OpenWRT и DoH / DoT

Вот и до меня докатилась эта чума в виде NXDomain-ответов на DNS-запросы "неправильных" A-записей. Чебурнет продолжает окукливание. То есть таки да, ростелек берет DNS-ы из НСДИ, откуда поудаляли всякие крамольные тытрупки, вацапы и иже с ними. Вариантов решения, как всегда, несколько.

• Не пользоваться DNS-серверами провайдера, ресолвить самому по корням.
• Прописать себе в качестве DNS-серверов "8.8.8.8" или что-нибудь аналогичное.
• Использовать DNS-сервер / ресолвер "по ту сторону чебурнета" через КВН.
• Поднять у себя DNS over TLS (DoT) или DNS over HTTPS (DoH).

Первое скорее всего будет работать не быстро, т.к. надо ходить и опрашивать несколько серверов пока доберешься до домена нужного уровня. По поводу второго, это только вопрос времени когда ТЬФУ начнет лезть вовнутрь UDP:53 и подменять его содержимое. Некстати, на некоторых московских провайдерах я с таким уже сталкивался. Третий подход ломает GeoIP / GeoDNS, я об этом в предыдущих постах уже упоминал. Так что остается последний вариант. Натравить его на тот же гугол, например. Конечно, его (гугол) со временем тоже могут замедлить / заблокировать, но при таком раскладе неработающий DNS окажется наименьшей из проблем.

По поводу выбора конкретной технологии: DoT или DoH. Они плюс-минус похоже, но DoH перспективнее. Во-первых, с точки зрения чебурнета DoH это всё-таки "честный" HTTP со всеми прилагающимися к нему SNI и прочими заголовками. То есть меньше вероятность что его загнобят впоследствии. Во-вторых, он умеет работать поверх QUIC, то бишь UDP, что будет пошустрее. Увы, в стабильном OpenWRT 24 такое пока что не поддерживается, об этом чуть дальше.

Разработчики OpenWRT, как всегда, великодушно позаботились о ленивых одминах, поэтому для настройки всего это добра достаточно проделать четыре шага.

1. Установить пакеты "https-dns-proxy", "luci-app-https-dns-proxy".
2. Перезапустить uhttpd.
3. Пойти в настройки пресловутого "https-dns-proxy", сказать чтобы тот не лез сам править конфиг DNSMasq-а, не делал DNS Hijacking и отключить CloudFlare (ненавижу его).
4. Подрихтовать конфиг DNSMasq-а, убрать лишние Forwarders, проверить что они не забираются по DHCP от провайдера автоматически.

Собственно всё, можно работать. Я в очередной раз подывился как быстро оказывается у меня могут открываться въеб-сайты.

Что касается жЫлеза. Сейчас из доступного есть известный Routerich от парней из Альметьевска. Известен тем, что с ним "из коробки" уже идут преднастроенными наиболее актуальные инструменты для выживания в чебурнете. И есть другой вариант подешевле от китайцев, но нужна именно ревизия 1.0. Более новые не годятся.

И я таки кажется понял почему под раздачу попал XMPP. Это протокол, по которому работает Whatsapp. Поэтому его сигнатуры попали в "замедление", равно как и сигнатуры MTProto. То есть даже внутри чебурнета оно замедляется / блокируется, и пофиг на какой номер порта его вешать. И вот за что мне нравится телега — она умеет работать с самым обычным Socks. А что касается этого гадского вацапа.

• Да, под него выпустили "типа собственный прокси", который на самом деле представляет собой самый обычный HAProxy в docker-обёртке. И он хочет проксировать сразу пачку портов. То есть чтобы забубенить в приложении поддержку socks или http proxy у разработчиков, видать, лапки.
• Эти сцуки не выкладывают в открытый доступ свои подсети. То есть если ты типа являешься представителем ОПСОСа и за тобой в РылоКниге закреплен куратор, то ты можешь попросить открыть у них доступ к специальной страничке / API, где они перечисляют все свои CIDR-ы. Ну да, ну да, пошел бы я на фиг.

Так что забанили его, и херъ бы с ним. Не жалко совершенно этих козлов. Ещё и ни в чём не повинный XMPP за собой утянули, говнюки.

И весёлая картинка для привлечения внимания.

Всем успехов в освоении OpenWRT.

ОколоITшный дыбр #135

... Я чё-то забыл прокукарекать. Ко мне жы ж наконец доехал из Китая мой Terrramaster D2-320. Всем моим требованиям он удовлетворяет: грамотная организации внутренней вентиляции, нешумный кулер с подстройкой оборотов в зависимости от нагрева, не тормозит шпиндель по неактивности, пропускает через себя SMART и ATA-команды наподобие standby. Так что в общем и целом я доволен. Мой мощный серверный 8-терабайтник под нагрузкой в виде торрентов рапортует о температуре 44 градуса, что я в принципе считаю допустимым. Без нагрузки / с легкой нагрузкой температура держится в районе 39 градусов. Побольше чем "на открытом воздухе" с внешним вентилятором, но вполне неплохо.

Единственное что несколько раздражает — это разъем USB type "C": пришлось покупать новый "полножильный" провод "type A — type C", все предыдущие коробки у меня были с USB type "B". И несколько "нестандартный" разъем питания 5,5x2,5: придется мне перепаивать мою "гирлянду" отводов от Meanwell-овского блока питания. Во всём остальном я доволен.

... Сбер смешной. Плакался-плакался в приложении, что ему нужно поддерживать актуальность данных о клиенте в соответствии с 115-ФЗ и просил подключить Госуслуги. Подключил, выдал разрешения. Но он всё равно не может / не хочет обновить адрес постоянной регистрации в учётке. Говорит, "приходи в отделение с паспортом". Ну да, ну-ну... красавцы, чо. Явно какая-то черепашка п...т.

... Оказывается, несколько лет тому назад у меня на раёне поселился профессиональный скульптор. И с тех пор он каждую зиму лепит в ближайшем лесопарке снеголедяные скульптуры на радость гуляющим. И что больше всего меня удивляет, так это то, что их никто не ломает / не разрушает. Стоят там уже несколько недель, хотя алканавтов, школоты и гопоты тут пруд пруди. Странно. Непонятно.

... В одном из телеграм-каналов пишут, что якобы в Ростелекоме собираются менять взад импортозамещенный псевдоотечественный почтовый сервис на Microsoft Exchange. Если это правда, то звучит довольно смешно.

... Вслед за mail.ru гайки закручивает и GMail. По мне так, что то, что другое сорта одного г...а. Куда валить? Я вижу два варианта: Яндекс с подпиской "360" за ~2400 рублей в год (на всяких пикабу дают скидочные промокоды) и TimeWeb, который дает 10 ГБайт места за 1000 рублей в год без ограничений на количество аккаунтов. Либо у них же за полторы тыщи в год 100 ГБайт места, но с тарификацией per-user. Усё, халява кончилась везде.

А один мой товарищ плотно подсел на GMail, выбрал там все свои 100 гигов дискового места и не знает что ему делать дальше. И докупить хрен докупишь, и того и гляди зобанят весь этот сервис в чебурнете, и куда / как всё это добро переносить, не очень понятно. Я бы конечно в такой ситуации архивы тупо на локальный комп сложил, но у него и компа-то своего нет...

... У Яндекса чё-т закончилась фантазия прямо как в анекдоте про креативного менеджера. То что раньше у них называлось "Алиса Про", теперь стало "Алиса Плюс". А "Алиса Про" теперь у них некая сущность в рамках сервиса "360", которая читает вашу почту и пытается её пересказывать (но зачем?).

Я тут долбанулся на отличненько и таки прикупил эту факен подписЬку на "Яндекс.360". В основном ради отключения рекламы в мобильном приложении и неограниченного по времени трындежа в "Телемосте", больше с неё взять особо-то и нечего, поскольку этот их "Диск" мне нафиг не впёрся. Шо я могу сказать? Мммм...

Телемост по сравнению с аналогичными сервисами самый дешёвый, но и самый глюкавый. Во время корпоративных созвонов то меня не слышно, то они обрываются, то голос "квакает", то ещё что-нибудь. В моём персональном субъективном рейтинге Zoom по-прежнему впереди планеты всей. Но он, сцуко, зело дорогой. Поэтому будем давиться, плакать, колоться, но жрать кактус. Есть ещё более-менее пристойные Контур.Толк и МТС.Линк. Но последний как-то не нацелен на простых "физиков", его просто так не купишь. А "Контур" чё-то зело прожорлив до вычислительных ресурсов клиента, плюс не переживает отключения мобильного интернета. Сбер.Jazz — совсем отстой. Так что, увы, Телемосту пока что вменяемых альтернатив особо-то и нет.

С подписЬками этими... нет такого у Йандеха, чтобы было "всё в одной". "Плюс" отдельно, "360" отдельно. "Шедеврум" отдельно. "Нетупая Алиса" отдельно. То есть если тебе одновременно нужны Телемост, Музыка, Шедеврум и нетупая Алиса, то изволь башлять за четыре разных подписЬки. "Плюс" иногда бывает с хорошей скидкой в М.Видео / Эльдорадо, на "360" бывают промокоды до 40%. На Шедеврум и нетупую Алису строго по 100 рублей в месяц за один аккаунт.

С "семьёй" они тоже перемудрили. Семейный "Плюс" можно купить на четыре аккаунта, "360" — на восемь. Но при этом в обоих случаях аккаунт должен входить в "семью". И один и тот же аккаунт не может входить в две разных "семьи". Поясню на примере. У меня есть свой "Плюс", у жены — свой. При этом у меня есть свободные слоты в подписке "360", но я не могу поделиться ими с женой. Потому что если она примет приглашение в "семью", то тут же отвалятся те, с кеми она делится своим "Плюсом". А я их к себе в "семью" взять не могу, потому что у меня все свободные слоты в "Плюсе" уже заняты. И с одной стороны Яндекс официально призывает делиться подписЬкой с друзьями-приятелями-коллегами, а с другой стороны в Правилах использования пишет, что "Член семьи — это совместно проживающий родственник" и ниипёт. Таким образом, пригласив с семью коллегу, я тем самым нарушаю правила пользования. И кому я должен верить? Дурдом, короче.

Всем хорошей удобной почты и видеоконференций.