[Frage] "getdns"-Paket

zyrill

Neuer User
Mitglied seit
29 Jul 2009
Beiträge
89
Punkte für Reaktionen
0
Punkte
6
Ich habe das Thema mit den stubby devs diskutiert und wir haben das Problem gefunden, es war ein Bug, der beseitigt wird. For future reference: https://github.com/getdnsapi/stubby/issues/46

Problem war (auszugsweise)
Code:
Verify failed : Transport=TLS - *Failure* - (20) "unable to get local issuer certificate"
Wird mit der nächsten Version gefixt. Lösung ist wohl einstweilen, in der config
Code:
tls_authentication: GETDNS_AUTHENTICATION_NONE
zu setzen. Kann ich allerdings erst ausprobieren, wenn ich wieder zu Hause bin.

Edit: jo, so funktionierts... :)
 
Zuletzt bearbeitet:

zyrill

Neuer User
Mitglied seit
29 Jul 2009
Beiträge
89
Punkte für Reaktionen
0
Punkte
6
Hab mal einen PR erstellt, funzt ja und bevor ichs vergesse... vielleicht hat jemand Spaß daran, auch ohne WebIF aktuell.
 

feedzapper

Neuer User
Mitglied seit
28 Jan 2008
Beiträge
91
Punkte für Reaktionen
8
Punkte
8
Überarbeitet 03.09.2019 :

How to "getdns" Paket (STUBBY DNS-o-TLS Proxy) in Freetz mit DNSMASQ + DNSSEC nutzen (kurz und knapp) hier nur ipv4 :

1. stubby.yml nach /tmp/flash/kopieren. Danach "modsave"
2. CA-BUNDLE in Freetz-ng mit compilieren (benötigte Certificate Datei wird mit ins image kopiert und liegt unter /etc/ssl/certs/ca-bundle.crt

In die rc.custom eintragen :
stubby -g -C /tmp/flash/stubby.yml

EIGENE dnsmasq.conf anlegen -> WebIF -> dnsmasq -> extra
(https://freetz.github.io/wiki/packages/dnsmasq.html#KompletteigeneKonfiguration)

Code:
domain-needed
log-async=20
no-resolv
no-negcache
max-ttl=600
server=127.0.0.1#5453
dnssec
conf-file=/mod/etc/default.dnsmasq/trust-anchors.conf
dnssec-timestamp=/var/media/ftp/Dokumente/mtime
user=root
bogus-priv
dhcp-range=192.168.178.10,192.168.178.20,12h
domain=fritz.box
expand-hosts
read-ethers
cache-size=4096
Stubby läuft auf Port 5453 und wird für Standardanfragen genutzt.

stubby.yml (alle vier Upstream Server können DNSSEC) DNSSEC Validierungen werden hier weiterhin von DNSMASQ vorgenommen. Die DNSSEC Validierung über Stubby ist deaktiviert (dnssec_return_status) !

Code:
tls_ca_file: "/etc/ssl/certs/ca-bundle.crt"
resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
# dnssec_return_status: GETDNS_EXTENSION_TRUE
# appdata_dir: "/tmp/flash/stubby"
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 256
edns_client_subnet_private : 1
idle_timeout: 60000
timeout: 5000
tls_connection_retries: 5
tls_backoff_time: 900
listen_addresses:
  - [email protected]
round_robin_upstreams: 1
upstream_recursive_servers:
# The getdnsapi.net server
  - address_data: 185.49.141.37
    tls_auth_name: "getdnsapi.net"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: foxZRnIh9gZpWnl+zEiKa0EJ2rdCGroMWm02gaxSc9Q=
# The ns2.dnsprivacy.at
  - address_data: 94.130.110.178
    tls_auth_name: "ns2.dnsprivacy.at"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: s5Em89o0kigwfBF1gcXWd8zlATSWVXsJ6ecZfmBDTKg=
# The ns1.dnsprivacy.at
  - address_data: 94.130.110.185
    tls_auth_name: "ns1.dnsprivacy.at"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: vqVQ9TcoR9RDY3TpO0MTXw1YQLjF44zdN3/4PkLwtEY=
# The Fondation RESTENA
  - address_data: 158.64.1.29
    tls_auth_name: "kaitain.restena.lu"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: 7ftvIkA+UeN/ktVkovd/7rPZ6mbkhVI7/8HnFJIiLa4=
Seite zum Testen der Server :
GRC | DNS Nameserver Spoofability Test

Könnte evtl. jemand das "getdns" Paket updaten ?
stubby -V sagt -> Version 0.2.3
Ich habe in Tomato -> Version 0.2.6 (damit kann man auch in eigene logfiles Schreiben lassen)

-- Aktualisiert --
 
Zuletzt bearbeitet:

feedzapper

Neuer User
Mitglied seit
28 Jan 2008
Beiträge
91
Punkte für Reaktionen
8
Punkte
8
Vielleicht könnte man dann auch gleich das "cacert.pem" mit ins Image nehmen ?
Danke !

https://trac.boxmatrix.info/freetz-ng/changeset/15661/freetz-ng

sinngemäß dann :

CA-BUNDLE Paket in freetz mit compilieren.

Änderung in stubby.yml :

Code:
tls_ca_file: "/etc/ssl/certs/ca-bundle.crt"
PS :
Kann man nebenbei dann auch sehr gut mit Curl und Wget für HTTPS Sites nutzen :

Ref :
https://trac.boxmatrix.info/freetz-ng/changeset/15669/freetz-ng
+
https://trac.boxmatrix.info/freetz-ng/changeset/15109/freetz-ng


Weiterführende Links zu Stubby DNS-o-TLS Proxy (DOT) :


https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Project+Homepage

Stubby Home :
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Daemon+-+Stubby

 
Zuletzt bearbeitet:

feedzapper

Neuer User
Mitglied seit
28 Jan 2008
Beiträge
91
Punkte für Reaktionen
8
Punkte
8
Ich glaube eine Priorisierungsregel für Stubby als Fremdprogramm in der Fritzbox kann nicht schaden ?! :

stubby1.png
stubby.jpg
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,643
Beiträge
2,025,139
Mitglieder
350,529
Neuestes Mitglied
Matthias1983