Блокировка DoH сервера dns.google

I don’t understand. The nslookup output shows a timeout of a plaintext UDP DNS query to 8.8.8.8, but you also say that names are resolving from 8.8.8.8 using the usual protocol without encryption. Are you saying that the blocking of plaintext UDP DNS to 8.8.8.8 was different at different times?

These nslookup requests were made yesterday. And there were timeouts. Probably Google DNS was blocked completely. Now there is no such problem, answers from 8.8.8.8:53 have been received. But at the same time Google DoH and DoT aren’t available, the connection drops. I think, the ‘TSPU’ was set up ‘properly’.

And now there are problems with Google DoH and DoT on MTS (Moscow) and MegaFon (Samara). These complaints appeared in telegram chats. They write the problems are the same - TCP RST.

О проблемах на МТС (Москва) и Мегафоне (Самара) написали в одном из телеграм-чатов. Со временем, думаю, это распространится на всех операторов с ТСПУ без исключения…

СПб, Skynet.
На роутере настроены DOH сервера. За сегодняшний вечер два раза падал DNS, роутер сыпал ошибками

Не уверен что проблема именно в блокировке dns, но смущает ошибка проверки сертификата

И так, Красноярск, Дом.Ру, теперь у меня отвалились https://1.1.1.1 и https://dns.google

Но обычные их варианты на 53 порту - работают отлично :thinking:

Так же проблем не наблюдается на местной йоте

23 posts were split to a new topic: Обсуждение из «Блокировка DoH сервера dns.google»

Проседания по ДНСам пошли https://globalcheck.net/en/monitoring/ru

СПб, Мегафон. Блокируется https://dns.google, https://1.1.1.1 и https://doh.opendns.com

@ValdikSS раньше возможности проверить блоки еще раз не было, зашел сюда только сейчас. Провел тесты на тех же своих операторах. Итого: дом.ру-все норм, но тут 100 процентов нет ТСПУ. Гораздо хуже с теле2. Лежат почти все популярные DoH: cloudflare, google, opendns. Кратко говоря, пипец начался…

Сразу такой вопрос: как будем обходить блоки doh? Для своей проги, которой dns нужна для нормальной работы, т.к. она http прокси, я придумал следующее: все запросы к doh выполняются с применением тактик обхода блокировок, плюс, если будут подменять обычные dns запросы (нужны хоть чтобы узнать адрес doh), надо дать возможность в настройках проги вручную прописать ip адрес doh сервера. Пока такой вариант мне кажется самым логичным. Может можно еще придумать что-то бессерверное?

Что интересно, dns.google.com у меня не блокируется, только dns.google

dns.google.com is not actually a DoH server, unlike dns.google. The change happened in 2019, I believe.

dns.google:

$ printf '\x12\x34\x01\x00\x00\x01\x00\x00\x00\x00\x00\x00\x03www\x07example\x03com\x00\x00\x01\x00\x01' \
  | curl -H 'Content-Type: application/dns-message' -H 'Accept: application/dns-message' --data-binary '@/dev/stdin' --silent https://dns.google/dns-query \
  | xxd
00000000: 1234 8180 0001 0001 0000 0000 0377 7777  .4...........www
00000010: 0765 7861 6d70 6c65 0363 6f6d 0000 0100  .example.com....
00000020: 01c0 0c00 0100 0100 0007 b100 045d b8d8  .............]..
00000030: 22                                       "

dns.google.com:

$ printf '\x12\x34\x01\x00\x00\x01\x00\x00\x00\x00\x00\x00\x03www\x07example\x03com\x00\x00\x01\x00\x01' \
  | curl -H 'Content-Type: application/dns-message' -H 'Accept: application/dns-message' --data-binary '@/dev/stdin' https://dns.google.com/dns-query
...
  <title>Error 404 (Not Found)!!1</title>

Теперь все снова работает. Домру, Красноярск

Это я проверил первым делом, на адреса, которых нет в реестре - отвечают за 50-60 мс, на заблокированные - за 4

Да, теперь все норм. Видимо, проводят финальные тесты. Если пару дней назад испытывали на отдельный операторах/регионах, то сегодня, так сказать, генеральная репетиция. Все же дата блокировки 9 сентября кажется наиболее вероятной

В Android-приложении Навального используется только “dns.google”, но не “dns.google.com”.

До 9 сентября по московскому времени осталось всего-то полчаса. Помониторим, что стрясется в ближайшие дни.

На Билайне и Мегафоне (Москва) действительно снова заработали DoH и DoT.

Вчера настроил себе https-dns-proxy и обнаружил, что Wifire (Мегафон), Мск режет ответы:

daemon.info https-dns-proxy[1805]: [E] 1631131264.033691 https_client.c:297 8719: Connecting and sending request to resolver was successful, but no response was sent back
daemon.info https-dns-proxy[1803]: [E] 1631131264.036730 https_client.c:297 8719: Connecting and sending request to resolver was successful, but no response was sent back
daemon.info https-dns-proxy[1805]: [E] 1631131535.083403 https_client.c:297 883F: Connecting and sending request to resolver was successful, but no response was sent back
daemon.info https-dns-proxy[1803]: [E] 1631131535.086497 https_client.c:297 883F: Connecting and sending request to resolver was successful, but no response was sent back
daemon.info https-dns-proxy[1805]: [E] 1631131610.244588 https_client.c:297 8AA7: Connecting and sending request to resolver was successful, but no response was sent back

А посмотрите, у кого есть МТС через их нативный IPv6, CF и Google DNS DoH/DoT работают?
А еще интересно работа WARP Cloudflare на телефоне, кто пользуется.

Работают.

Поднимается и нормально работает.

Подключение через точку доступа с NAT64 (МТС мобильный). Регион Москва.

Но еще недавно WARP не поднимался, кстати. Вроде неделю назад.