[Frage] "getdns"-Paket

zyrill

Neuer User
Mitglied seit
29 Jul 2009
Beiträge
89
Punkte für Reaktionen
0
Punkte
6
Ich habe das Thema mit den stubby devs diskutiert und wir haben das Problem gefunden, es war ein Bug, der beseitigt wird. For future reference: https://github.com/getdnsapi/stubby/issues/46

Problem war (auszugsweise)
Code:
Verify failed : Transport=TLS - *Failure* - (20) "unable to get local issuer certificate"
Wird mit der nächsten Version gefixt. Lösung ist wohl einstweilen, in der config
Code:
tls_authentication: GETDNS_AUTHENTICATION_NONE
zu setzen. Kann ich allerdings erst ausprobieren, wenn ich wieder zu Hause bin.

Edit: jo, so funktionierts... :)
 
Zuletzt bearbeitet:

zyrill

Neuer User
Mitglied seit
29 Jul 2009
Beiträge
89
Punkte für Reaktionen
0
Punkte
6
Hab mal einen PR erstellt, funzt ja und bevor ichs vergesse... vielleicht hat jemand Spaß daran, auch ohne WebIF aktuell.
 

feedzapper

Neuer User
Mitglied seit
28 Jan 2008
Beiträge
89
Punkte für Reaktionen
7
Punkte
8
Überarbeitet 07.06.2019 :

How to "getdns" Paket (STUBBY DNS-o-TLS Proxy) in Freetz mit DNSMASQ + DNSSEC nutzen (kurz und knapp) hier nur ipv4 :

1. stubby.yml nach /tmp/flash/kopieren. Danach "modsave"
2. CA-BUNDLE in Freetz-ng mit compilieren (benötigte Certificate Datei wird mit ins image kopiert und liegt unter /etc/ssl/certs/ca-bundle.crt

In die rc.custom eintragen :
stubby -g -C /tmp/flash/stubby.yml

EIGENE dnsmasq.conf anlegen -> WebIF -> dnsmasq -> extra
(https://freetz.github.io/wiki/packages/dnsmasq.html#KompletteigeneKonfiguration)

Code:
domain-needed
log-async=20
no-resolv
no-negcache
max-ttl=600
server=127.0.0.1#5453
dnssec
conf-file=/mod/etc/default.dnsmasq/trust-anchors.conf
dnssec-timestamp=/var/media/ftp/Dokumente/mtime
user=root
bogus-priv
dhcp-range=192.168.178.10,192.168.178.20,12h
domain=fritz.box
expand-hosts
read-ethers
cache-size=4096
Stubby läuft auf Port 5453 und wird für Standardanfragen genutzt.

stubby.yml (alle drei Upstream Server können DNSSEC) DNSSEC Validierungen werden hier weiterhin von DNSMASQ vorgenommen. Die DNSSEC Validierung über Stubby ist deaktiviert (dnssec_return_status) !

Code:
tls_ca_file: "/etc/ssl/certs/ca-bundle.crt"
resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
# dnssec_return_status: GETDNS_EXTENSION_TRUE
# appdata_dir: "/tmp/flash/stubby"
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 256
edns_client_subnet_private : 1
idle_timeout: 2000
timeout: 2000
tls_connection_retries: 5
tls_backoff_time: 900
listen_addresses:
  - [email protected]
round_robin_upstreams: 1
upstream_recursive_servers:
# The getdnsapi.net server
  - address_data: 185.49.141.37
    tls_auth_name: "getdnsapi.net"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: foxZRnIh9gZpWnl+zEiKa0EJ2rdCGroMWm02gaxSc9Q=
# The ns2.dnsprivacy.at
  - address_data: 94.130.110.178
    tls_auth_name: "ns2.dnsprivacy.at"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: s5Em89o0kigwfBF1gcXWd8zlATSWVXsJ6ecZfmBDTKg=
# The Fondation RESTENA
  - address_data: 158.64.1.29
    tls_auth_name: "kaitain.restena.lu"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: 7ftvIkA+UeN/ktVkovd/7rPZ6mbkhVI7/8HnFJIiLa4=
Seite zum Testen der Server :
GRC | DNS Nameserver Spoofability Test

Könnte evtl. jemand das "getdns" Paket updaten ?
stubby -V sagt -> Version 0.2.3
Ich habe in Tomato -> Version 0.2.6 (damit kann man auch in eigene logfiles Schreiben lassen)

-- Aktualisiert --


default Tomato Stubby.yml incl. Ipv4/Ipv6 :

Code:
tls_ca_file: "/rom/cacert.pem"
resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 256
edns_client_subnet_private : 1
idle_timeout: 10000
listen_addresses:
  - [email protected]
  -  0::[email protected]
round_robin_upstreams: 1
upstream_recursive_servers:
# IPv4 addresses
# Cloudflare
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
  - address_data: 1.0.0.1
    tls_auth_name: "cloudflare-dns.com"
# Google
  - address_data: 8.8.8.8
    tls_auth_name: "dns.google"
  - address_data: 8.8.4.4
    tls_auth_name: "dns.google"
# Quad 9 'secure' service - Filters, does DNSSEC, doesn't send ECS
  - address_data: 9.9.9.9
    tls_auth_name: "dns.quad9.net"
# The Surfnet/Sinodun servers
  - address_data: 145.100.185.15
    tls_auth_name: "dnsovertls.sinodun.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: 62lKu9HsDVbyiPenApnc4sfmSYTHOVfFgL3pyB+cBL4=
  - address_data: 145.100.185.16
    tls_auth_name: "dnsovertls1.sinodun.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: cE2ecALeE5B+urJhDrJlVFmf38cJLAvqekONvjvpqUA=
# The getdnsapi.net server
  - address_data: 185.49.141.37
    tls_auth_name: "getdnsapi.net"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: foxZRnIh9gZpWnl+zEiKa0EJ2rdCGroMWm02gaxSc9Q=
# IPv6 addresses
# Cloudflare
  - address_data: 2606:4700:4700::1111
    tls_auth_name: "cloudflare-dns.com"
  - address_data: 2606:4700:4700::1001
    tls_auth_name: "cloudflare-dns.com"
# Google
  - address_data: 2001:4860:4860::8888
    tls_auth_name: "dns.google"
  - address_data: 2001:4860:4860::8844
    tls_auth_name: "dns.google"
# Quad 9 'secure' service - Filters, does DNSSEC, doesn't send ECS
  - address_data: 2620:fe::fe
    tls_auth_name: "dns.quad9.net"
# The Surfnet/Sinodun servers
  - address_data: 2001:610:1:40ba:145:100:185:15
    tls_auth_name: "dnsovertls.sinodun.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: 62lKu9HsDVbyiPenApnc4sfmSYTHOVfFgL3pyB+cBL4=
  - address_data: 2001:610:1:40ba:145:100:185:16
    tls_auth_name: "dnsovertls1.sinodun.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: cE2ecALeE5B+urJhDrJlVFmf38cJLAvqekONvjvpqUA=
# The getdnsapi.net server
  - address_data: 2a04:b900:0:100::38
    tls_auth_name: "getdnsapi.net"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: foxZRnIh9gZpWnl+zEiKa0EJ2rdCGroMWm02gaxSc9Q=
 
Zuletzt bearbeitet:

feedzapper

Neuer User
Mitglied seit
28 Jan 2008
Beiträge
89
Punkte für Reaktionen
7
Punkte
8
Vielleicht könnte man dann auch gleich das "cacert.pem" mit ins Image nehmen ?
Danke !

https://trac.boxmatrix.info/freetz-ng/changeset/15661/freetz-ng

sinngemäß dann :

CA-BUNDLE Paket in freetz mit compilieren.

Änderung in stubby.yml :

Code:
tls_ca_file: "/etc/ssl/certs/ca-bundle.crt"
PS :
Kann man nebenbei dann auch sehr gut mit Curl und Wget für HTTPS Sites nutzen :

Ref :
https://trac.boxmatrix.info/freetz-ng/changeset/15669/freetz-ng
+
https://trac.boxmatrix.info/freetz-ng/changeset/15109/freetz-ng


Weiterführende Links zu Stubby DNS-o-TLS Proxy (DOT) :


https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Project+Homepage

Stubby Home :
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Daemon+-+Stubby

 
Zuletzt bearbeitet:

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
231,878
Beiträge
2,016,256
Mitglieder
348,980
Neuestes Mitglied
chappietweeds