Email or username:

Password:

Forgot your password?
All posts MrClon's posts Post Back to profile
MrClon

Провайдерский DNS перестал резолвить некоторые (закроспомнадзореные) домены. Раньше провайдеры себе такого не позволял, можно было спокойно использовать его DNS и роутить через VPN только трафик для нужных забаненых сайтов.
Поднял собственный рекурсер, unbound. В отличии от bind, который пробовал до этого, в unbound очень понятный конфиг и я без каких-либо затруднений разобрался как настроить агрессивное кэширование (что важно когда сервером пользуется не много людей и кроме тебя кэши никто не прогреет).

С процессе настройки unbound выяснилось что изначально проблема была не в провайдерском DNS как таковом, а в том что провайдер блочит трафик до некоторых NS. Отправил трафик до них через VPN

22 Oct 2022 at 1:28 | Open on lor.sh
17 comments
:umu: :umu:
@MrClon я бы вообще провайдеру не давал бы повода смотреть в лог днс запросов. Поэтому через впн идёт трафик весь.
22 Oct 2022 at 7:50 | Reply | Open on expired.mentality.rip
  MrClon

@a1ba дюже неэффективно. Даже если бы моя VPS выдавала те же полгигабита что мой домашний интернет, даже если бы весь канал между моим домом и VPS выдавал эти полгигабиты, неизбежная задержка заметно ухудшила бы связь (шутка-ли, крюк в пару тысяч километров).
Заворачивать через VPN весь DNS трафик тоже не хочется, некоторые NSы стараются выдавать ближайший к клиенту сервер, опираясь на то откуда пришёл DNS-запрос. Так что перенос резолвера на VPS опять-таки добавит крюк в несколько тысяч километров

22 Oct 2022 at 12:16 | Reply | Open on lor.sh
  :umu: :umu:
@MrClon ну я привык к фиговой связи, поэтому километры до сервера не волнуют. Тем более я единственный его пользователь.
22 Oct 2022 at 12:55 | Reply | Open on expired.mentality.rip
Раджа

@MrClon А DoH не намутил, или у тебя не свой VDS?

22 Oct 2022 at 9:12 | Reply | Open on lor.sh
  MrClon

@radjah DoH между чем и чем? Между домашним роутером и моим компом? Между VPN-сервером и домашним роутером? Между чем угодно и сервером корпорации чей бизнес — сбор информации о поведении пользователей?
DoH штука отчасти хорошая, но мне решительно не нравится как его используют сейчас, как способ исключить прослушку при обращении к одному из нескольких централизованных DNS серверов. Это подрывает децентрализацию интернета

22 Oct 2022 at 11:57 | Reply | Open on lor.sh
  Раджа

@MrClon
Я на vps поднял, чтобы браузер какой-то независимый ответ получал, там же unbound поднял для самих запросов.
А то РТК в качестве аплинка у прова. Вдруг опять чего мутить начнут.

22 Oct 2022 at 15:10 | Reply | Open on lor.sh
  MrClon

@radjah так а какой смысл шифровать DNS между VPS и своей сеткой, если трафик между ними и так идёт через шифрованный VPN? А без VPN или прокси какого-нибудь что толку от нефильтрованного DNS?

Шифровать DNS стоит между рекурсером и авторитативными NSами, но судя по успехам DNSSEC на нашем веку мы этого не увидим

22 Oct 2022 at 15:16 | Reply | Open on lor.sh
  Раджа

@MrClon потому что сетке забугорного ДЦ я доверяю чуть больше.

22 Oct 2022 at 15:24 | Reply | Open on lor.sh
  MrClon

@radjah так я не понял, у тебя рекурсер на VPS, и к этому рекурсеру ты обращаешься по DoH? Шифрованный канал до VPS есть?

22 Oct 2022 at 15:32 | Reply | Open on lor.sh
  Раджа

@MrClon DoH-сервер и unbound на VPS. Запросы через https. Можно ещё по http сделать и запрашивать через WG или OpenVPN.

22 Oct 2022 at 15:43 | Reply | Open on lor.sh
  MrClon

@radjah ну так если есть шифрованный канал до рекурсера, нафига ещё и DoH?

22 Oct 2022 at 15:48 | Reply | Open on lor.sh
  Раджа

@MrClon чтобы без дополнительных обвязок работало просто по https.

22 Oct 2022 at 15:49 | Reply | Open on lor.sh
  MrClon

@radjah так ведь и обычный старорежимный DNS без обвязок работает? Выдаёшь машинам в своей сетке приватный адрес VPS в качестве DNS и всё работает

22 Oct 2022 at 15:54 | Reply | Open on lor.sh
Taciturn

@MrClon Я давным-давно поставил github.com/DNSCrypt/dnscrypt-p и настроил на быстро работающие для меня сервера без блокировок (server_names = ['sth-dnscrypt-se', 'sth-doh-se', 'cs-dk', 'dns.sb', 'uncensoreddns-dk-ipv4', 'dnscrypt.pl', 'njalla-doh']).

22 Oct 2022 at 10:37 | Reply | Open on lor.sh
  MrClon

@Taciturn мне не нравится идея отдавать лог своих DNS запросов какой-нибудь доброй корпорации которая совершенно бесплатно и бескорыстно предоставляет мне сеть DNS серверов

22 Oct 2022 at 11:45 | Reply | Open on lor.sh
  [DATA EXPUNGED]
  MrClon

@lemonid честно-честно не собираешь? На мизиньчиках клянёшься?

Если я всё-таки решу гонять DNS запросы через забугорный сервер (с использованием далёких серверов есть проблемы помимо высокого пинга) то я уж лучше подниму свой, на той же VPS где мой VPN-сервер работает

@Taciturn

22 Oct 2022 at 12:40 | Reply | Open on lor.sh
  [DATA EXPUNGED]
  MrClon

@lemonid нужна, нужна. А ещё остров в Тихом океане с укреплённой базой в жерле вулкана и армией взаимозаменяемых приспешников [злобно хохочет].
Но пока приходится работать с тем что есть: собственный рекурсер в сети провайдера который имеет понятный коммерческий интерес в работе со мной, не связанный со сбором данных обо мне.

Что до криптоанархистов, так нынче каждый цукербрин бьёт себя пяткой в грудь утверждая что единственная цель существования его компании, и него лично, это защита персональных данных пользователей. Чем крупнее сервис, тем меньшее ему веры. Чем меньше, тем менее он устойчив. Чем бегать между васянскими сервисами-однодневками, проще свой поднять

@Taciturn

@lemonid нужна, нужна. А ещё остров в Тихом океане с укреплённой базой в жерле вулкана и армией взаимозаменяемых приспешников [злобно хохочет].
Но пока приходится работать с тем что есть: собственный рекурсер в сети провайдера который имеет понятный коммерческий интерес в работе со мной, не связанный со сбором данных обо мне.

22 Oct 2022 at 15:44 | Reply | Open on lor.sh
Go Up