Как включить dnscrypt-proxy?

Question

[kaktak255]

В общем опишу что я сделал:
1) Поменял ipv4 на 127.0.0.1
2) Внес в файл, он выглядит так dnscrypt-proxy.toml

# Empty listen_addresses to use systemd socket activation
listen_addresses = []
server_names = ['cloudflare']

#тут просто в инете нашел вставил 
ipv4_servers = true
ipv6_servers = false
dnscrypt_servers = true
doh_servers = true
require_nolog = true
require_nofilter = true
require_dnssec = true
timeout = 5000
keepalive = 30
cache = true
cache_size = 1024
cache_min_ttl = 2400
cache_max_ttl = 86400
cache_neg_min_ttl = 60
cache_neg_max_ttl = 600
fallback_resolver = '1.1.1.1:5353'
###
#остальное стандарт

[query_log]
  file = '/var/log/dnscrypt-proxy/query.log'

[nx_log]
  file = '/var/log/dnscrypt-proxy/nx.log'

[sources]
  [sources.'public-resolvers']
  url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
  cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
  minisign_key = 'тут какой то ключ думаю он не нужно его показывать'
  refresh_delay = 72
  prefix = ''

3) Файл /etc/resolv.conf
Содержит это:

# Generated by NetworkManager
nameserver 127.0.0.1

Много что пробовал, делал по одному сайту, делал по другому, пробовал 127.0.2.1 , пробовал 127.0.0.2, много что пробовал ничего не работает.
Как правильно то нужно? Что я не так делаю?

Comments

[Василий Дёмин]

А он вообще запущен? Попробуйте:

systemctl enable dnscrypt-proxy.service
systemctl start dnscrypt-proxy.service

[kaktak255]

Василий Дёмин,
уже вроде как сделал вроде .. вот sudo dnscrypt-proxy -resolve cloudflare-dns.com
По мимо всех строк вижу DNSSEC signed : yes
Похоже что работает да?

[Василий Дёмин]

kaktak255, Я увидел, что у вас listen_addresses пустой. Тогда нужно выключить сервис и включить сокет:

systemctl disable dnscrypt-proxy.service
systemctl stop dnscrypt-proxy.service
systemctl enable dnscrypt-proxy.socket
systemctl start dnscrypt-proxy.socket

[Василий Дёмин]

kaktak255, Ещё можно посмотреть, что выводит journalctl:
journalctl -xeu dnscrypt-proxy

Answer 1

[Damian Lewis]

Для начала, в файле dnscrypt-proxy.toml адрес прослушивания поставьте следующий listen_addresses = ['127.0.0.1:53']. Он у нас пустой. Естественно траффик никуда не перенаправляется и ничего не работает.

Сам неоднократно на многих системах использовал и использую dnscrypt-proxy. Единственная проблема была с Arch Linux который позже решил. Опишу пошагово, как настраивал на Ubuntu/Mint.
1. Установка из оф.репа дистра sudo apt install dnscrypt-proxy
или более свежей версии из сторонней репы

sudo add-apt-repository ppa:shevchuk/dnscrypt-proxy
sudo apt update
sudo apt install dnscrypt-proxy

2. В Network-Manager, в настройках сети, заходим в IPv4 и меняем DNS на 127.0.0.1

3. Редактируем файл
sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml

Вместо nano можно использовать свой другой редактор. Например xed в Linux Mint

4. Раскоментируем строку server_names если закоментирован и добавляем в него имена dns серверов из public-resolvers по принципу server_names = [‘cloudflare’, ‘adguard-dns-doh’] можно через запятые перечислять несколько имен адресов. Обязательно используйте несколько адресов. Бывает такое, что один блокируют или отваливается. В таком случае будет подхватываться другой, который Вы указали.

5. После смены или добавления новых имен в server_names, необходимо перезапустить dnscrypt-proxy командой:
sudo systemctl restart dnscrypt-proxy

Как проверить, зашифрован ли DNS?
Утсановить Wireshark
sudo apt-get install wireshark

1. запустите его из терминала с помощью sudo wireshark(вам нужно быть sudo, чтобы иметь возможность слушать вашу сетевую карту.)
   
2. затем начните слушать и отфильтруйте все, кроме вашего собственного ip. Теперь просто проверьте , зашифрованы ли протоколы DNS
   
3. использовать фильтр только для показа dns
   
4. Остановите сканирование.
   
5. нажмите на элемент списка, который говорит DNS и приходит с вашего IP.
   
6. Теперь нажмите на протокол передачи, чтобы увидеть, зашифрован ли он.
   

Онлайн проверка утечки DNS
DNS LeakTest
DNS LeakTest

Comments

[kaktak255]

Спасибо. Кстати я заметил что то необычное (еще до того как я начал попытки настроить dnscrypt) во время загрузки чего либо, будь то страница или просто видео на ютубе или же даже измерение скорости интернета, к примеру во время загрузки со скоростью 10мбит/с, скорость отдачи около 600-700 кбит/с, мне кажется это странным, например на винде скорость отдачи при той же скорости загрузки не превышает 100кбит/c или даже меньше, да я переустанавливал linux как заметил это, но ничего не изменилось, такое наблюдаю не только в одном браузере, может это какой то софт отдает часть полученного трафика кому то на сервер или что то типо такого? Да может это параноя или что то типо того, но это вообще нормально? И как я могу это проверить, и у одного меня такое?

[kaktak255]

Я пришел c винды к линукс как к чему то "чистому" , а тут такие странные вещи, хочу понять в чем дело что бы спокойно с кайфом юзать линукс

[Damian Lewis]

kaktak255, У меня такого не было конечно. Попробуйте помониторить сеть во время такой отдачи. Как мониторить сеть я уже писал в одном из вопросов ранее, вот здесь https://qna.habr.com/answer?answer_id=1983924#comm...

Answer 2

[Drno]

В 3ем пункте должно быть 127.0.0.1

Comments

[Василий Дёмин]

У меня этот файл так выглядит:

# Resolver configuration file.
# See resolv.conf(5) for details.
nameserver ::1
nameserver 127.0.0.1
options edns0 single-request-reopen

[kaktak255]

Василий Дёмин, DNSSEC signed : yes Значит работает?