, что не написал выше. Если просто так гнать, то смысла никакого не будет.

подумал, что не написал выше.

Вот, пошли отмазки.

https://dnscrypt.info/

Плюсую.
Они подменяют днс-запросы, сам столкнулся.

Народ, вы о чем? Причем тут днс? Прокси резолвит имена у себя, к локальной машинке это не имеет отношения. На прокси приходит запрос вида http://pornolab.net

Попробуйте набрать https://pornolab.net/ а не http://

прокси

Но зачем, ведь есть ssh? А еще лучше shadowsocks, он быстрее. Для dns есть dnscrypt-proxy2, ну или через socks5 резолвить.

хм. работает)
самый защищённый браузер гугл хром получается, пробуется сначала подключиться по нешифрованному http))

спасибо, я лохъ(

http работает в 4 раза быстрее так-то (сам процесс подключения), если бы не это дерьмо с запретами, у нас в стране до сих пор бы был самый лучший и быстрый интернет в мире

Проблема не с запретами. mitm вы можете получить при голом http.

что они применяют, чтоб мне, через мой немецкий прокси в хецнере не были доступны эти сайты?

Либо хецнер блокирует их сам, либо твой прокси не прокси

У дом.сру скорее всего перехват есть. Можешь включить dnssec и офигеть, как проверки будут фейлиться.

Есть, подтверждаю!