[Frage] "getdns"-Paket

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Ich habe das Thema mit den stubby devs diskutiert und wir haben das Problem gefunden, es war ein Bug, der beseitigt wird. For future reference: https://github.com/getdnsapi/stubby/issues/46

Problem war (auszugsweise)
Code: 
Verify failed : Transport=TLS - *Failure* - (20) "unable to get local issuer certificate"
Wird mit der nächsten Version gefixt. Lösung ist wohl einstweilen, in der config
Code: 
tls_authentication: GETDNS_AUTHENTICATION_NONE
zu setzen. Kann ich allerdings erst ausprobieren, wenn ich wieder zu Hause bin.

Edit: jo, so funktionierts... :)
 
Zuletzt bearbeitet:
Hab mal einen PR erstellt, funzt ja und bevor ichs vergesse... vielleicht hat jemand Spaß daran, auch ohne WebIF aktuell.
 
Überarbeitet 03.09.2019 :

How to "getdns" Paket (STUBBY DNS-o-TLS Proxy) in Freetz mit DNSMASQ + DNSSEC nutzen (kurz und knapp) hier nur ipv4 :

1. stubby.yml nach /tmp/flash/kopieren. Danach "modsave"
2. CA-BUNDLE in Freetz-ng mit compilieren (benötigte Certificate Datei wird mit ins image kopiert und liegt unter /etc/ssl/certs/ca-bundle.crt

In die rc.custom eintragen :
stubby -g -C /tmp/flash/stubby.yml

EIGENE dnsmasq.conf anlegen -> WebIF -> dnsmasq -> extra
(https://freetz.github.io/wiki/packages/dnsmasq.html#KompletteigeneKonfiguration)

Code: 
domain-needed
log-async=20
no-resolv
no-negcache
max-ttl=600
server=127.0.0.1#5453
dnssec
conf-file=/mod/etc/default.dnsmasq/trust-anchors.conf
dnssec-timestamp=/var/media/ftp/Dokumente/mtime
user=root
bogus-priv
dhcp-range=192.168.178.10,192.168.178.20,12h
domain=fritz.box
expand-hosts
read-ethers
cache-size=4096

Stubby läuft auf Port 5453 und wird für Standardanfragen genutzt.

stubby.yml (alle vier Upstream Server können DNSSEC) DNSSEC Validierungen werden hier weiterhin von DNSMASQ vorgenommen. Die DNSSEC Validierung über Stubby ist deaktiviert (dnssec_return_status) !

Code: 
tls_ca_file: "/etc/ssl/certs/ca-bundle.crt"
resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
# dnssec_return_status: GETDNS_EXTENSION_TRUE
# appdata_dir: "/tmp/flash/stubby"
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 256
edns_client_subnet_private : 1
idle_timeout: 60000
timeout: 5000
tls_connection_retries: 5
tls_backoff_time: 900
listen_addresses:
  - 127.0.0.1@5453
round_robin_upstreams: 1
upstream_recursive_servers:
# The getdnsapi.net server
  - address_data: 185.49.141.37
    tls_auth_name: "getdnsapi.net"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: foxZRnIh9gZpWnl+zEiKa0EJ2rdCGroMWm02gaxSc9Q=
# The ns2.dnsprivacy.at
  - address_data: 94.130.110.178
    tls_auth_name: "ns2.dnsprivacy.at"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: s5Em89o0kigwfBF1gcXWd8zlATSWVXsJ6ecZfmBDTKg=
# The ns1.dnsprivacy.at
  - address_data: 94.130.110.185
    tls_auth_name: "ns1.dnsprivacy.at"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: vqVQ9TcoR9RDY3TpO0MTXw1YQLjF44zdN3/4PkLwtEY=
# The Fondation RESTENA
  - address_data: 158.64.1.29
    tls_auth_name: "kaitain.restena.lu"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: 7ftvIkA+UeN/ktVkovd/7rPZ6mbkhVI7/8HnFJIiLa4=

Seite zum Testen der Server :
GRC | DNS Nameserver Spoofability Test

Könnte evtl. jemand das "getdns" Paket updaten ?
stubby -V sagt -> Version 0.2.3
Ich habe in Tomato -> Version 0.2.6 (damit kann man auch in eigene logfiles Schreiben lassen)

-- Aktualisiert --
 
Zuletzt bearbeitet:
feedzapper schrieb:
Vielleicht könnte man dann auch gleich das "cacert.pem" mit ins Image nehmen ?
Zum Vergrößern anklicken....

Danke !

https://trac.boxmatrix.info/freetz-ng/changeset/15661/freetz-ng

sinngemäß dann :

CA-BUNDLE Paket in freetz mit compilieren.

Änderung in stubby.yml :

Code: 
tls_ca_file: "/etc/ssl/certs/ca-bundle.crt"

PS :
Kann man nebenbei dann auch sehr gut mit Curl und Wget für HTTPS Sites nutzen :

Ref :
https://trac.boxmatrix.info/freetz-ng/changeset/15669/freetz-ng
+
https://trac.boxmatrix.info/freetz-ng/changeset/15109/freetz-ng


Weiterführende Links zu Stubby DNS-o-TLS Proxy (DOT) :


https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Project+Homepage

Stubby Home :
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Daemon+-+Stubby

 
Zuletzt bearbeitet:
Stubby im GETDNS Paket hat nun auch ein WebIF bekommen. Siehe Ref. :
github.com

stubby: add webui (#221) · Freetz/freetz@db9c10c

Freetz firmware extension/modification for the AVM FRITZ!Box series and devices with identical hardware - stubby: add webui (#221) · Freetz/freetz@db9c10c
github.com github.com
 
Zuletzt bearbeitet:
  • Like
Reaktionen: SinusX
Ich glaube eine Priorisierungsregel für Stubby als Fremdprogramm in der Fritzbox kann nicht schaden ?! :

stubby1.png
stubby.jpg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 715 (Mitglieder: 29, Gäste: 686)

Neueste Beiträge

Statistik des Forums

Themen
244,837
Beiträge
2,219,236
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück