DNSCrypt, OpenDNS и VPN

Уфф... И упарился же я его настраивать... Есть люди в теме? Кто-нибудь уже все настроил? :)
Истина где-то рядом...
У меня уже около года работает без проблем.
Уррааа! :)
Делаю аж по двум викам
- https://wiki.archlinux.org/index.php/DNSCrypt
- https://github.com/jedisct1/dnscrypt-proxy/wiki/Configuration
и не работает...

Пока что без никаких local DNS caching programs и systemd заморочек для запуска как сервис при старте системы хоть увидеть, как оно работает, можно как-нибудь? :)

Порядок действий:

1. Устанавливаем из репозитория арча.
2. Вносим в конфигурационный файл изменения, а именно определяем:

ResolverName dnscrypt.eu-nl
или
ResolverName dnscrypt.eu-dk
Вы какое, кстати, ResolverName используете?

LocalAddress 127.0.0.1:53

Далее... В первой вики написано еще внести изменения в resolv.conf. Но после этого невозможно открыть ни один сайт потом...
Во второй вики этого нет. Не надо уже?

3. Запускаем для проверки
sudo dnscrypt-proxy /etc/dnscrypt-proxy.conf
и получаем ошибки типа
[INFO] Refetching server certificates
[ERROR] Unable to retrieve server certificates
И на чек-сайтах видим утечку DNS, естественно.

И как с этим бороться?
Истина где-то рядом...
У меня система без системдэ, поэтому все по-другому настраивается, я думаю :)

Я пользуюсь этим скриптом, он пока что не работает с dnscrypt версии выше 1.9.1, так что у меня заблокировано обновление. Демон запускается командой

/usr/bin/dnscrypt-proxy --daemonize --local-address=127.0.0.1:53 --resolver-address=185.14.29.140 --provider-name=2.dnscrypt-cert.random2.d0wn.biz --provider-key=9112:338E:7D0B:5E78:B792:9BB6:1B75:4888:AC94:65B5:B86B:B5DE:CCF3:E5B9:15A5:DC54 --resolvers-list=/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv --user=root --ephemeral-keyss

В resolv.conf, соответственно, nameserver 127.0.0.1

На самом деле у меня чуть сложнее, потому что есть еще кеширующий pdnsd в серединке, но работает и без него :)
Системддд пока ни при чем. Спец службу и потом можно сделать. ) Видел этот скрипт. Жаль, что не последняя версия там. Будем копать... Спасибо за отклик... :)
Истина где-то рядом...
Ой, ну фсёёё... Я уже почти Штирлиц! ))
Проблема решилась заменой resolver на Российский. И теперь на https://2ip.ru/ у мну везде палец вверх, то бишь все зашифровано. )
Но теперь появился новый план работ и несколько вопросов. Я так понимаю, что использующим DNSCrypt OpenDNS уже без надобности или их можно как-то использовать вместе? И теперь сразу видны изъяны "браузерных VPN". Лесом и в топку. И что остается? OpenVPN? Или еще какие-нибудь варианты?
Истина где-то рядом...
Внимание всем партизанам!
Российский resolver нельзя использовать. Идет логирование ваших действий. Чтобы одновременно работал DNSCrypt и OpenDNS нужно выбирать опцию --resolver-name=cisco .

P.S.: cisco тоже пишет логи. Выход - только собственный DNS сервер где-нибудь в лесу... ))

P.P.S.: Если использовать cisco, почему-то идет утечка DNS. Если yandex, то нет. Уловка от логирования - отсылка эфемерных ключей с опцией --ephemeral-keys .
Истина где-то рядом...
Честно, я не поняла, чего вы хотите добиться :) DNSCrypt всего лишь шифрует и защищает от подмены днс-запросы, которые она пускает по своему, выбранному вами, ресолверу. Ведет ли этот ресолвер логи, написано в файле dnscrypt-resolvers.conf. Если у вас работает какое-то браузерное дополнение с vpn, или общесистемный vpn, то и днс-запросы скорее всего тоже идут через этот vpn... А OpenDNS это открытый большой днс-сервер. В общем, вы меня запутали :)
Ну, мы тут на нашей поляне по рации узнали, что даже если мы используем VPN, то без шифрования DNS-запросов мы все равно не в безопасности. )) Ладно уже с логами... Отсылка эфемерных ключей и коньяк поможет нам успокоится. ) Если же использовать при этом "браузерные VPN", то там задействуются еще и другие DNS-серверы, по которым будут идти незашифрованные DNS-запросы, и DNSCrypt не поможет. Поэтому нужен общесистемный VPN. Вы каким пользуетесь? ) А OpenDNS и DNSCrypt все же можно использовать вместе, если --resolver-name=cisco. Но сайты, где можно проверить "утечку DNS", определяют OpenDNS сервер. А если использовать --resolver-name=yandex, то проверка покажет, что DNS- сервер не определен. Хотя может и с OpenDNS утечки нет. DNS- сервер должен быть виден всем может быть? ) И это не говорит о том, что наши соединения с ним незашифрованы? В общем все как-то работает... )) Осталось решить вопрос с общесистемным VPN. :)
Истина где-то рядом...
Я vpn не пользуюсь, поэтому ничего не подскажу.

R.V.
OpenDNS и DNSCrypt все же можно использовать вместе, если --resolver-name=cisco. Но сайты, где можно проверить "утечку DNS", определяют OpenDNS сервер.

Cisco владеет OpenDNS, так что определение совершенно верное :) У OpenDNS есть всякие редиректы для рекламы, по которым и владелец сайта может определить, что вы пользуетесь именно OpenDNS. Но это не значит, что днс-запрос через dnscrypt не зашифрован :)
 
Зарегистрироваться или войдите чтобы оставить сообщение.