Комментарии 85
Использую дома Mikrotik с настроенным DoH на doh.opendns.com. В качестве основного DNS используется 1.1.1.1. Вчера с 22:18 по МСК+2 до 00:18 был недоступен DoH, Mikrotik жаловался на SSL сертификат. Боюсь дальше будет хуже. Может кто-нибудь подскажет способ бороться с такими блокировками, уже судя по всему, и DoH?
Заворачивать весь трафик в VPN. Ну или как минимум трафик до DNS серверов. На Mikrotik делается относительно элементарно.
Благодарю. Часть трафика и так избирательно уже заворачивается в VPN. Попробую завернуть туда и DNS. Уточню на будущее, провайдер Дом.ру.
Дом.ру и раньше трафик DNS заворачивал на себя. Учтите только, что если у вас VPN поднимается по имени, а не по ip — вам необходимо иметь DNS, который будет работать и вне туннеля. Или чуть более хитро настроенную маршрутизацию. Иначе после перезагрузки у вас не будет VPN из-за отсутствия DNS и не будет DNS из-за отсутствия VPN.
Способ бороться есть, только это противоречит существующим законам.
Год назад поднял собственный DNS сервер в локалке и на free Oracle как резервный на основе Pi-hole за 15 минут. Теперь озадачился созданием нескольких VPN серверов по разным стандартам с надеждой что все сразу прибить не смогут и это даст время на маневры.
надеюсь @pokamest_nikak из Amnezia VPN или аналогичные сервисы возьмут на заметку и будут давать настройку виртуалки из коробки
Ну можно же просто dns запросы гонять в внутри vpn. А к vpn подключаться по ip, если он свой.
Поясните мне пожалуйста, может я что-то не понимаю. Куда можно жаловаться и есть ли в этом смысл когда определенные сайты блокируются государственной системой. Даже если это будет гугл в будущем, к примеру.
Подозреваю, что "в спортлото". Были уже здесь новости, когда люди теряли деньги от ковровых блокировок за компанию с телеграмом и пытались судиться с роскомадзором. Насколько помню это закончилось ничем. Если вы имеете в виду свой сайт и там нет ничего противозаконного, то проще переехать на какой-нибудь крупный хостинг, если из-за блокировок вы не можете куда-то попасть, то самым оптимальным будет купить копеечный хостинг за рубежом и настроить VPN. Сейчас судя по всему рано или поздно прилетает всем более или менее популярным сайтам, хоть пиратам, хоть порносайтам , хоть анимэшникам и даже чисто развлекательным.
Смысл, зоны верхнего уровня для своего DNS Вы где будете брать?
Вчера работало, не работает сегодня
У нас ещё в ходе прошлой модернизации инфраструктуры введён в эксплуатацию локальный dnscrypt-proxy. Начитавшись последних новостей о борьбе с неправильными DNS-серверами, добавили к стандартному набору резолверов из официального репозитория ещё пару своих, развёрнутых на европейском хостинге и нигде не засвеченных.
Чем чёрт не шутит, вдруг осеннее предвыборное обострение доберётся и до DNSCrypt`а...
Ну сколько уже говорили, и вот снова нам показывают, что "технические средства противодействия угрозам" ставят не того, чтобы обеспечить устойчивость Рунета в случае, если злобные иностранцы нам провода из-за границы перережут, а чтобы создать "кнопку" отключения Рунета от Интернета.
Кто-то еще верит уверениям властей, что это всё - на самом деле для устойчивости и безопасности?
На удивление «сработало».
Принципиально не буду затрагивать политическую составляющую момента, но если вдруг товарищ «Гоголь» решит нас, то выход есть.
Чуть ниже мой комментарий чувствую полетит в глубокий минус, стоило, наверное, добавить закрывающуюся скобку или тег сарказм, ну да Бог с ним.
Так вот, господа из РКН вполне себе предлагают нам корневые DNS серверы, которые в данном случае оправдали свое предназначение. Что и как с этими серверами будет в дальнейшем, не буду обсуждать по выше обозначенному.
Да бросьте вы эту лапшу.
Да это еще на этапе законопроекта всё было понятно, что лапша, но… Власти ж уверяют в обратном, и кто-то же до сих пор им верит? Что вон даже опросы проводят, что якобы народ поддерживает цензуру в Интернете…
>и кто-то же до сих пор им верит?
Верят. Кто? Ну, к примеру, люди в возрасте/пенсионеры, которые особо-то и в вопросе не разбираются/интернетом не пользуются/может два раза в жизни его видели ...
И применение таких методов явственно говорит за то, что это уже приближение к крайним мерам. После них кранику останется всего один оборот до упора.
Да переходите уже на DNS-серверы 195.208.*.*, хватит изворачиваться . . .
Сегодня во второй половине дня некоторые сайты не открываются через интернет Билайна.
Вообще странно, что у каких бы то ни было службы есть полномочия блокировать произвольные адреса и интернете или произвольные протоколы без каких либо судебных решений.
Вас только это смущает и только сейчас? :)
Нет меня смущает не только это. Понятно когда "кривой" суд выносит кривое судебное решение, но на него хотя бы формально можно опереться. Но похоже различные ведомства уже на закон даже оглядываться перестали выдавая инструкции вида я художник я так вижу подчиняйтесь.
А какая Вам разница лишат Вас доступа без суда сегодня или с кривым судом и кривым решением завтра?
Если закон не соблюдается, то уже не суть важно как он не соблюдается.
Разница достаточно большая, если формальные процедуры сохранены их можно использовать, если они разрушены и работа ведется без оглядки на формальные процедуры их использование невозможно.
При сохранений формальных процедур различные "противообщественные" действия власти значительно затруднены и замедленны, любое подобное решение проводиться через ряд ведомств и судов в каждом из которых есть сроки обжалования, не качественные судебные решения не позволяют их применять против всего подряд, крайне затрудненно действие по ситуации, поскольку ситуация она меняется быстрее чем работает эта машина. Вот нужно вам 19 числа заблокировать youtube, а вы не можете только 19 числа его заблокировать, потому как за три месяца до этого вам нужно начать суд, потом после 19 числа вам нужен еще один суд который отменит первый, итог у вас не будет youtube минимум 1-2 месяца( и это очень оптимистично ), это большие издержки, на этот шаг решиться очень не просто. А вот заблокировать по звонку youtube только на 19, это уже проще, это не страшно, а нужный эффект достигнут, это выводит различные злоупотребления властью на значительно более высокий уровень.
Я считаю, что проблема в том, что если дана установка гасить, то никакие формальные процедуры Вам не помогут в силу противоречия с установкой.
когда нужно - суд могут провести хоть в туалете аэропорта через час после появления необходимости. И вступит в действие сразу.
Это Россия, детка ;-)
на выборы вся надежда...
Хотел бы увидеть как бульдозерами давали бы все оборудование РКН
Это все для защиты детей, говорили они...
Мне всегда казалось, что такие вещи, как отключение от интернета целой страны должны решаться не в кабинетах кучкой людей
Так и в Конституции сказано, что источником власти является народ… А по факту кое-кто эту конституцию назвали «оккупационной», и вот имеем что имеем, зато исконно-посконно-суконное.
Проблема как раз в том, что кто-то кричит только когда его задели. Если задели соседа (или пришли за соседом) - то и ладно, меня то не тронули. Нету общества просто по факту (не будем углубляться почему).
Выбирать — это когда при первом включении: укажите DNS или используйте наш прекрасный, быстрый, лучший в мире и т.дВ отличии от Firefox, Chrome проверяет умеет ли провайдер в DoH и если бы он это умел, то DoH работал бы в первую очередь с ним, а не с серверами Google. Цитирую:
Браузер будет по умолчанию использовать DoH для провайдера DNS, установленного в систему, при условии, что он поддерживает этот протокол
Кроме этого, интерфейс для смены вам добавили. Самой функции DoH/DoT нельзя было избежать, т.к. иначе всем нужные eSNI/ECH реализовать не получится (без аналогов DoH реализация бессмысленна). Т.е. Google не мог просто взять и оставить всё как есть при том, что провайдер не удосужился поднять свой DoH сервер.
А когда втихую без ведома (большинства) пользователей шпионятБез ведома пользователя шпионят все крупные телекомы. А потом всем подряд эту информацию продают (в том числе и Гуглу). На этом ловили многих телекомов. Многие телекомы из-за того и против DoH и ECH. Собственно, сам Comcast выступал против этой технологии, а потом решил её же и подключить. Пользователи были недовольны. А русские провайдеры ещё и модифицируют нешифрованый трафик (реклама, подписки, встраивание моб. номера в трафик, MITM анализ СОРМ-2/3). В том числе и DNS.
РКН плохой, но по другой причине: он делает то же самоеНет! Он делает не то же самое. РКН блокирует, явно запрещая использовать конкретные DNS. Гугл же никакой DNS не запрещал. РКН делает намного хуже. Более того, при DoH даже с «Google DNS по умолчанию» (что явно не так) схема более безопасна, поскольку данные всё равно массово продавались Гуглу и другим, а нешифрованные данные видели вообще все в цепочке сети. Теперь же у пользователя выбор: или только Google + DoH (+ DoH операторов, если настроили), или же любой DoH-сервер и никто кроме него ничего не узнает, или отключить шифрование и каждый в цепочки сети будет видеть всё как и раньше.
Я не люблю Google и избавляюсь от него где могу, но конкретно в этой дискуссии DoH в Chrome плохо не сделал. Сделал плохо именно РКН. Очень плохо.
Без ведома пользователя шпионят все крупные телекомы.
Так я совсем не против, чтобы РКН рубил все шпионские хосты, а не только гугловские. Вот есть у него черные списки ЦП, вареза, инакомыслящих, с кем он там еще борется — пусть лучше сделает список «телеметрия».
но конкретно в этой дискуссии DoH в Chrome плохо не сделал
Еще раз, я говорил о принудительном и безальтернативном использовании гугловских DNS в Андроид. Что там с Хромом происходит — я не в курсе, трояны сам себе не ставлю. Вот как только Гугл выкатил версию Андроида с hardcoded своими DNS, так РКН и стоило их заблокировать. И раз уж зашла речь — и сервера телеметрии мелкомягких, и мордокниги, и того же Яндекса с его Метрикой. Потому что право одних «собирать информацию о пользователях своего сайта» не перевешивает права других не желать своего «профилирования» со стороны третьих лиц.
Вы не забыли, что мы говорим про DNS и «вшивание» гугловских DNS в некоторые версии Андроида? Причем тут Хром? Причем тут Файрфокс?!Да, из-за знаний о DNS spoofing (MITM) как без указания РКН, так и с ним на протяжении более 9ти лет и невозможности это обойти без шифрования, я и переключился на тему DoH. В этом виноват. Я предполагаю, что «пользователь получил возможность сменить DNS» и предполагал, что «Google получил DNS трафик» с момента появления DoH.
По теме Android — мне не удалось найти информацию о добавлении Google DNS в Android по инициативе Google. Нашлись рассуждения на Reddit с конкретным брендом устройства и начиная с Android 8. Кроме этого — ничего. У вас есть какие-либо доказательства?
Так я совсем не против, чтобы РКН рубил все шпионские хосты, а не только гугловскиеПредлагаете РКН заблокировать самого себя, рос. спец. службы, Ростелеком, Мегафон, Билайн и других плохих операторов, использующих, модифицирующих трафик и продающих данные о пользователях брокерам данных, у которых потом покупает Google? Я об этом и писал. Кстати, насколько мне известно, «деанонимизация» осуществляется хешированием отдельных строк перс. данных (включая IP, номер телефона), перебрать которые не составляет труда.
принудительном и безальтернативном использовании гугловских DNS в АндроидЕщё раз:
1) не доказано, что это инициатива Google, а не бренда устройства;
2) они не принудительные и не безальтернативные, изменить можно на любые другие в настройках WiFi;
3) судя по словам с Реддита, мобильную связь не затрагивает;
4) на момент события DNS spoofing в России уже много лет существовал, но, вы правы в том, что Google получает то, что ранее не получал (осталось узнать кто это ввёл);
Что там с Хромом происходит — я не в курсе, трояны сам себе не ставлюЯ тоже, но информацией обладаю.
Потому что право одних «собирать информацию о пользователях своего сайта» не перевешивает права других не желать своего «профилирования» со стороны третьих лицЧтобы минимизировать проблему было введено DoH с шифрованием. Без него кроме владельца сайта информацией обладают все по цепочке сети до ресурса, включая полицию. И вот пришёл РКН, начал блокировать популярные DoH-серверы и будет это делать и с другими, работающими по DoH (т.к. невозможно делать MITM для блокировки) и вы их поддерживаете, параллельно предлагая блокировать ресурс уже тогда, когда ситуация стала лучше, чем прежде (во времена без шифрования, когда информация была у всех). Я всё верно понял?
По теме Android — мне не удалось найти информацию о добавлении Google DNS в Android по инициативе Google. Нашлись рассуждения на Reddit с конкретным брендом устройства и начиная с Android 8. Кроме этого — ничего. У вас есть какие-либо доказательства?
Заканчивая Android 8, с 9 версии бобры выпилили эту «фичу» из-за волн говносрача. Вот на XDA forum.xda-developers.com/t/q-hardcoded-8-8-8-8-and-8-8-4-4.2710710 обсуждают ту же историю. Сам могу подтвердить, что мой Galaxy A7 пытался лезть на гугловские DNS, пока не получил по соплям. Было ли официальное посыпание головы пеплом со стороны Гугла — не помню, помню как общее место: с 9-й версии выпилили.
Заканчивая Android 8, с 9 версии бобры выпилили эту «фичу» из-за волн говносрачаНачиная с какой и почему ни я, ни мои знакомые, на это не попали, если это действительно инициатива Google, а не Samsung?
Вот на XDAОбсуждение в апреле 2014го. Тогда ещё даже Android 5.0 не вышла, а она у меня к Google DNS точно не обращалась.
Было ли официальное посыпание головы пеплом со стороны ГуглаТак и не факт, что это дело Google, а не производителя телефона. Я более чем уверен, что во времена Android 5/5.1 у меня запросы уходили на локальный DNS. Google и не должен посыпать голову пеплом, если это не он. Пока что мы не доказали, что это он.
Мне тоже неприятно что некий инженер Гугла может иметь доступ к моим личным данным, но справедливости ради, с паяльником, бутылкой и утюгом ко мне придёт не инженер Гугла.
Гугловские DNS стоило заблокироватьТе, кто покушаются на связность сети — вредители. Мотивы вредителей (хоть они и полярные — на одном конце вы с благими намерениями, с другой РКН) значения не имеют, мы все прекрасно знаем, куда вымощена дорога благими намерениями. Стоит только начать что-то блокировать и аппетит придёт во время еды.
Механизм блокировок не должен существовать. Никаких исключений и компромиссов.
А на практике одна корпорация замещается другой. Тогда уж все пакеты шифровать, как в качественных VPN сервисах
2. Почему вы не отстаиваете идеи p2p вместо блокировок, чтобы шпионаж властью РФ не был возможен?
2. Почему я должен отстаивать какие-то идеи, или объяснять кому-то, почему я их (предположительно) не отстаиваю?
2. Потому что вы неизвестно из-за чего решили, что есть выбор только между «связностью» (блокировками) и защитой граждан, тогда как есть и альтернативные пути, когда блокировки не нужны. Если вы позволяете себе указывать, что нужно блокировать и не рассматриваете иные варианты, пытаясь уйти от ответа («почему я должен объяснять»), то это, я считаю, вполне можно расценить как не аргументированную позицию, необъективность и, как заметил, dartraiden, вероятно, вредительство.
Это всё результат пассивности населения и выливания недовольства "на кухнях и форумах". Что сделано для того чтобы такого не случилось? Кто-то свалил из страны, а кто-то установил ВПН: поворчали и успокоились посматривая видосы и играя в онлайн игры.
Мы теперь даже от Гвинеи отстали.
"Он нам и н**** не нужон, ваш интернет" ???
РКН вообще не видит берегов.
IT-эксперты: Роскомнадзор тестировал массовую блокировку публичных DNS-сервисов Google и Cloudflare