Acrylic DNS Proxy - теперь с DNS-over-HTTPS

[rustedowl]

Когда-то я уже писал, про то что отдельные питерские провайдеры травят записи DNS. В том числе путем перехвата и подмены незащищенных пакетов. Тогда я это решил при помощи DNSCrypt - но это решение, откровенно говоря, мне не особо нравилось. У виндового клиента есть неприятная особенность: если он сразу не подключился, то потом он подключится

Comments

[mnogo_hodovka]

Зачем вообще нужны DNS-over-HTTPS, DNS-over-TLS, dnscrypt-proxy? Ведь проще весь DNS-трафик пропускать через wireguard/OpenVPN. Намекаю на то, что раз уж wireguard / OpenVPN / иной способ обхода миллионов заблокированных IPv4/IPv6/хостнэймов/URL в России - вещь крайне необходимая, то не проще ли и DNS через тоннель до какого-нибудь Сингапура пропускать?

[rustedowl]

1. DNS-over-HTTPS, DNS-over-TLS, dnscrypt-proxy?
Чтобы не травили и не отслеживали DNS-трафик, вестимо.

2. Ведь проще весь DNS-трафик пропускать через wireguard/OpenVPN.
Для этого необходимо: владеть SSH, знать начала синтаксиса какого-нибудь популярного дистрибутива Linux, знать синтаксис конфигов OpenVPN или Wireguard (да, он у него простой, только есть подводные камни), немножко знать iptables для настройки маршрутизации.
Либо поставить Acrylic (и я убалтываю автора использовать там DoH по умолчанию, хотя бы и гугловский...), прописать DNS 127.0.0.1 и не париться, поскольку HTTPS тоже неплохо защищает трафик до конечной точки. Разный уровень вхождения.

[mnogo_hodovka]

Мой двоюродный брат раньше не использовал VPN. И неоднократно замечал, что как только он, будучи абонентом провайдера ABC, заходит на сайт провайдера XYZ (ну просто так, почитать тарифы), ему уже через минуту звонят на мобильный из провайдера ABC и спрашивают, как дела, как услуги, нравится ли качество услуг. И говорят, что "...мы всегда думаем о вас, каждый день, мы вас любим!" Но когда я ему посоветовал купить VPS за границей, помог настроить там wireguard и весь трафик из России (v4, v6) гонять через зарубежную VPS, звонки прекратились вообще.

А ведь благодаря пакету Яровой провайдеры активно собирают big data, анализируют, кто и на какие айпишники заходил и как часто заходит... В общем, мир в 2020 году таков, что любой человек, хоть в какой-то мере дорожающий своей приватностью, должен арендовать VPS в другой стране и через неё гонять весь трафик. Это хоть в какой-то мере спасёт от Большого Брата.

[tellepuz]

А как определить надёжность VPS? М.б. там на нем тов.полковник сидит....

[mnogo_hodovka]

Посмотрите на корпорацию, которая предоставляет услуги VPS. Если её владельцы и директор никогда не рождались на бывшей территории СССР, дата-центр находится вне бывшей территории СССР и при этом компания более-менее крупная, то вероятность того, что Коля и Дима Патрушевы не могут снимать ваш трафик tcpdump'ом, стремится к 100 %.

[rustedowl]

Во-первых, "пакет Яровой" пока что не реализован. Закупки оборудования первые прошли в декабре 2019, устанавливать его будут еще ощутимо долго. Анализ же "кто откуда-куда ходил" выполнялся на СОРМ-2 давным-давно, поскольку эти метаданные стоят копейки... и в век shared-хостингов почти бессмысленны, если провайдер не может заглянуть в ваш DNS. Поэкспериментируйте: пингуйте сайт, берите его IPшник, и попытайтесь зайти по этому IPшнику, а не DNS-имени. Ну вот для примера - http://89.108.87.87/ - куда я шел? Сколько еще сайтов за этим IPшником