История болезни
MMM
дневник заведен 22-01-2003
постоянные читатели [198]
закладки:
цитатник:
дневник:
хочухи:
местожительство:
Москва, Россия, Санкт-Петербург
интересы [21]
море, деньги, секс, Питер, горы, хакер, ценные бумаги, шиповник, активный отдых, рыба, шипение
антиресы [10]
ложь, снобизм, недосказанность, некомпетентность, бесперспективняк
09-06-2024 13:44 AdGuard Home

Я особо не парился с глобальными блокировками. Обход блокировок - достаточно Антизапрета, для блокировки рекламы достаточно плагинов в браузерах и AdGuard на мобильном. А домашние вообще рекламой не парятся и блокировок не замечают.
Но вот тут docker.io изъебнулся и заблокировал доступ из России. На работе он мне не нужен, а для тех, кому нужен, быстро порешали. Я не думал, что эта жопа коснется меня дома. Но зря не думал - некоторые аддоны для моего безУмного дома (Home Assistant) перестали обновляться. Решения, разумеется, сообществом тут же были найдены и опубликованы. Самое простое - ставим AdGuard Home (хоть отдельно, хоть плагином к тому же Home Assistant) и дописываем ему в Upstream DNS-серверы строку для докера
[/docker.com/docker.io/]https://dns.controld.com/comss
Но я решил пойти дальше: все же поставить AdGuard Home на всю домашнюю сеть. Проблем с этим не возникло, а вот фильтры для него пришлось поискать (такие ресурсы обычно банит сраный Роскомнадзор). Ну, нашел, прописал, формально все работает. Но что-то меня результат не особо радует.
Собственно, к чему запись: а вдруг кто тут пользуется AdGuard - какие фильтры используете?
Комментарии:
Собсно, сабж
В Крыму так уже давно, а у вас - только-только.
Hi!HoMo
зачем такие дикие извращения?
из строчки кода понятно что воткнута dns от (почему-то малоизвестного для многих но не меня) ресурса (лет 15 назад тогда по безопсаности) -comss. вот старница на оригинал записи о днс.
из этой страницы следует что если настроить роутер на doh\dot то все будет работать без лишних танцев с бубнами. на странице имеются разные мануалы по настройке. в частности кинетик и микротик. это те роутеры кторые это умеют.
вопрос. у тебя хомяк в виде отдельной ос или в виде надстройки в каком нибудь трунасе?
Money Market Maker
DeadMorozz, ну, да, вас там давно блокировками плющат.
ZaRRaZZa, ты абсолютно прав - я про comss вообще первый раз услышал только из-за этой истории с докером. Спасибо тебе за ссылку, обязательно попробую настроиться роутером (у меня старинный, но все же микротик - так точно будет лучше, чем в контейнере на серваке).
НА у меня виртуалкой, отдельная ОС, а трунас у меня изображает XPenology (на соседней виртуалке), все это на одной железке под Proxmox. А что?
Я из соображений архитектурного феншуя на эти виртуалки ничего сетевого стараюсь не ставить. Nginx и вот этот AdGuard в Proxmox отдельными LXC-контейнерами (с приоритетом запуска), а пользовательские трансмишен, торсервер, плекссервер итп - это уже можно и на XPenology пакетами навесить.
И вот из этих же соображений будет правильным отказаться от контейнера с AdGuard в пользу настройки на comss в роутере. Еще раз спасибо за подсказку, обязательно попробую.
Hi!HoMo
MMM ну как показывает практика полезность иметь централизованно настроенный doh\dot бывает оч кстати. иногда некоторые сетевые потрясения проходят мимо тебя и ты этого не замечаешь.
то что у тебя стоит хрень это хорошо) можно не парится к примеру по поводу лицензий на мелкософт)) почему спрашивал про поводу хомяка. т.к. под разные платформы он разный. поэтому и было интересно.
то что стоит древний микротик. тут могут быть проблемы. проблема в производительности, т.к. весь dns трафик пойдет через него, то он может банально этого не выдержать.
....
ZaRRaZZa
Спасибо тебе добрый человек. Докер конечно раком поставил XPenology.
Hi!HoMo
ну так демоны самоликвидировались докер саморазбанился.
Докер конечно раком поставил XPenology.
а почему именно хрень, а не сино в целом?
Money Market Maker
ZaRRaZZa, а можно вопрос как к специалисту? Я правильно же понимаю, что эта фигня (DoH) не работает для HTTPS без довернных сертификатов?
Я попытался установить на микротик, вроде бы все корректно прошло (в том числе с сертификатами), но провайдер взбрыкнул и порт мой погасил. Два часа ждал реакции поддержки пока интернет вернули.
В итоге откатился, решил оставить comss единственным обходным решением, но все же не на роутере, а в AdGuard Home (ну, чтобы не только обход DNS, но и рекламные фильтры). И предполагаю, что туда тоже надо сертификаты доверенные прописать чтобы работало (а то нихрена эти рекламные фильтры не работают, блт).
....
MMM
Хм... а чем провайдеру не понравился DoH ?
Money Market Maker
Hashinger, да не, у него просто какая-то защита порта раз в год в среднем срабатывает при высокой частоте переподключений (с невнятных объяснений из их техподдержки). Иногда просто когда техножопа (гроза в прошлом году, например). А сейчас - не знаю. Может я роутер перезагружал слишком часто в процессе настройки (я ж его годами не перезагружаю), а может еще что. Но на этот раз мне пообещали, что конфиг для меня вписали в скрипты загрузки и он в случае каких-то факапов должен применяться по умолчанию, а не по моему обращению в техподдержку.
У меня ультрамелкий местячковый провайдер, купленный Ростелекомом: связь отличная, а вот у них организация не очень - пользователей с белым IP по пальцам пересчитать можно. Под них они у "папы" отдельный канал и конфиг держат и не очень его сопровождать умеют, похоже. Когда у других его пользователей в моем доме инет падает - у меня все работает (бывает несколько раз в год). И наоборот: если у меня проблемы (в последние три года стабильно раз в год летом) - спрашивать у соседей работает ли интернет бесполезно.
А большинство соседей, которые меняют провайдеров как перчатки, предпочитают трахаться с МТС и Билайном (Ростелеком в наш дом не придет, считает, что он уже представлен своей дочкой).
Hi!HoMo
MMM для начала надо понимать что такое doh/dot и зачем он нужен.
начнем с малого dns. dns это основа интернета. ну ладно одна из основ.
можно даже сказать что это и есть интернет.
как работает.
есть сервер с записями к нему обращаются клиенты. все работает через 53 порт udp.
все бы хорошо. но подделать ответы dns нет никаких проблем. ну или перехватывать и отслеживать кто куда ходит. в общем не скьюрно.
doh/dot это секьюрно. но у них немного разный подход. dot нужен сертификат. doh нет(вроде как). dot это 853 порт(кажися) doh 443.
поэтому я бы выбирал настройку через doh. как минимум 443 порт не вызывает подозрений. т.к. это банальный https.
а отследить трафик на спец порт легко и прову(не все провы козлы) часто это не нравится.
как не надо настраивать.
не надо светить в интернет 53 и 853 портом. часто против недалеких пользователей настраивается скрипт который сканирует определенные порты и вырубает пользователя на нное время.
как по идее надо настроить.
схема простая роутер в качестве dns forwarding. для всех домашних роутер в качестве dns. dns в интернет не выставляем.
все должно работать.
по поводу обрезки рекламы.
у разных dns есть разные сервера под разные задачи. и есть которые режут рекламу. выбор за тобой какой использовать.
а если кому то не надо рекламу резать выставляй ему в настройках общедоступный dhs и нет проблем.
по поводу рекламы и adguard. у меня есть сомнения по поводу эффективности их dns. т.к. сегменты сильно разные и рекламные списки для разных сегментов могут быть разные. хотя многое режет.
можно пойти другим путем себе открыть нормальный инет через doh. а детям втулить яндексовский детский dns.
все что написано выше сильно сжато и для полноты картины этого сильно недостаточно, и соответственно сильно односторонний взгляд. на самом деле все гораздо глубже и шире.
если где ошибся сильно не пинайте т.к. лень в инете лазить сверятся.
Money Market Maker
ZaRRaZZa, спасибо за подробный и развернутый ответ. Нет, я все про doh/dot понимаю, потому осознанно выбрал такую конфигурацию:
  • именно comms как единственный целевой сервис DNS и именно через DoH
  • но не на роутере, а в AdGuard Home (их DoH из настроек по умолчанию выкидываю)
  • почему не на роутере, а в AdGuard Home - чтобы навесить дополнительные рекламные фильтры (им же пофиг, что DNS не от их сервера, а как в моем случае от comms)
  • В роутере основным сервером DNS будет AdGuard Home (то есть локально 53 порт, да), но вторым/резервным оставлю провайдерский (на случай неработоспособности AdGuard Home - ну вдруг контейнер отвалится, не сидеть же без инета).
Мне кажется, в такой конфигурации 53 портом я светить не должен, через DoH ведь AgGuard в comms должен 443 по умолчанию идти (если не ошибаюсь). А вопрос был про сертификаты: насколько я понимаю в HTTPS (и вообще SSL, TLS, mTLS), серверный сертификат comms должен быть на моей стороне (в AgGuard) прописан как доверенный, иначе DoH не полетит - я правильно понимаю?
Hi!HoMo
в такой конфигурации 53 портом я светить не должен
если на роутере не включено то конечно нет.
иначе DoH не полетит - я правильно понимаю?
почитал мануалы. правильно. надо к себе прописать цепочку сертов.
но для нормальных приложух не надо. т.к. в серте все прописано и есть критерии доверия. к примеру если добавить doh в телефон он работает без всяких сертов. т.к. должен запрашивать их при коннекте. я сильно не углублялся в doh но вероятность того что для клиентов серты не нужны, а для форвардинга нужны отлична от нуля.
Money Market Maker
ZaRRaZZa, спасибо большое. Вот ты правильное слово сказал и все стало на свои места - для форвардинга. Понятно, что для конечных клиентов сертификаты не потребуются, а вот при их запросе DNS роутер его завернет на AdGuard Home, которому для форварда, предполагаю, надо доверять серверному сертификату comms.
Собственно, в инструкции по установке на роутер сертификат упоминается (и импортируется при настройке), но не расписано какой именно и нафига. Потому и потребовалось разобраться.
Еще раз спасибо!
Hi!HoMo
что для конечных клиентов сертификаты не потребуются

по другой причине. т.к. адгуард у тебя выступает для клиентов днс сервером но на стандартном 53м порту. т.е. он прокладка между дох и клиентом.
но не расписано какой именно

почему же. там команда импорта серта есть. т.е. он банально выложен в общий доступ. ты его можешь себе скачать как простой файл и изучить. в этом ничего нет криминального.
и нафига

а вот для того чтобы ты добавил его в доверенные. чтобы доверял всему что им подписано. но как правило этого мало. т.к. надо чтобы у тебя в доверенных был и центр сертификации который его выдал.
влюбой ос самое большое доверие это то что аверено сертом. как правило даже антивирус это не проверяет априори.
как правило люди не заморачиваются по этому поводу т.к. ос и остальная хрень выкачивает корневые серты в фоне. и люди не замечают этого. а за сертами надо следить т.к. они имеют срок жизни.
в общем серты это отдельная тема.

отредактировано: 21-06-2024 20:23 - ZaRRaZZa

Money Market Maker
ZaRRaZZa, да не, ты не понял, или я не совсем коректно описал - все, что ты сказал - понятно мне изначально (я на работе это проходил).
В итоге сейчас помучился - нихрена не получилось прописать сертификаты, но каким-то боком все равно все работает как надо - при заходе с любого домашнего клиента на страницу проверки https://controld.com/status получаю то, что должно было получиться в итоге:


В общем, на этом и остановлюсь, но не понятно, почему реклама нихрена не режется так, как она режется если запустить AdGuard в виде приложения на клиенте. Запарился уже разные списки фильтров подсовывать (вроде бы одни и те же).
____________________
Update: подожду еще - может старые DNS еще в клиентах не протухли и новые не запрашиваются, хотя я пытался ранее неоткрываемые сайты с явной рекламой посерфить.
Hi!HoMo
нихрена не получилось прописать сертификаты, но каким-то боком все равно все работает как надо

посмотрел я на тот сертификат, это сертификат удостоверяющего центра. если он у тебя в системе есть то его устанавливать не надо. если все работает то значит все в системе есть.
почему реклама нихрена не режется так
это все просто.
иногда когда болит зуб не надо отрезать голову.
перефразирую. если на одном ip находится куча всего и в том числе спамеры то запретив ip мы можем вместе с водой выплеснуть и ребенка забанить кучу полезного.
поэтому через днс банятся явные спамеры а остальное мелким напильником уже локальными программами.
ну или же детский днс. там вообще не забалуешь.
Закрыть