Тормоза DoH == только в РТ/Калуга или не только?

жду по 40+ секунд ответа. причем нашел несколько DoH .ru они не тормозят
вывод ИП убрал чтобы не захламлять

dog @https://cloudflare-dns.com/dns-query --https vk.com
Error [tls]: Удаленный хост принудительно разорвал существующее подключение. (os error 10054)

dog @https://common.dot.dns.yandex.net/dns-query --https --time vk.com
Error [network]: Указанные данные не могут быть расшифрованы. (os error -2146893008)
Ran in 42236ms

dog @https://dns.google/dns-query --https --time vk.com
Ran in 42379ms

dog @https://mozilla.cloudflare-dns.com/dns-query --https --time vk.com
Ran in 42371ms

dog @https://dns.nextdns.io/ --https --time vk.com
Ran in 42512ms

dog @1.1.1.1 --tls --time vk.com
Ran in 158ms

dog @8.8.8.8 --tls --time vk.com
Ran in 201ms

dog @https://dns.blaze-sk.ru/dns-query --https --time vk.com
Ran in 365ms

dog @https://tigrons.ru/dns-query --https --time vk.com
Ran in 476ms

а вот это не понял. с другими TLS вроде нет таких же тормозов как на DoH

# dog @comss.dns.controld.com --tls --time A AAAA vk.com
Ran in 42597ms

вообще ПП

# dog @https://dns.adguard-dns.com/dns-query --https --time A AAAA vk.com
Ran in 84795ms

Никогда не слышал о dog

dog is a command-line DNS client, like dig . It has colourful output, understands normal command-line argument syntax, supports the DNS-over-TLS and DNS-over-HTTPS protocols

-U, --udp                Use the DNS protocol over UDP
-T, --tcp                Use the DNS protocol over TCP
-S, --tls                Use the DNS-over-TLS protocol
-H, --https              Use the DNS-over-HTTPS protocol

dog @9.9.9.9 A AAAA --tls --time play.google.com
A play.google.com. 3m17s 172.217.18.14
AAAA play.google.com. 1m48s 2a00:1450:4001:80f::200e
Ran in 609ms

Если pppoe то поиграйся с mtu, самый конченный провайдер у которого pppoe
снижай mtu пока не начнётся нормально открываться.
У меня на одном из таких провайдеров стояло 1480, перестало половина сайтов открываться, пришлось ещё уменьшить, я в шоке от таких технологий в 21 веке ))
Наверно это их нано технология замедление нэта, уменьшить mtu, а фишка в том, что на половина оборудовании отключено у всех icmp и роутер даже если в нём включено mtu_probing, то он всё равно не может его вычислить на пути, поэтому идёт по пути умолчания которое в нём поставишь. У себя я в нём вообще заблокировал icmp пакеты, всё равно оно не работает, а для безопасности то что надо )
И вк не работал вообще, причём давно уже наверно, я в нём просто не сижу, но когда перестали поисковые системы открываться, то я понял что то не то, с час вк открывается быстро как и другие, кроме ютуба, ютуб ху*во на разных провайдерах работает в последнее время, проблему пока эту не решил

всё оказалось и проще и страньше

dog @comss.dns.controld.com --tls --time A AAAA vk.com
Ran in 649ms

dog @https://dns.adguard-dns.com/dns-query --https --time A AAAA vk.com
Ran in 553ms

doh (ЧАСТЬ) и некоторые dns-over-tls тормозили изза упавшего IPv6 у моего РТ/Калуга
отключил ресолв IPv6 и забегало как вчера/раньше без диких тормозов
это при том что dnscrypt-proxy AAAA ресолвит и через IPv4 свои сервера
может сам DOG по IPv6 ломится == я не настолько разбираюсь в RUST

dog @127.0.0.1 A AAAA --time dns.adguard-dns.com
A dns.adguard-dns.com. 40m00s 94.140.14.14
A dns.adguard-dns.com. 40m00s 94.140.15.15
HINFO dns.adguard-dns.com. 1d0h00m00s “AAAA queries have been locally blocked by dnscrypt-proxy” “Set block_ipv6 to false to disable that feature”

dog @127.0.0.1 A AAAA --time comss.dns.controld.com
A comss.dns.controld.com. 31m52s 76.76.2.22
HINFO comss.dns.controld.com. 1d0h00m00s “AAAA queries have been locally blocked by dnscrypt-proxy” “Set block_ipv6 to false to disable that feature”

да мне сам vk.com не особо надо
кроме МКУ "ЕДДС" Бабынинского района: Einträge | VK
но недавно нарвался что тотже dnscrypt-proxy чудил когда один из “инстансов” не отвечал на запросы vk.com “как надо”
похоже надо сваливать с dnscrypt-proxy
уже 2ой косяк и оба лично мне непонятных

Адгуард в моём регионе заблокировали ещё года 2 назад, но даже когда он работал, мне он не понравился, много сайтов он не открывал, я им дня три попользовался и понял что это шляпа, пришлось изучить все существующие днс дох и не просто изучить, а знать про них практически всё, кто такие, от куда, это тоже важно знать перед тем как подключится, если ведут логи, тогда до свидания, даже не рассматривается, самое сложное совместить 2 днс чтоб работали в паре, на тесты бывает месяц уходит, сразу не поймёшь, я тупо в браузере сделал папку и накидал туда кучу разных сайтов для проверки и периодически клацаю по ним, смотрю работают или нет, если нет, то ищу проблему, бывает ип надо поменять днса, так как пинг был 30, а стал 65, а отвечает первый с меньшим пингом и когда 2 днс, то тот резервный начинает работать первым и что то может не открыться или задержка или ещё что нить, я в роуторе прописал адреса, он не отправляет запрос какой ип у этого днс, а если как обычно у всех сделано, то так работает плохо, я вообще не знаю, как вы там ещё до сих пор так пользуютесь, для меня это такой каменный век ))
И я за то, чтоб быстрее заблокировали нэт, слишком долго они это тянут. Выключить этот ютуб раз и навсегда )) Почему ? потому что люди стали бестолковые, они уверовали в ютуб и подобное, они поверили что всё могут сделать самостоятельно, то есть этот бестолковый верит что он может сделать всё, это сильно бъёт по бизнесу, если сделают рунет, то у толковых людей будут стоять очереди и не важно кем он работает, ну а все остальные займутся своим прямым делом, чистой сараев, вот как оно тогда будет, специалисты снова станут в ходу и на них все будут молится, начиная от сантехника и до айтишника, я вижу вот такую вот картину что будет если сделают рунет, айтишник всё равно пропетляет, у него всегда всё будет нормально работать, ну а сантехник придёт к айтишнику со словами помоги, а тут как раз надо кран починить на кухне )))
Так что воспринимайте рунет это как подарок, не надо им конечно помогать, ну и препятствовать тоже, пусть делают своё дело и вы увидите как всё изменится в лучшую сторону для вас

нашел в конфиге forwarding

vk.com 9.9.9.9,1.1.1.1,77.88.8.8
vkontakte.ru 9.9.9.9,1.1.1.1,77.88.8.8

уж эти 2а домена мне не страшно мимо dnscrypt-proxy ресолвить

[2024-04-24 15:44:57] ::1 vk.com A FORWARD 91ms 9.9.9.9:53
[2024-04-24 15:44:57] ::1 vk.com AAAA FORWARD 92ms 9.9.9.9:53

Дядь…

No comments.

Билайн / Центр Калуги, везде, где домены не лежат всё работает

“нашел” еще один аналог

DNS-over-TLS:
dnslookup example.org tls://dns.adguard.com

DNS-over-TLS with IP:
dnslookup example.org tls://dns.adguard.com 94.140.14.14

DNS-over-HTTPS with HTTP/2:
dnslookup example.org https://dns.adguard.com/dns-query

прям вот сейчас СПб пров ПАКТ DoH наглухо глючит

ни один и вариков "безопасного dns " что в хроме есть нормально не работает - любые сайты либо не открываются никогда либо минуты спусты - на них картинки тоже по полчаса загружаются и т.п.

если “обычный” dns выбирать - нормально в том числе блоченные сайты работают с gbd

ну проверить как у меня IPv6 есть/нет. работает или нет.
запустить CMD.EXE в нем
curl -6 -v https://dns.google
curl -6 -v https://one.one.one.one
вместо гугла/1.1.1.1 прописать свои DoH

да тут сам пров чебурнетит по полной

во 1х в принципе все протоколы кроме ip4 выключил в свойствах сетевой (винда) так что ip6 не причём
во вторых мобилу если к томуже компу - там норм

ну и в 3х уже и “просто с dns” такая же срань началась - в инкогнито если открывать теже самые лаги с картинками и нэймингом

по факту только то что “из кэша” нормально и отрывается

не знаю на сколько терпения хватит и что этим уродам предъявлять если к ним звонять в саппорт

p.s. вот стоило их обматерить и вроде ожило. само. часа 3 продолжалось.

ну сейчас с ТОР сражаются на РТ к примеру. все IPv4 ноды недоступны
а про ДНС попробовать GitHub - instantsc/SimpleDnsCrypt: A simple management tool for dnscrypt-proxy
его пока не так часто блокируют

Запишите дамп трафика в pcap.

да уже отпустило, + видать в принципе пров дурковал с чебурнетом. при этом же пинг и скорость (когда и если тест прогружался) были норм