Входящие с 53 порта дропай, и исходящие на 53. Нужен днс в локалке.
Иначе никак.
Пров видит все dns запросы, и отвечает, даже если запросы не к провайдерскому dns.

dnscrypt поможет, найти провайдера поддерживающего emercoin/namecoin и прочее будет домашним заданием (в официальном списке рабочих нет по-моему, кроме того падают постоянно)

Давно уже пора все шифровать. DNSы, в том числе.

Читай руководство.

все шифровать

Расскажи, как зашифровать пакет запроса сертификата при установки https соединения?

я видел только чтобы через подмену днс серты подменяли, сейчас вроде гугл с мозилой собирались внедрять ужесточение на волне историй из китая, но Five Eyes вроде попросили поубавить пыл уже

Речь не про подмену сертификатов, а про факт отсутствия шифрования при их получении.
Новости про «https over что-то там» регулярно выходили в прошлом году. Вот только там необходимость поддержки этого всего со стороны сервера. Т.е. не взлетит, и будет работать на паре сайтов(как http/2 сейчас).

Cloudflare например отдаёт контент по http/2, очень хорошо работает. Я думаю нет смысла не использовать.

Да я не про то. Мой локалхост, тоже по http/2 умеет, и гугл умеет, но это не массовое явление. Вот и https over... не получится на любом сервере использовать

а зачем шифровать запрос сертификата? достаточно проверять сертификат, что он не от левого васи. и сейчас основные браузеры это делают. но всё равно TLS1.3 шифрует всё сразу после начала хэндшейка. даже домен, если SNI наличествует.

а зачем шифровать запрос сертификата

Чтобы провайдер не знал, что я хожу на ЛОР.

TLS1.3 шифрует всё сразу после начала хэндшейка

Сейчас открыто 4 сайта, TLS1.3 только на ЛОРе (возвращаемся к проблеме распространённости протокола).

ну, дальше будет больше поддержки. а остальное можно и через VPN, если ты так боишься утечки информации.

не помогает

дальше будет больше поддержки

Про https как таковой, тоже так говорили, а на практике на большинстве сайтов только http (сейчас набегут те, у которых интернет ограничен тремя социалочками, и будут говорить, что https есть везде).

остальное можно и через VPN

Так легче тогда всё через VPN.

не помогает

Первый ответ был исчерпывающий, по ОП вопросу.

А чем ограничен ты, раз у тебя по http весь интернет работает?

чот у меня 1.2 пишет. Точно 1.3 ?

раз у тебя по http весь интернет работает

Не весь (ЛОР например работает по https).

какой вопрос, такой ответ

УМВР.

Точно 1.3?

У меня написано 1.3.

чот у меня 1.2 пишет

Может в браузере отключено?

Значит мы живем в разных мирах т.к. у меня всего 2 ресурса без шифрования работают. И это не социалочки. Админы этих ресурсов не видят смысла в переходе на https упоротые.

Ничего не понимаю, в сафари реально 3 версия, в фаерфоксе 2, но при этом в конфиге указано security.tls.version.max = 4

Интересно..

Немного оффтоплю тут - в инфе про серт указано - версия 3.

Но при этом метод шифрования - TLS1.2

Путаю мягкое с тёплым?

На лоре версия 1.2,а вот какой-нибудь cloudflare использует 1.3.

у меня всего 2 ресурса без шифрования работают

У меня больше.

это не социалочки

Так я и написал, что там всё в порядке как правило с этим.

Админы этих ресурсов не видят смысла в переходе на https

Да, про это и пишу.

в инфе про серт указано - версия 3

То-же самое в инфе про серт. Метод шифрования от связки сервер-браузер зависит, а не от самого серта.

interface ISP no ip dhcp client name-servers
system configuration save

У кинетика есть отличный форум.

ну какбэ я социалочками как раз не пользуюсь и, пожалуй, могу назвать только пару сайтов без https. не знаю как там с социалочками, а остальные давно перешли.

на практике на большинстве сайтов только http

Перечисли такие сайты, которыми лично ты пользуешься, и у них нет аналогов, нет https.

У тебя проблемы с тем что ты пишешь.

сайты, которыми лично ты пользуешься

Зачем тебе список сайтов, которыми я пользуюсь?

Нет, http обычно можно через vpn направить. Но не направлять же через vpn всё.

Я не верю тебе, что ты используешь такие сайты. Приводи примеры.

Дело не в том, что «можно», а в том, что трафик должен быть защищен по дефолту. Хочешь голой жопой данными светить --, пожалуйста, но не говори, что другим нужно делать то же самое.

что трафик должен быть защищен по дефолту

Кому должен?
С утра вкладка поисковика висит, сейчас открыл 10 результатов с 1 страницы поисковой выдачи:
tls 1.3 на 2-х сайтах, один из них хабр(привет социалочкам).
http на 4 сайтах.
Статистика конечно так себе, но в целом ситуацию отражает.

Плохо быть тобой.

Мной быть самое то.
Да, искомая информация была по первой ссылке в выдаче, и сайт открылся по http.
Сейчас дописал в адрес https. Браузер пишет, что сертификат истёк прошлым летом, и выдан на другой домен.

жалко не на нашем языке.

system config-save
после ребута все возвращается в конфиг файле интерфейса вот такие значения вписаны остаются     ip dhcp client no dns-routes
    ip dhcp client no name-servers
вроде NO быть не должно там
и еше ipv6 name-server записывает как ip name-server
походу старый роутер шибко

посоветуйте какой роутер купить чтоб минимализм был и практичность безопастность.

чтоб минимализм был и практичность безопастность.

Нет такого.

В смысле не на нашем? Для меня родной язык - русский, на форуме тоже. Какая версия прошивки? Кинетик хорошо тем что даже для старых роутеров выпускает неофициальные прошивки до сих пор.

посоветуйте какой роутер купить чтоб минимализм был и практичность безопастность.

Безопасность зависит больше от настраивающего, а минимализм от подключённых фич. Прошивки многих роутеров модульные - можно хоть ip радио там поднимать. У кинетика есть свой репозиторий похожий на openwrt - называется entware, подключаете флэшку и можете ставить что хотите, даже компилировать не нужно.

Feb 5 12:52:37pppd[237]primary DNS address *ip dns провайдера* Feb 5 12:52:37pppd[237]secondary DNS address *ip dns провайдера*

Версия NDMS: v2.04(BFW.2)C7

на мой просто кеннетик последняя прошивка от 15 года https://help.keenetic.com/hc/ru/articles/213947749-Файлы-загрузки-для-Zyxel-K...

pppd

Я не знаю, что у тебя там, но для PPP вроде как может быть обязательным провайдерский DNS по объективным причинам. Собственно, что ты пытаешься сделать на самом деле? Если надо в домашней сети НЕ использовать эти NS, то это настраивается в параметрах сегмента.

Тут http://files.keenopt.ru/firmware/Keenetic/2016-05-21/ 16 года, но в целом первый кинетик уже действительно отжил свое. Но system configuration save должно работать по любому иначе бы изменения через веб интерфейс не сохранялись, может в первых версиях ndm синтаксис другой был.

спасибо за ссылку, буду эксперементировать

Анонимус кстати прав. Для PPP интерфейса команда будет другой:

interface PPTP0 ipcp no name-servers

Да, из оп-поста не совсем ясно, что было нужно ТС-у.

+ да именно так и заработало. читаю про прошивки с флешки:
Преимущества и недостатки keenopt: 1. их просто нет, как и самого keenopt (проект закрыт) ) ну надо попробовать