Как организовать личный dns сервер?

Question

[Luan]

В свете недавних событий с роскомнадзором встает вопрос о личном cервере DNS. Есть какие то варианты, чтоб можно было на своем сервере, естественно европейском, поставить что то, чтоб просто перенаправлять запросы? Что то такое, как реализовано в pi-hole. Основную инфу берет с гугла 8.8.8.8 и передает ее так же устройству?

Comments

[Saboteur]

Так если банятся по IP, чем поможет свой DNS?

[fdroid]

В свете недавних событий с роскомнадзором

А что за события? Я что-то пропустил после истерики с телеграмом?

[Max]

fdroid, массовая блокировка vpn сервисов и dns-серверов

[Сергей]

Maxim Siomin, dns-серверов гугла? Да и пес с ними. Зачем они вам? Отправляйте запросы на рутовые днс.
Или их тоже блокировали?

Answer 1

[paran0id]

Ставите dnsmasq, в конфиг прописываете

listen-address=127.0.0.1,192.168.100.1 (или какой у вас будет)
server=1.1.1.1
server=8.8.8.8

На клиентах прописываете его адрес как dns-сервер
Очень желательно в интернет его не выставлять голым задом, а подключаться по VPN, и доступ делать только из VPN-сети.

Comments

[Drno]

плюсую... все просто делается)
да и все равно публичные ДНС они не забант, пол россии без инета останется)

[Luan]

Drno, мы все знаем чего они хотят добиться. И если пойдут на крайности то лучше быть готовыми

[Drno]

Luan, знаем. но это технически невозможно.

[Иван Шумов]

Luan, зачем бороться со следствием если надо бороться с причиной) езжайте в Европы

[Vindicar]

Категорически поддерживаю насчёт VPN. Некоторые провайдеры имеют привычку редиректить UDP:51 на свои DNS сервера невзирая на целевой адрес.

[shurshur]

Vindicar, всё-таки 53, а не 51.

Answer 2

[ky0]

Обычный DNS не проканает - если прижмёт, начнут все нешифрованные ответы подменять. Ставьте dnscrypt-proxy.

Answer 3

[Alexey Dmitriev]

Есть конечно. Неплохо бы поиск использовать
https://adguard.com/en/adguard-home/overview.html
разворачивается в Docker, через Snap и.т.п.

Answer 4

[Damian Lewis]

Не знаю как у других, но сам лично столкнулся с этими блокировками на прошлой неделе. Интернет перестал работать и я не мог понять в чем дело. Оказалось, заблочили DNS. Пробовал dnscrypt, а также менять на все подряд. Менял на все DNS который находил в интернете и ни один не сработал.

Тут важно уточнуть, что блокируют они не так как вы думаете. Не изберательно Google, Cloudflare и т.д. Они дают выход в интернет только через DNS провайдера и ни через что больше. Все эти частные и личные DNS становятся полностью бесполезными.

Вот еще свежая новость Роскомнадзор отрежет интернет-сервисам возможность...

Comments

[Alexey Dmitriev]

Dns over https или over tls спасёт отца русской демократии

[Damian Lewis]

Alexey Dmitriev, Вы в этом уверены? Протоколы можно блокировать как в Китае. Вот вам свежая новость Роскомнадзор отрежет интернет-сервисам возможность...

[fpir]

Damian Lewis, я не понимаю, как это можно заблочить? Вы меняете потры с 53 на 5353, и то, что это днс можно только DPI определить, а крипто днс так вообще ничем. И я думаю, что они могут на пару дней это устроить, но в итоге просто будут перехватывать все dns запросы, или ещё проще - заблочат восьмёрки, и на этом всё кончится, т.к. покроет 99.9% их хотелок. В РКН могут канеш, начать отбрасывать все шифрованные пакеты, но когда ляжет 90% https и 99% всего банкинга, это их отрезвит на некоторое время. А что так и будет - я уверен, коснулся наладки видеонаблюдения на этих выборах - это треш и угар, резволт через host, bgp для резервирования, где перепутали PE и CPE, ручная маршрутизация и прочий подъём солнца лебёдкой.

[Damian Lewis]

fpir, Я уже много лет использую dnscrypt. Никогда в качестве dns сервера не использовал ни Google ни Cloudflare, но когда они проводили тестирование 8-9 сентября у меня ничего не открывалось, точнее открывалось только когда я отключал сторонний dns сервер. В СМИ писали, что блочили Google и Cloudflare, но ведь у меня не работал ни один dns сервер который я ставил. Лично я думаю, что они тестировали свой новый НСДИ (Национальная Система Доменных Имён) и сделали так, чтобы никакой трафик который не проходит через их dns сервер не работал. Тестировали избирательно в различных регионах, а не для всей страны. Поэтому многие даже не заметили каких либо изменений. Блокировать можно много всего. Китай тому пример. Там даже TLS1.3 под запретом. А вот httpS никто ведь блочить не собирается. В том же Китае он работает и поэтому они могут обходить блокировки заворачивая трафик под httpS. Тот же shadowsocs или obfs4.

[fpir]

Damian Lewis, ни минуты не сомневаюсь в ваших словах, более того, об этом я и говорил. Что они осмелятся -вообще не вопрос. Вот только криптоднс сервер у вас не свой, а публичный, и если его нашли вы, могут найти и они, за 5 лет гуглом пользоваться научились. А человек хочет поставить собственный днс сервер. Ему советуют, для этого своего вышестоящим сделать восьмёрки, я-бы посоветовал настроить как положено, с вышестоящими корневыми. И вот в чём я сомневаюсь - что можно просто помешать человеку резволтить имена со своего, стоящего в "нейтральной" стране днс сервера. Он не гуглится по запросу "днс сервер", он даже может не шифровать ответы, если сервер и клиент будут работать на нестандартном порту, ведь тогда надо будет разобрать пакет и проанализировать его данные(это dpi). Это возможно, но вряд ли будут делать. Но даже если, шифрованный пакет можно только отбросить. Шифрованный пакет идёт на какой-то адрес из клаудфара, что внутри - хз, давайте его отбросим - и это что? Это конец рунету, это отвал https, ssh и всего остального. И Ютуб не открывается, и Инста. Такой вариант возможен, кто-ж спорит, вот только на это пойдут? Я, честно, хз, но думаю свой сервер днс уже мало кого будет интересовать после такого.

Answer 5

[Gora]

Вряд ли Вам поможет свой DNS сервер. Для своего DNS сервера нужен прежде всего домен, VPS c установленной ОС и по классике 2 ns`a. Если все это дело размещать за бугром, то не факт что выданный Вам IP не будет уже в блоке адресов у РКН. Сам с этим столкнулся, опять же не факт что Ваш DNS, если он будет чистым, не внесут в блок! Потратите какое то время на настройку всего, чуть наличности и потом одни расстройства(возможно). Тут другое решение нужно, правильно пишут как вариант dns-proxy...

Comments

[fpir]

Вообще не понимаю такого технопессимизма. Согласен, впс-ка может попасть в блокируемую подсеть, но поднять свой днс и прописать его в настройки роутера - элементарно. Если это что-то типа кинетика(не говоря про микротик), то и с заменой портов. И даже восьмёрки, в этом случае не нужны, ваш днс может обращается напрямую с корневым серверам зон. В общем-то, так и надо делать, а не дёргать восьмёрки на каждый запрос, если вы можете у себя хранить какой-то кеш

[Сергей]

Для своего DNS сервера нужен прежде всего домен

Неправда.
Чтоб обрабатывать ДНС запросы домен не нужен.

[Gora]

Сергей, Видимо мы о разных вещах с Вами толкуем, что бы обрабатывать DNS запросы домен не нужен, но это и не DNS сервер.

Answer 6

[Сергей]

Немного не понял.
А что мешает настроить свой DNS?
Поднимаете BIND на линукс. Или Службу DNS на Windows server и пользуетесь.
Даже не обязательно его в интернет выставлять, поднимите локально. Главное чтоб он мог запросы слать на рутовые ДНС серверы.
Для этого не нужно ничего, кроме операционной системы и собственно службы ДНС.
Даже на виртуалке можно развернуть.
И домен не нужен, как выше пишут. И обращаться к ДНС серверам гугла тоже не нужно. Какой в этом смысл, если есть рутовые ДНС?

Comments

[Gora]

Да дело не в самом DNS а в IP которые под надзором у РКН. У меня было, хорошо что не для коммерческого использования, 4 VPS, после развлечения РКН пулы IP ушли в бан и сервисы на них для России стали недоступны. Переписка с поддержкой и смена нескольких IP результата не дала, пришло искать альтернативные VPS в России ;( Вот собственно в чем суть, не в том что поднять что то тяжело...
А то что Вы предлагаете это не полноценный DNS а кеш.
P/S
Вариатов обхода масса, человек спросил насколько понял о собственном, полноценном DNS сервере, я ответил.