В браузере ведь есть настройка DNS Over HTTPS. + На уровне системы тоже задан DNS 1.1.1.1
Будет-ли какой-то смысл в использовании DNSCrypt?
Если провайдер не перехватывает обращения к сторонним DNS, то разница вряд ли будет заметна.
Домру перехватывает, других таких я не знаю
Влиять будет только на проги, в которых нет встроенной поддержки DoH
Как узнать, перехватывает или нет?
Даже если нет спуфинга от вашего ISP, то локальный DNS кэш уменьшит задержку перед отображением сайта (у меня, например, по статистике 60-70% запросов разрешаются из кэша). Ещё можно настроить политики фильтрации.
Вроде же кэш DNS и так существует в системе, или я что-то путаю?
Ну тот, который очищается на ipconfig /flushdns
В системном нет Serve Stale (на клаудфлере и гугле он включен, но на резолвере ISP зачастую администраторы забывают включить и тогда можно получить ошибку разрешения при достижении Query Rate Limit). Если в браузере настроен DoH, то системный не используется. В DoH долгий RTT.
В принципе на скорость загрузки сайтов не жалуюсь особо.
Лукапнуть парочку сайтов из запрещенки через 1.1.1.1
Если возвращается один и тот же адрес, значит есть перехват
Как это сделать?
Ещё удобно локальный резолвер использовать для различных политик выбора IPv4/IPv6:
Пример конфигурации GOST
services:
# SOCKS5 с предподчтением IPv4
- name: service-direct-4
addr: "[::1]:1080"
interface: "LAN"
resolver: resolver-local-4
handler:
type: socks5
metadata:
bind: true
notls: true
udp: true
udpBufferSize: 4096
listener:
type: tcp
# SOCKS5 с только IPv4
- name: service-direct-4-only
addr: "[::1]:1081"
interface: "LAN"
resolver: resolver-local-4-only
handler:
type: socks5
metadata:
bind: true
notls: true
udp: true
udpBufferSize: 4096
listener:
type: tcp
# SOCKS5 с предподчтением IPv6
- name: service-direct-6
addr: "[::1]:1082"
interface: "OpenVPN DCO"
resolver: resolver-local-6
handler:
type: socks5
metadata:
bind: true
notls: true
udp: true
udpBufferSize: 4096
listener:
type: tcp
# SOCKS5 с только IPv6
- name: service-direct-6-only
addr: "[::1]:1083"
interface: "Tunnel 4to6"
resolver: resolver-local-6-only
handler:
type: socks5
metadata:
bind: true
notls: true
udp: true
udpBufferSize: 4096
listener:
type: tcp
# DNS resolver
resolvers:
- name: resolver-local-4
nameservers:
- addr: "udp://[::1]:53"
ttl: -1
prefer: ipv4
- name: resolver-local-4-only
nameservers:
- addr: "udp://[::1]:53"
ttl: -1
only: ipv4
- name: resolver-local-6
nameservers:
- addr: "udp://[::1]:53"
ttl: -1
prefer: ipv6
- name: resolver-local-6-only
nameservers:
- addr: "udp://[::1]:53"
ttl: -1
only: ipv6
В браузерном расширении ZeroOmega можно настроить домены на разные прокси и получать необходимые эффекты.
Не включили у нас
У меня тоже нет, но получаю его на своих тунелях, варпе и проксях.
А при использовании VPN DNSCrypt это вообще безопасно? Я включал DNSCrypt в связке с VPN и проверял у себя ситуацию на Anonymity check
У меня писало что яко-бы утечка DNS.
В DNSCrypt ничего не переделывал перед этим, на стандартных настройках было.
Утечка не связана с тунелированием. В настройках ваших сетевых адаптеров нужно указать один локальный, все остальные убрать. Система использует все указанные резолверы параллельно. Можно даже 53 порт заблокировать в брандмауэре на всякий случай.
Указывал 127.0.0.1
Там у меня выдало какой-то один из DNS, которые эта программа автоматически загружает там с гитхаба откуда-то. Тоесть не мой DNS провайдера.
Но почему-то он был подписан как утечка.
Эти сервисы по проверке утечек подписывают всё как утечка по умолчанию кроме белого списка. На приписку можно забить.
А реальная утечка получается это только когда DNS провайдера выпадает, всё остальное не утечка?
Утечка то, что вы интерпретируете как утечку. Если там нет сетей вашего провайдера, значит скорее всего резолвятся имена не через вашего провайдера. Надёжнее будет посмотреть в снифер пакетов что у вас там бегает в открытую. Сайтов, которые ограничивают региональный доступ по утечке DNS я пока не встречал.
Да сайтов то понятно. А что по поводу провайдера? Он видит какие у меня DNS???
для меня утечка это когда я вижу русские флаги, а по умолчанию в насторйке dnscrypt они будут, те сервера нужно убрать. в том числе и клаудфлер
а вообще в последнее время я все чаще замечаю себя в прописывание любимых сайтов в хостс. в dnscrypt это можно через cloaking-rules