Email or username:

Password:

Forgot your password?
MrClon's posts Post Back to profile
MrClon

Провайдерский DNS перестал резолвить некоторые (закроспомнадзореные) домены. Раньше провайдеры себе такого не позволял, можно было спокойно использовать его DNS и роутить через VPN только трафик для нужных забаненых сайтов.
Поднял собственный рекурсер, unbound. В отличии от bind, который пробовал до этого, в unbound очень понятный конфиг и я без каких-либо затруднений разобрался как настроить агрессивное кэширование (что важно когда сервером пользуется не много людей и кроме тебя кэши никто не прогреет).

С процессе настройки unbound выяснилось что изначально проблема была не в провайдерском DNS как таковом, а в том что провайдер блочит трафик до некоторых NS. Отправил трафик до них через VPN

22 Oct 2022 at 1:28 | Open on lor.sh
17 comments
:umu: :umu:
@MrClon я бы вообще провайдеру не давал бы повода смотреть в лог днс запросов. Поэтому через впн идёт трафик весь.
22 Oct 2022 at 7:50 | Open on expired.mentality.rip
MrClon

@a1ba дюже неэффективно. Даже если бы моя VPS выдавала те же полгигабита что мой домашний интернет, даже если бы весь канал между моим домом и VPS выдавал эти полгигабиты, неизбежная задержка заметно ухудшила бы связь (шутка-ли, крюк в пару тысяч километров).
Заворачивать через VPN весь DNS трафик тоже не хочется, некоторые NSы стараются выдавать ближайший к клиенту сервер, опираясь на то откуда пришёл DNS-запрос. Так что перенос резолвера на VPS опять-таки добавит крюк в несколько тысяч километров

22 Oct 2022 at 12:16 | Open on lor.sh
:umu: :umu:
@MrClon ну я привык к фиговой связи, поэтому километры до сервера не волнуют. Тем более я единственный его пользователь.
22 Oct 2022 at 12:55 | Open on expired.mentality.rip
Раджа

@MrClon А DoH не намутил, или у тебя не свой VDS?

22 Oct 2022 at 9:12 | Open on lor.sh
MrClon

@radjah DoH между чем и чем? Между домашним роутером и моим компом? Между VPN-сервером и домашним роутером? Между чем угодно и сервером корпорации чей бизнес — сбор информации о поведении пользователей?
DoH штука отчасти хорошая, но мне решительно не нравится как его используют сейчас, как способ исключить прослушку при обращении к одному из нескольких централизованных DNS серверов. Это подрывает децентрализацию интернета

22 Oct 2022 at 11:57 | Open on lor.sh
Раджа

@MrClon
Я на vps поднял, чтобы браузер какой-то независимый ответ получал, там же unbound поднял для самих запросов.
А то РТК в качестве аплинка у прова. Вдруг опять чего мутить начнут.

22 Oct 2022 at 15:10 | Open on lor.sh
MrClon

@radjah так а какой смысл шифровать DNS между VPS и своей сеткой, если трафик между ними и так идёт через шифрованный VPN? А без VPN или прокси какого-нибудь что толку от нефильтрованного DNS?

Шифровать DNS стоит между рекурсером и авторитативными NSами, но судя по успехам DNSSEC на нашем веку мы этого не увидим

22 Oct 2022 at 15:16 | Open on lor.sh
Раджа

@MrClon потому что сетке забугорного ДЦ я доверяю чуть больше.

22 Oct 2022 at 15:24 | Open on lor.sh
MrClon

@radjah так я не понял, у тебя рекурсер на VPS, и к этому рекурсеру ты обращаешься по DoH? Шифрованный канал до VPS есть?

22 Oct 2022 at 15:32 | Open on lor.sh
Раджа

@MrClon DoH-сервер и unbound на VPS. Запросы через https. Можно ещё по http сделать и запрашивать через WG или OpenVPN.

22 Oct 2022 at 15:43 | Open on lor.sh
MrClon

@radjah ну так если есть шифрованный канал до рекурсера, нафига ещё и DoH?

22 Oct 2022 at 15:48 | Open on lor.sh
Раджа

@MrClon чтобы без дополнительных обвязок работало просто по https.

22 Oct 2022 at 15:49 | Open on lor.sh
MrClon

@radjah так ведь и обычный старорежимный DNS без обвязок работает? Выдаёшь машинам в своей сетке приватный адрес VPS в качестве DNS и всё работает

22 Oct 2022 at 15:54 | Open on lor.sh
Taciturn

@MrClon Я давным-давно поставил github.com/DNSCrypt/dnscrypt-p и настроил на быстро работающие для меня сервера без блокировок (server_names = ['sth-dnscrypt-se', 'sth-doh-se', 'cs-dk', 'dns.sb', 'uncensoreddns-dk-ipv4', 'dnscrypt.pl', 'njalla-doh']).

22 Oct 2022 at 10:37 | Open on lor.sh
MrClon

@Taciturn мне не нравится идея отдавать лог своих DNS запросов какой-нибудь доброй корпорации которая совершенно бесплатно и бескорыстно предоставляет мне сеть DNS серверов

22 Oct 2022 at 11:45 | Open on lor.sh
[DATA EXPUNGED]
MrClon

@lemonid честно-честно не собираешь? На мизиньчиках клянёшься?

Если я всё-таки решу гонять DNS запросы через забугорный сервер (с использованием далёких серверов есть проблемы помимо высокого пинга) то я уж лучше подниму свой, на той же VPS где мой VPN-сервер работает

@Taciturn

22 Oct 2022 at 12:40 | Open on lor.sh
[DATA EXPUNGED]
MrClon

@lemonid нужна, нужна. А ещё остров в Тихом океане с укреплённой базой в жерле вулкана и армией взаимозаменяемых приспешников [злобно хохочет].
Но пока приходится работать с тем что есть: собственный рекурсер в сети провайдера который имеет понятный коммерческий интерес в работе со мной, не связанный со сбором данных обо мне.

Что до криптоанархистов, так нынче каждый цукербрин бьёт себя пяткой в грудь утверждая что единственная цель существования его компании, и него лично, это защита персональных данных пользователей. Чем крупнее сервис, тем меньшее ему веры. Чем меньше, тем менее он устойчив. Чем бегать между васянскими сервисами-однодневками, проще свой поднять

@Taciturn

@lemonid нужна, нужна. А ещё остров в Тихом океане с укреплённой базой в жерле вулкана и армией взаимозаменяемых приспешников [злобно хохочет].
Но пока приходится работать с тем что есть: собственный рекурсер в сети провайдера который имеет понятный коммерческий интерес в работе со мной, не связанный со сбором данных обо мне.

22 Oct 2022 at 15:44 | Open on lor.sh
Go Up