Двач.hk не отвечает.
Вы видите копию треда, сохраненную 21 ноября в 16:07.

Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее

Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
112233.jpg734 Кб, 2519x1317
Шифруем DNS всем двачём Windows 10: Chromium based 3546703 В конец треда | Веб
Пытался сделать dns + doh, по гайду: https://b14esh.com/nix/nix-info/dnsmasq-dns-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-stubby-dot.html < тут используется dnsmasq+stubby
Как можно видеть на пикрил, это не работает.
Смотрите на консоль с dnstop openwrt, она продолжает детектить запросы через dig.
---
Реквестирую как фиксонуть / куда посмотреть.
Или рабочий надёжный метод шифрования dns запросов.
p.s.: нужен именно standalone dns.
Windows 10: Chromium based 2 3546863
Бамп
Linux: Firefox based 3 3547122
А чем не устраивает гугол?
Linux: Firefox based 4 3547124
погоди... или ты не сервер поднимаешь ,а клиент хочешь настроить?
Так в качестве клиента есть dnscrypt-proxy. Юзаю много лет уже. Некоторые настройки там надо поменять с дефолта, но один раз настроил и забыл.

https://github.com/DNSCrypt/dnscrypt-proxy
Там же мануал, как настроить. на одну минуту делов. И на винде, и на дебиане работает и где хочешь.
Android: Mobile Safari 5 3547128
>>46703 (OP)
Я тебе советую не ебать мозг хуйней и поставить в докере adguard home https://github.com/AdguardTeam/AdGuardHome либо пайхол https://github.com/AdguardTeam/AdGuardHome
Там doh и dot настраивается элементарно, плюс могут в балансировку резолверов.

Если у тебя openwrt или pfsense в качестве роутера, там есть плагины dnscrypt где тоже все элементарно настраивается без пердолинга.
Android: Mobile Safari 6 3547129
Linux: Firefox based 7 3547131
Мож кому надо.
В конфиге вот так надо сделать.

server_names = ['google_doh']
listen_addresses = ['127.0.0.1:53', '[::1]:53']
http3 = false (хотя можно попробовать, но я боюсь, что у некоторых провайдером может тспу тригерить на это. Но зато должно снижать задержки).
timeout = 1500
blocked_query_response = 'refused'
lb_strategy = 'first'
lb_estimator = false
bootstrap_resolvers = ['8.20.247.20:53', '1.1.1.1:53']
ignore_system_dns = true
netprobe_timeout = 0 (это очень важно. сейчас емнип подефолту ноль, но раньше точно был счетчик и это вызывало проблемы на ppoe или еслипри загрузке сразу нет интернета - демон шел спать и ьольше не просыпался тогда).
netprobe_address = '8.20.247.20:53'
block_ipv6 = true (если у вас работает ipv6 стек, то false)
block_unqualified = true
cloaking_rules = 'cloaking-rules.txt' (в этот текстовик добавьте адрес роутера и его домен, чтобы он открывался по домену, если он у вас есть в роутере)
В [sources] всё закоментить.

[static.'google_doh']
stamp = 'sdns://AgUAAAAAAAAABzguOC44LjigHvYkz_9ea9O63fP92_3qVlRn43cpncfuZnUWbzAMwbmgdoAkR6AZkxo_AEMExT_cbBssN43Evo9zs5_ZyWnftEUgalBisNF41VbxY7E7Gw8ZQ10CWIKRzHVYnf7m6xHI1cMKZG5zLmdvb2dsZQovZG5zLXF1ZXJ5'

Только не надо делать извращенство со скринщшота.
Это они так упростили, чтобы по каждый дистр инструкцию не писать. Потому что резолвконф файл может правиться разными службами на разных дистрах. Можно просто в гуе поменять днс из dhcp на локалхост. Чтобы служба не срала ошибками.
Windows 10: Chromium based 8 3547213
>>47124
>>47128
>>47131
Да, я короче изучил тему. Нет смысла шифровать dns запросы, ip адреса всё равно видны провайдеру. Так что расходимся.
Android: Mobile Safari 9 3547262
>>47213
Хуйню же несешь. Во-первых от айпи адресов толку мало, на одном айпи может быть несколько ресурсов, вплоть до тысяч, гугли, что такое cdn по типу cloudflare. Во-вторых, и это более важно, учитывая где мы живем, это защита от перехвата и подмены dns запросов провайдером. Некоторые провайдеры уже занимаются такой хуйней, серят в открытый dns по заблоченным ркн ресурсам. В целом приватности в чебурнете много не бывает.
Linux: Firefox based 10 3547385
>>47213

>ip адреса всё равно видны провайдеру


Ебать ты гений нахуй. Если ты без проксей подключаешься к сайтам, провайдер увидит эти IP. Это же блядь очевидно.

Тебе че надо? Скрыть от провайдера, куда ты ходишь? Ну тогда на весь трафик поднимай проксю и в неё же заверни днс, желательно по http/3.

днс шифруют, когда надо, чтобы прямые запросы мимо прокси работали без шаманства со стороны провайдера.
Сейчас это актуально с приходом ECH стало. Потому что можно зайти на рутрекер без проксей, т.к. SNI не видет ТСПУ. И можно отрезолвить рутрекер так же без проксей по DOH, чтобы не попасть в заглушку. Если резолвишь без DOH, тебе провайдер сломает днс и отправит в заглушку.

Алсо, если ты из тех, кто верит, что под впн он аноним, то ты дебил. Есть еще много способов легко палить тебя. при этом на хроме два эффективных метода слива данных вообще не закрыть никак. это лиса нужна. А т.к. лисой пользуются мало, то ты становишься заметнее на общем фоне уже этим фактом ,что ты ее юзаешь.

если нужна анонимность, нужно предпринимать огромное количество мер на всех векторах сбора данных. никто это не сможет юзать на постоянку, если он не ебнутый аутист.
Linux: Firefox based 11 3557686
>>47131
похоже тут сидят вертухаи. Потому что теперь 8888 у меня заблочен наглухо. одни таймауты сплошняком. но заблочено как-то через жопу и хитро. udh на 2-3 попытку проходит, только время ответа 300мс. doh никак никогда не проходит. через curl как будто ок.

ну и пиздорасы, рака яиц вам, чтоб вы сдохли и ваши дети и матери тоже.
Android: Mobile Safari 12 3557757
>>47385

>Сейчас это актуально с приходом ECH стало


Его же режут? Или только на клаудфларе?
Linux: Firefox based 13 3557838
>>57757
теперь да. я писал до того, как начали резать.
но и в браузерах тоже апдейты пришли.

Теперь:
Firefox на Linux:
Юзает ECH даже с обычным udp DNS от провайдера
Firefox на Android:
Пока что не использует ECH, если на уровне OS нет поддержки DOH3. Поддержку DOH3 начали завозить 11-12 ведра, но соответствующий флаг подефолту включили только в 13 или 14 ведре. Там DOH3 захардкоржен, а DOT уже не работает.

Хром на linux:
Юзает ECH даже с обычным udp DNS от провайдера.
И отключить ECH сложнее ,чем в лисе. надо реестр пердолить или политики загружать.
У хрома на android:
Если внутри браузера не вклчючен DOH, то и ECH не будет работать. Если включен, то будет. Хрому поддержка DOH3 на уровне ОС не нужна на ведре. Но если врубить дох3 на ведре, хром не будет включать ECH. Нужно именно внутри брауезра вруибить шифрованный днс для включения ECH.
Linux: Firefox based 14 3557841
А знаете, что самое дерьмовое? Штопаные гшандоны из роскомговна и пынявые пидорсы хуже меня понимают, как и на что повляяют их ебучие блокировки. как же хочется вешать.
Linux: Firefox based 15 3557846
>>57757

> Или только на клаудфларе


ну и да, только на ней. конкретно еЁ заглушку sni - cloudflare-ech.com

но кроме CF ECH нигде и нет сейчас.
Обновить тред
Двач.hk не отвечает.
Вы видите копию треда, сохраненную 21 ноября в 16:07.

Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее

Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
« /s/В начало тредаВеб-версияНастройки
/a//b//mu//s//vg/Все доски