klink0v | OpenWRT и DoH / DoT

Вот и до меня докатилась эта чума в виде NXDomain-ответов на DNS-запросы "неправильных" A-записей. Чебурнет продолжает окукливание. То есть таки да, ростелек берет DNS-ы из НСДИ, откуда поудаляли всякие крамольные тытрупки, вацапы и иже с ними. Вариантов решения, как всегда, несколько.

Не пользоваться DNS-серверами провайдера, ресолвить самому по корням.
Прописать себе в качестве DNS-серверов "8.8.8.8" или что-нибудь аналогичное.
Использовать DNS-сервер / ресолвер "по ту сторону чебурнета" через КВН.
Поднять у себя DNS over TLS (DoT) или DNS over HTTPS (DoH).

Первое скорее всего будет работать не быстро, т.к. надо ходить и опрашивать несколько серверов пока доберешься до домена нужного уровня. По поводу второго, это только вопрос времени когда ТЬФУ начнет лезть вовнутрь UDP:53 и подменять его содержимое. Некстати, на некоторых московских провайдерах я с таким уже сталкивался. Третий подход ломает GeoIP / GeoDNS, я об этом в предыдущих постах уже упоминал. Так что остается последний вариант. Натравить его на тот же гугол, например. Конечно, его (гугол) со временем тоже могут замедлить / заблокировать, но при таком раскладе неработающий DNS окажется наименьшей из проблем.

По поводу выбора конкретной технологии: DoT или DoH. Они плюс-минус похоже, но DoH перспективнее. Во-первых, с точки зрения чебурнета DoH это всё-таки "честный" HTTP со всеми прилагающимися к нему SNI и прочими заголовками. То есть меньше вероятность что его загнобят впоследствии. Во-вторых, он умеет работать поверх QUIC, то бишь UDP, что будет пошустрее. Увы, в стабильном OpenWRT 24 такое пока что не поддерживается, об этом чуть дальше.

Разработчики OpenWRT, как всегда, великодушно позаботились о ленивых одминах, поэтому для настройки всего это добра достаточно проделать четыре шага.

Установить пакеты "https-dns-proxy", "luci-app-https-dns-proxy".
Перезапустить uhttpd.
Пойти в настройки пресловутого "https-dns-proxy", сказать чтобы тот не лез сам править конфиг DNSMasq-а, не делал DNS Hijacking и отключить CloudFlare (ненавижу его).
Подрихтовать конфиг DNSMasq-а, убрать лишние Forwarders, проверить что они не забираются по DHCP от провайдера автоматически.

Собственно всё, можно работать. Я в очередной раз подывился как быстро оказывается у меня могут открываться въеб-сайты.

Что касается жЫлеза. Сейчас из доступного есть известный Routerich от парней из Альметьевска. Известен тем, что с ним "из коробки" уже идут преднастроенными наиболее актуальные инструменты для выживания в чебурнете. И есть другой вариант подешевле от китайцев, но нужна именно ревизия 1.0. Более новые не годятся.

И я таки кажется понял почему под раздачу попал XMPP. Это протокол, по которому работает Whatsapp. Поэтому его сигнатуры попали в "замедление", равно как и сигнатуры MTProto. То есть даже внутри чебурнета оно замедляется / блокируется, и пофиг на какой номер порта его вешать. И вот за что мне нравится телега — она умеет работать с самым обычным Socks. А что касается этого гадского вацапа.

Да, под него выпустили "типа собственный прокси", который на самом деле представляет собой самый обычный HAProxy в docker-обёртке. И он хочет проксировать сразу пачку портов. То есть чтобы забубенить в приложении поддержку socks или http proxy у разработчиков, видать, лапки.
Эти сцуки не выкладывают в открытый доступ свои подсети. То есть если ты типа являешься представителем ОПСОСа и за тобой в РылоКниге закреплен куратор, то ты можешь попросить открыть у них доступ к специальной страничке / API, где они перечисляют все свои CIDR-ы. Ну да, ну да, пошел бы я на фиг.

Так что забанили его, и херъ бы с ним. Не жалко совершенно этих козлов. Ещё и ни в чём не повинный XMPP за собой утянули, говнюки.

И весёлая картинка для привлечения внимания.