Forum Debian Users Gang

mark · 2020-10-27 14:45:35

Zainstalowałem dnscrypt-proxy + dnsmasq w Debianie v.10.6. Zaznaczę na początku, że postępowałem według wskazówek morfik autora strony:
https://morfikov.github.io/post/szyfrowany-dns-z-dn … debian-linux/

Wyłączyłem usługi systemd-resolve oraz dnscrypt-proxy.socket. Nie wiem gdzie popełniłem błąd gdyż daemon dnscrypt-proxy nie chce wystartować.

Kod:

 systemctl status systemd-resolved
● systemd-resolved.service - Network Name Resolution
   Loaded: loaded (/lib/systemd/system/systemd-resolved.service; disabled; vendo
  Drop-In: /usr/lib/systemd/system/systemd-resolved.service.d
           └─resolvconf.conf
   Active: inactive (dead)


 systemctl status dnscrypt-proxy.socket
● dnscrypt-proxy.socket - dnscrypt-proxy listening socket
   Loaded: loaded (/lib/systemd/system/dnscrypt-proxy.socket; disabled; vendor p
   Active: failed (Result: service-start-limit-hit)


systemctl status dnscrypt-proxy
● dnscrypt-proxy.service - DNSCrypt client proxy
   Loaded: loaded (/etc/systemd/system/dnscrypt-proxy.service; enabled; vendor p
   Active: failed (Result: exit-code) since Tue 2020-10-27 14:08:06 CET; 32min 


systemctl status dnsmasq
● dnsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server
   Loaded: loaded (/etc/systemd/system/dnsmasq.service; enabled; vendor preset: 
   Active: active (running)

Kod:

sudo journalctl -xe
-- Support: https://www.debian.org/support
-- 
-- Proces ExecStart= należący do jednostki UNIT zakończył działanie.
-- 
-- Kod wyjścia procesu: „exited”, jego stan wyjścia: 203.
paź 27 13:57:46 marek systemd[668]: eos-update-notifier.service: Failed with res
-- Subject: Jednostka się nie powiodła
-- Defined-By: systemd
-- Support: https://www.debian.org/support
-- 
-- Jednostka UNIT przeszła do stanu „failed” (niepowodzenia)
-- z wynikiem „exit-code”.
paź 27 13:57:46 marek systemd[668]: Failed to start EOS update notifier service.
-- Subject: Zadanie uruchamiania dla jednostki UNIT się nie powiodło
-- Defined-By: systemd
-- Support: https://www.debian.org/support
-- 
-- Zadanie uruchamiania dla jednostki UNIT zostało ukończone z niepowodzeniem.
-- 
-- Identyfikator zadania: 226, wynik zadania: failed.
paź 27 13:57:49 marek sudo[1671]: pam_unix(sudo:session): session closed for use
paź 27 13:58:17 marek sudo[1677]:    marek : TTY=pts/0 ; PWD=/home/marek ; USER=
paź 27 13:58:17 marek sudo[1677]: pam_unix(sudo:session): session opened for use
lines 2546-2568/2568 (END)
-- Support: https://www.debian.org/support
-- 
-- Proces ExecStart= należący do jednostki UNIT zakończył działanie.
-- 
-- Kod wyjścia procesu: „exited”, jego stan wyjścia: 203.
paź 27 13:57:46 marek systemd[668]: eos-update-notifier.service: Failed with result 'exit-code'.
-- Subject: Jednostka się nie powiodła
-- Defined-By: systemd

Załączam wgląd w pliki wiodące.

Kod:

cat /etc/resolv.conf
# Generated by NetworkManager
search home
nameserver 192.168.1.1
nameserver 127.0.0.1

W tej chwili widać mój IP nadpisany przez NetworkManager. Bez niego nie mam połączenia net.

Kod:

cat /etc/dnscrypt-proxy/dnscrypt-proxy.toml

##################################
#         Global settings        #
##################################

 server_names = ['cloudflare']

listen_addresses = ['127.0.2.1:53']

max_clients = 256

 user_name = 'dnscrypt-proxy'

ipv4_servers = true

ipv6_servers = false

dnscrypt_servers = true

doh_servers = true

require_dnssec = false

force_tcp = false

timeout = 2500

keepalive = 30

cert_refresh_delay = 240

 dnscrypt_ephemeral_keys = true

 tls_disable_session_tickets = true

#  [local_doh]
#listen_addresses = ['127.0.0.1:3000']
path = "/dns-query"
cert_file = "localhost.pem"
cert_key_file = "localhost.pem"

 tls_cipher_suite = [4865]

fallback_resolver = '9.9.9.9:53'

ignore_system_dns = true

netprobe_timeout = 60
netprobe_address = '9.9.9.9:53'


#########################
#        Filters        #
#########################

block_ipv6 = true
block_unqualified = true
block_undelegated = true

###########################
#        DNS cache        #
###########################

cache = false

[sources]

  [sources.'public-resolvers']
  urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/public-resolvers.md', 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md']
  cache_file = 'public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

  [sources.'relays']
  urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/relays.md', 'https://download.dnscrypt.info/resolvers-list/v2/relays.md']
  cache_file = 'relays.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

Kod:

cat /etc/dnsmasq.conf
enable-dbus
port=53
domain-needed
bogus-priv
stop-dns-rebind
rebind-localhost-ok
#rebind-domain-ok=free.aero2.net.pl
no-resolv
no-poll
server=127.0.2.1#53
#server=/mhouse/192.168.1.1#53
local=/lh/
#address=/bdi.free.aero2.net.pl/10.2.37.78
user=dnsmasq
group=nogroup
interface=lo
no-dhcp-interface=lo
bind-interfaces
expand-hosts
domain=lh
dns-forward-max=256
cache-size=4096
min-cache-ttl=600
max-cache-ttl=3600
no-negcache

Ostatnio edytowany przez mark (2020-10-30 21:01:43)

morfik · 2020-10-27 15:55:27

Dnscrypt się wykrzacza -- pokaż jego log.

Być może user w tym jest zły:

Kod:

user_name = 'dnscrypt-proxy'

W debianie nie ma takiego -- jest za to _dnscrypt-proxy . Chodzi o ten podkreślnik na początku.

Ostatnio edytowany przez morfik (2020-10-27 15:58:39)

mark · 2020-10-27 17:25:32

Logi dnscrypt są puste. Jeśli chodzi o ten podkreślnik na początku, myślałem to błąd i go usunąłem ale wcześniej była identyczna sytuacja. Kombinowałem cały dzień bezskutecznie. Dodałem siebie do stworzonej grupy dnscrypt-proxy i się w końcu poddałem. Nie uruchamia!

morfik · 2020-10-27 17:35:18

Odpal z palca dnscrypt w terminalu.

mark · 2020-10-27 19:04:48

Czy o to chodziło?

Kod:

sudo systemctl start dnscrypt-proxy
[sudo] hasło użytkownika marek: 
[marek@marek ~]$ sudo systemctl status dnscrypt-proxy
● dnscrypt-proxy.service - DNSCrypt client proxy
   Loaded: loaded (/etc/systemd/system/dnscrypt-proxy.service; enabled; vendor p
   Active: failed (Result: exit-code) since Tue 2020-10-27 19:00:19 CET; 12s ago
     Docs: https://github.com/DNSCrypt/dnscrypt-proxy/wiki
  Process: 3272 ExecStart=/usr/sbin/dnscrypt-proxy -config /etc/dnscrypt-proxy/d
 Main PID: 3272 (code=exited, status=255/EXCEPTION)

paź 27 19:00:19 marek systemd[1]: Started DNSCrypt client proxy.
paź 27 19:00:19 marek dnscrypt-proxy[3272]: [2020-10-27 19:00:19] [FATAL] Unsupp
paź 27 19:00:19 marek systemd[1]: dnscrypt-proxy.service: Main process exited, c
paź 27 19:00:19 marek systemd[1]: dnscrypt-proxy.service: Failed with result 'ex

Tak poza nawiasem, dlaczego terminal obcina tekst nawet na pełnym ekranie?

Ostatnio edytowany przez mark (2020-10-27 19:06:27)

morfik · 2020-10-27 19:44:04

Nie o to ale to wystarczy. Chodziło o wpisanie w terminalu dnscrypt-proxy i parametrów, których używasz do uruchomienia procesu.

Gdybyś wkleił nieucięte wyjście tego co wrzuciłeś (używaj --no-pager -l), to tam byś miał cały komunikat: [FATAL] Unsupp... pewnie coś jest unsupported.

Ostatnio edytowany przez morfik (2020-10-27 19:45:20)

mark · 2020-10-27 20:04:18

OK już wiem->

Kod:

sudo systemctl status dnscrypt-proxy --no-pager -l
● dnscrypt-proxy.service - DNSCrypt client proxy
   Loaded: loaded (/etc/systemd/system/dnscrypt-proxy.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Tue 2020-10-27 20:25:50 CET; 1min 54s ago
     Docs: https://github.com/DNSCrypt/dnscrypt-proxy/wiki
  Process: 6427 ExecStart=/usr/sbin/dnscrypt-proxy -config /etc/dnscrypt-proxy/dnscrypt-proxy.toml (code=exited, status=255/EXCEPTION)
 Main PID: 6427 (code=exited, status=255/EXCEPTION)

paź 27 20:25:50 marek systemd[1]: Started DNSCrypt client proxy.
paź 27 20:25:50 marek dnscrypt-proxy[6427]: [2020-10-27 20:25:50] [FATAL] Unsupported key in configuration file: [path]
paź 27 20:25:50 marek systemd[1]: dnscrypt-proxy.service: Main process exited, code=exited, status=255/EXCEPTION
paź 27 20:25:50 marek systemd[1]: dnscrypt-proxy.service: Failed with result 'exit-code'.

i jeszcze tak->

Kod:

 sudo systemctl start dnscrypt-proxy

 sudo journalctl -xe
-- Defined-By: systemd
-- Support: https://www.debian.org/support
-- 
-- Pomyślnie ukończono zadanie uruchamiania dla jednostki anacron.service.
-- 
-- Identyfikator zadania: 2717.
paź 27 20:32:25 marek anacron[6563]: Anacron 2.3 started on 2020-10-27
paź 27 20:32:25 marek anacron[6563]: Normal exit (0 jobs run)
paź 27 20:32:25 marek systemd[1]: anacron.service: Succeeded.
-- Subject: Jednostka się powiodła
-- Defined-By: systemd
-- Support: https://www.debian.org/support
-- 
-- Jednostka anacron.service pomyślnie przeszła do stanu „dead” (martwego).
paź 27 20:33:37 marek sudo[6568]:    marek : TTY=pts/1 ; PWD=/home/marek ; USER=root ; COMMAND=/usr/bin/sudo journalctl -xe
paź 27 20:33:37 marek sudo[6568]: pam_unix(sudo:session): session opened for user root by (uid=0)
paź 27 20:33:37 marek sudo[6569]:     root : TTY=pts/1 ; PWD=/home/marek ; USER=root ; COMMAND=/usr/bin/journalctl -xe
paź 27 20:33:37 marek sudo[6569]: pam_unix(sudo:session): session opened for user root by (uid=0)
paź 27 20:35:12 marek sudo[6569]: pam_unix(sudo:session): session closed for user root
paź 27 20:35:12 marek sudo[6568]: pam_unix(sudo:session): session closed for user root
paź 27 20:35:27 marek sudo[6578]:    marek : TTY=pts/1 ; PWD=/home/marek ; USER=root ; COMMAND=/usr/bin/journalctl -xe
paź 27 20:35:27 marek sudo[6578]: pam_unix(sudo:session): session opened for user root by (uid=0)
paź 27 20:35:44 marek sudo[6578]: pam_unix(sudo:session): session closed for user root
paź 27 20:36:06 marek sudo[6582]:    marek : TTY=pts/1 ; PWD=/home/marek ; USER=root ; COMMAND=/usr/bin/systemctl start dnscrypt-proxy
paź 27 20:36:06 marek sudo[6582]: pam_unix(sudo:session): session opened for user root by (uid=0)
paź 27 20:36:06 marek systemd[1]: Started DNSCrypt client proxy.
-- Subject: Pomyślnie ukończono zadanie uruchamiania dla jednostki dnscrypt-proxy.service
-- Defined-By: systemd
-- Support: https://www.debian.org/support
-- 
-- Pomyślnie ukończono zadanie uruchamiania dla jednostki dnscrypt-proxy.service.
-- 
-- Identyfikator zadania: 2782.
paź 27 20:36:06 marek sudo[6582]: pam_unix(sudo:session): session closed for user root
paź 27 20:36:06 marek dnscrypt-proxy[6585]: [2020-10-27 20:36:06] [FATAL] Unsupported key in configuration file: [path]
paź 27 20:36:06 marek systemd[1]: dnscrypt-proxy.service: Main process exited, code=exited, status=255/EXCEPTION
-- Subject: Proces jednostki zakończył działanie
-- Defined-By: systemd
-- Support: https://www.debian.org/support
-- 
-- Proces ExecStart= należący do jednostki dnscrypt-proxy.service zakończył działanie.
-- 
-- Kod wyjścia procesu: „exited”, jego stan wyjścia: 255.
paź 27 20:36:06 marek systemd[1]: dnscrypt-proxy.service: Failed with result 'exit-code'.
-- Subject: Jednostka się nie powiodła
-- Defined-By: systemd
-- Support: https://www.debian.org/support
-- 
-- Jednostka dnscrypt-proxy.service przeszła do stanu „failed” (niepowodzenia)
-- z wynikiem „exit-code”.
paź 27 20:36:19 marek sudo[6594]:    marek : TTY=pts/1 ; PWD=/home/marek ; USER=root ; COMMAND=/usr/bin/journalctl -xe
paź 27 20:36:19 marek sudo[6594]: pam_unix(sudo:session): session opened for user root by (uid=0)

Ostatnio edytowany przez mark (2020-10-27 20:38:28)

morfik · 2020-10-27 22:29:00

Wykomentuj cały blok od serwera DoH w pliku konfiguracyjnym.

mark · 2020-10-28 17:29:32

morfik napisał(-a):
Wykomentuj cały blok od serwera DoH w pliku konfiguracyjnym.

Nic to nie zmieniło ale mam podejrzenie, że przyczyną może być konflikt zajętym już portem : 53 na którym chce usiąść dnscrypt.

Kod:

systemctl status dnscrypt-proxy --no-pager -l
● dnscrypt-proxy.service - DNSCrypt client proxy
   Loaded: loaded (/etc/systemd/system/dnscrypt-proxy.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Wed 2020-10-28 17:08:04 CET; 15min ago
     Docs: https://github.com/DNSCrypt/dnscrypt-proxy/wiki
 Main PID: 2769 (code=exited, status=255/EXCEPTION)

paź 28 17:08:04 marek systemd[1]: Started DNSCrypt client proxy.
paź 28 17:08:04 marek dnscrypt-proxy[2769]: [2020-10-28 17:08:04] [NOTICE] Source [relays.md] loaded
paź 28 17:08:04 marek dnscrypt-proxy[2769]: [2020-10-28 17:08:04] [ERROR] Invalid or unsupported stamp: [sdns://gRE1MS4xNTguMTY2Ljk3OjQ0Mw]
paź 28 17:08:04 marek dnscrypt-proxy[2769]: [2020-10-28 17:08:04] [CRITICAL] Unable to use source [relays]: [Unsupported stamp version or protocol]
paź 28 17:08:04 marek dnscrypt-proxy[2769]: [2020-10-28 17:08:04] [NOTICE] Source [public-resolvers.md] loaded
paź 28 17:08:04 marek dnscrypt-proxy[2769]: [2020-10-28 17:08:04] [NOTICE] dnscrypt-proxy 2.0.19
paź 28 17:08:04 marek dnscrypt-proxy[2769]: [2020-10-28 17:08:04] [FATAL] listen udp 127.0.2.1:53: bind: address already in use
paź 28 17:08:04 marek systemd[1]: dnscrypt-proxy.service: Main process exited, code=exited, status=255/EXCEPTION
paź 28 17:08:04 marek systemd[1]: dnscrypt-proxy.service: Failed with result 'exit-code'.

Kod:

# netstat -tulpn | grep 53
tcp        0      0 127.0.2.1:53            0.0.0.0:*               LISTEN      1/init              
udp        0      0 224.0.0.251:5353        0.0.0.0:*                           1825/chromium --sho 
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           572/avahi-daemon: r 
udp        0      0 127.0.2.1:53            0.0.0.0:*                           1/init              
udp6       0      0 :::5353                 :::*                                572/avahi-daemon: r

Dla przejrzystości wyłączyłem chwilowo dnsmasq. Czy to avahi-daemon blokuje mi 53 port? Jak się z tym uporać?

morfik · 2020-10-28 18:26:50

Zmieniło. Teraz masz błąd:

Kod:

[ERROR] Invalid or unsupported stamp: [sdns://gRE1MS4xNTguMTY2Ljk3OjQ0Mw]
[CRITICAL] Unable to use source [relays]: [Unsupported stamp version or protocol]

No i używasz soketów systemd, a dnscrypt próbujesz konfigurować bez soketów -- tak to nie zadziała. Przeczytaj powoli ten mój artykuł.

mark · 2020-10-28 19:15:05

No i używasz soketów systemd, a dnscrypt próbujesz konfigurować bez soketów — tak to nie zadziała.

Mia culpa faktycznie masz rację, sockety były włączone. Wcześniej zrobiłem im stop lecz nie diisable i dlatego po restarcie systemu one wstały ponownie.
Teraz wyłączyłem i dalej UPS!

Kod:

systemctl status dnscrypt-proxy --no-pager -l
● dnscrypt-proxy.service - DNSCrypt client proxy
   Loaded: loaded (/etc/systemd/system/dnscrypt-proxy.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Wed 2020-10-28 19:06:27 CET; 42s ago
     Docs: https://github.com/DNSCrypt/dnscrypt-proxy/wiki
  Process: 6124 ExecStart=/usr/sbin/dnscrypt-proxy -config /etc/dnscrypt-proxy/dnscrypt-proxy.toml (code=exited, status=255/EXCEPTION)
 Main PID: 6124 (code=exited, status=255/EXCEPTION)

paź 28 19:06:27 marek systemd[1]: Started DNSCrypt client proxy.
paź 28 19:06:27 marek dnscrypt-proxy[6124]: [2020-10-28 19:06:27] [FATAL] No servers configured
paź 28 19:06:27 marek systemd[1]: dnscrypt-proxy.service: Main process exited, code=exited, status=255/EXCEPTION
paź 28 19:06:27 marek systemd[1]: dnscrypt-proxy.service: Failed with result 'exit-code'.

"No servers configured" a jest przecież "server_names = ['cloudflare']"

morfik · 2020-10-28 19:22:16

Pokaż cały config dnscrypt.

mark · 2020-10-28 19:29:11

morfik napisał(-a):
Pokaż cały config dnscrypt.

Kod:

##################################
#         Global settings        #
##################################

 server_names = ['cloudflare']

listen_addresses = ['127.0.2.1:53']

max_clients = 256

 user_name = '_dnscrypt-proxy'

ipv4_servers = true

ipv6_servers = false

dnscrypt_servers = true

doh_servers = true

require_dnssec = false

force_tcp = false

timeout = 2500

keepalive = 30

cert_refresh_delay = 240

# dnscrypt_ephemeral_keys = true

 tls_disable_session_tickets = true

block_unqualified = true

block_undelegated = true

cache = false
 
[sources]

  [sources.'public-resolvers']
  urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/public-resolvers.md', 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md']
  cache_file = 'public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

  [sources.'relays']
  urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/relays.md', 'https://download.dnscrypt.info/resolvers-list/v2/relays.md']
  cache_file = 'relays.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

morfik · 2020-10-28 19:57:08

Coś musiało się pochrzanić w tym pliku co masz. Spróbuj sobie przekopiować /usr/share/doc/dnscrypt-proxy/examples/example-dnscrypt-proxy.toml do /etc/dnscrypt-proxy/dnscrypt-proxy.toml i jeszcze raz ustawić na nowo wszystko.

mark · 2020-10-28 21:40:08

Wczytałem ponownie konfigurację z pliku example.
Dlaczego sockety startują z systemem pomimo zapodania systemctl disable? Teraz zatrzymałem sockety i również dnsmasq i dopiero wtedy dnscrypt wystartował. Jednak nie daje się uruchomić ponownie dnsmasq gdyż port adresu 127.0.2.1:53 już jest zajęty przez dnscrypt. Konflikt zajętości portu..

Kod:

journalctl -b -u dnsmasq.service --no-pager -l
dnsmasq[2391]: BŁĄD: nie udało się uruchomić dnsmasq-a
paź 28 21:25:16 marek systemd[1]: Failed to start dnsmasq - A lightweight DHCP and caching DNS server.
paź 28 21:29:16 marek systemd[1]: Starting dnsmasq - A lightweight DHCP and caching DNS server...
paź 28 21:29:16 marek dnsmasq[2427]: dnsmasq: składnia sprawdzona, jest prawidłowa.
paź 28 21:29:16 marek dnsmasq[2436]: uruchomiony, wersja 2.80, 4096 miejsc w pamięci podręcznej
paź 28 21:29:16 marek dnsmasq[2436]: opcje kompilacji: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth DNSSEC loop-detect inotify dumpfile
paź 28 21:29:16 marek dnsmasq[2436]: obsługa DBus włączona, podłączono do serwera DBus
paź 28 21:29:16 marek dnsmasq[2436]: używam serwera nazw 127.0.2.1#5300
paź 28 21:29:16 marek dnsmasq[2436]: wczytałem /etc/hosts - 5 adresów

Tutaj widać, że zmieniłem port na 5300 lecz to nie działa. Masz jakiś pomysł?

Ostatnio edytowany przez mark (2020-10-28 21:41:40)

morfik · 2020-10-28 22:50:12

Ale dnsmasq nasłuchuje standardowo na 127.0.0.1, więc zobacz co ci tam blokuje adres 127.0.0.1 i port 53 -- pewnie systemd-resolved, który powinien być wyłączony (ew. jakaś jeszcze inna usługa).

hi · 2020-10-29 16:17:25

sorry za wtrącenie w wątek ale na openwrt mam tak:

/etc/config/dnscrypt-proxy

Kod:

config dnscrypt-proxy ns1
    option address '127.0.0.1'
    option port '5353'
    option resolver 'cisco'

zaznaczam, że to jest OpenWRT (inne ścieżki+sysv)

Ostatnio edytowany przez hi (2020-10-29 16:26:19)

mark · 2020-10-29 18:20:06

hi napisał(-a):
sorry za wtrącenie w wątek ale na openwrt mam tak:

/etc/config/dnscrypt-proxy
Kod:
config dnscrypt-proxy ns1
    option address '127.0.0.1'
    option port '5353'
    option resolver 'cisco'
zaznaczam, że to jest OpenWRT (inne ścieżki+sysv)

Ależ nie ma za co każdy głos w dyskusji coś wnosi a przecież tego wszyscy chcemy.

Ja zrobię tak, ponieważ mam dziwne problemy z dnscryptem i dnsmasq tutaj w debianie, odinstaluję wszystko i ponownie oprę się na samym dnscrypt. Instalowałem tą aplikację wcześniej w Archu i także nie było łatwo jednak ostatecznie zatrybiło. Debian jakiś oporny albo ja niekumaty. Spróbuję ponownie bez dnsmasq, bo w sumie mnie niepotrzebny, z kontrolą systemd-resolved i socketami. Myślę tak pozbędę się problemu. Jak będzie dam znać. Na razie dziękuję za pomoc!

*************** Zgłaszam się ponownie **********************

Preinstalowałem sam dnscrypt-proxy i tym razem oparłem się na systemd-resolved.service i socket. Dnscrypt-proxy uruchomił się dopiero po zhaszowaniu w pliku konfiguracyjnym

Kod:

/etc/dnscrypt-proxy/dnscrypt-proxy.toml
# user_name = '_dnscrypt-proxy'

Usługa uruchomiona lecz brak szyfrowania. Test Cloudflare wypada: Secure DNS. Nie dziwi mnie to gdyż NetworkManager nadpisuje plik resolv.conf adresem IP 192.168.1.1. Oczywiście mogę zablokować nadpisywanie lecz odetnie to net. W sekcji NetworkManager`a --> Ustawienia IPv4 --> Automatyczne (DHCP), tylko adresy --> Servery DNS wstawiłem 127.0.0.1
Wybranie opcji Automatyczne (DHCP) powoduje nadpisanie resolv.conf przywrócenie netu lecz brak funkcjonowania dnscrypt.
Wstawię jeszcze konfigurację i proszę o jakąś radę, bo już gubię się w zawiłościach konfiguracyjnych.

Kod:

##################################
#         Global settings        #
##################################


 server_names = ['cloudflare']

 listen_addresses = []

 max_clients = 250

# user_name = '_dnscrypt-proxy'

 ipv4_servers = true

 ipv6_servers = false

 dnscrypt_servers = true

 doh_servers = true

 require_dnssec = false

 require_nolog = true

 require_nofilter = true

 force_tcp = false

 timeout = 2500

 keepalive = 30

 use_syslog = true

 cert_refresh_delay = 240

 fallback_resolver = '9.9.9.9:53'

 ignore_system_dns = false

 netprobe_timeout = 60



#########################
#        Filters        #
#########################

 block_ipv6 = false


###########################
#        DNS cache        #
###########################

 cache = true

 cache_size = 512

 cache_min_ttl = 600

 cache_max_ttl = 86400

 cache_neg_min_ttl = 60

 cache_neg_max_ttl = 600

[sources.'public-resolvers']
  urls = ['https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v2/public-resolvers.md', 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md']
  cache_file = 'public-resolvers.md'
  minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3'
  refresh_delay = 72
  prefix = ''

Ostatnio edytowany przez mark (2020-10-29 21:53:25)

jawojx · 2020-10-30 00:35:49

Pokaż z root-a.

Kod:

ss -nlup

Ostatnio edytowany przez jawojx (2020-10-30 00:41:58)

morfik · 2020-10-30 08:19:32

Preinstalowałem sam dnscrypt-proxy i tym razem oparłem się na systemd-resolved.service i socket. Dnscrypt-proxy uruchomił się dopiero po zhaszowaniu w pliku konfiguracyjnym
Kod:
/etc/dnscrypt-proxy/dnscrypt-proxy.toml
# user_name = '_dnscrypt-proxy'

Tak ma działać. Bo jak uruchamiasz standardową usługę dnscrypt-proxy, to tam masz:

Kod:

User=_dnscrypt-proxy

Dlatego trza wykomentować user_name z pliku konfiguracyjnego dnscrypt.

Usługa uruchomiona lecz brak szyfrowania.

No bo system nie przesyła zapytań dns do niego. Ustaw sobie na sztywno w pliku /etc/resolv.conf adres dnscrypt i zobacz czy działa. Jeśli tak, to trzeba pozostałe części systemu skonfigurować inaczej (network-manager/systemd-resolved).

Ostatnio edytowany przez morfik (2020-10-30 08:19:58)

mark · 2020-10-30 16:24:17

morfik napisał(-a):
1. Dlatego trza wykomentować user_name z pliku konfiguracyjnego dnscrypt.

2. Ustaw sobie na sztywno w pliku /etc/resolv.conf adres dnscrypt i zobacz czy działa.

3. Jeśli tak, to trzeba pozostałe części systemu skonfigurować inaczej (network-manager/systemd-resolved).

1) Faktycznie moja wina, w Twoim poradniku znajduje się ta uwaga, którą przeoczyłem.

2) Moim drugim błędem było wklepywanie uparcie adresu 127.0.0.1 w pliku /etc/resolv.conf
Po zmianie na 127.0.2.1 wszystko zatrybiło i teraz już dnscrypt szyfruje zapytania. Niby drobny błąd ale jakże istotny.

3) Tego nie rozumiem, po co konfigurować network-manager/systemd-resolved skoro dnscrypt już działa? Chyba, że miałeś na myśli zmianę opcji w NM "Automatycznie (DHCP)" na "Automatycznie (DHCP), tylko adresy" dlatego aby NM nie nadpisywał pliku resolv.conf. To już zrobiłem, czy coś poza tym?

Czy parametry cache dnscrypt zostawić domyślne? Różnią się od tych które podałeś w poradniku dla dnsmasq. Z tego ostatniego zrezygnowałem więc cache musi być dnscrypt.

Ostatnio edytowany przez mark (2020-10-30 16:42:33)

morfik · 2020-10-30 17:14:28

mark napisał(-a):
2) Moim drugim błędem było wklepywanie uparcie adresu 127.0.0.1 w pliku /etc/resolv.conf
Po zmianie na 127.0.2.1 wszystko zatrybiło i teraz już dnscrypt szyfruje zapytania. Niby drobny błąd ale jakże istotny.

Czyli wszystko działa.

3) Tego nie rozumiem, po co konfigurować network-manager/systemd-resolved skoro dnscrypt już działa? Chyba, że miałeś na myśli zmianę opcji w NM "Automatycznie (DHCP)" na "Automatycznie (DHCP), tylko adresy" dlatego aby NM nie nadpisywał pliku resolv.conf. To już zrobiłem, czy coś poza tym?

No to działa jak się poda na sztywno ale konfiguracja, którą masz jest dynamiczna, tj. przy następnym restarcie sieci czy kompa to ci te ustawienia przepisze. Musisz tak skonfigurować ten network-manager/systemd-resolved by nie ruszał pliku /etc/resolv.conf. Ja nie korzystałem z network-managera nigdy, to ci nie powiem co tam trzeba ustawić ale powinno się dać. A w miejsce systemd-resolved mam dnsmasq i też nie wiem co tam trzeba by było zmienić by to działało z dnscrypt-proxy.

Czy parametry cache dnscrypt zostawić domyślne? Różnią się od tych które podałeś w poradniku dla dnsmasq. Z tego ostatniego zrezygnowałem więc cache musi być dnscrypt.

Nie wiem jakie są domyślne ale jak pijesz do:

cache_size = 512
cache_min_ttl = 600
cache_max_ttl = 86400
cache_neg_min_ttl = 60
cache_neg_max_ttl = 600

To są w miarę racjonalne i na desktopa/laptopa powinny w zupełności wystarczyć, choć ja bym podbił nieco ten cache_min_ttl.

Ostatnio edytowany przez morfik (2020-10-30 17:17:30)

mark · 2020-10-30 19:33:34

morfik napisał(-a):
1. Ja nie korzystałem z network-managera nigdy, to ci nie powiem co tam trzeba ustawić ale powinno się dać.
2. Nie wiem jakie są domyślne ale jak pijesz do:
cache_size = 512
cache_min_ttl = 600
cache_max_ttl = 86400
cache_neg_min_ttl = 60
cache_neg_max_ttl = 600
To są w miarę racjonalne i na desktopa/laptopa powinny w zupełności wystarczyć, choć ja bym podbił nieco ten cache_min_ttl.

1) A ja zawsze korzystam z NM. Jak jego ustawić już opisałem poprzednio i tak działa, i nie nadpisuje pliku resolv.conf
2) Cache ma te wartości domyślne jak widać powyżej. Na jaki level podbić cache_min_ttl teraz to 60?

Obecnie dnscrypt działa bezproblemowo. Ustawiłem sobie ESNI w FF. Jest OK!!!

W zasadzie temat wyczerpałem ale chciałbym jeszcze zapytać Ciebie o taką kwestię. Otóż robiłem kosmetykę w pliku dnscrypt-proxy.toml i usługa padła. Edycję pliku wywoływałem jako root przez gedit. Były ostrzeżenia w terminalu co do edycji przez gedit. Sprawdziłem z oryginałem lecz błędu czy literówki nie było a jednak dnscrypt nie startował. Usunąłem więc cała zawartość konfiguracji i wkleiłem treść z pliku example...toml po czym usterka zniknęła. Czy jest więc prawdopodobne i możliwe że jednak edycja za pomocą gedit przyczyniła się do uszkodzenia pliku? Lepiej robić edycję w nano lub vim?

morfik · 2020-10-30 20:47:59

No ja mam 2400 ale to chyba trochę za wysoko.

Nie wiem co tam się schrzaniło w tym pliku ale wygląda to na powszechny problem.

mark · 2020-10-31 21:23:05

Moje podsumowanie po perturbacjach z dnscrypt-proxy.

Aby bezproblemowo cieszyć się szyfrowaniem zapytań swojej przeglądarki internetowej korzystając z repozytoriów Debiana instalujemy dnscrypt-proxy.
Jedyne co trzeba zrobić aby on nam nie uprzykrzał to odpowiednie dostosowanie pliku konfiguracyjnego. Z praktyki wiem, że może ich przysporzyć.
To jedyne zmiany których ja dokonałem i usługa dnscrypt-proxy działała prawidłowo.
Ewentualnych innych zmian można samemu próbować.
Edytujemy plik /etc/dnscrypt-proxy/dnscrypt-proxy.toml

Kod:

##################################
#         Global settings        #
##################################
 server_names = ['cloudflare']
 listen_addresses = []
 # user_name = 'nobody'        #WAŻNE tak ma pozostać hash ma pozostać!
 
 ###########################
#        DNS cache        #
###########################
cache_min_ttl = 1800

Następna rzecz edytujemy plik /etc/resolv.conf i zmieniamy zawartość na:

Kod:

nameserver 127.0.2.1

Aby uniknąć nadpisania powyższego pliku po restarcie systemu należy jeszcze dokonać pewnej zmiany w NetworkManadger o ile z niego korzystamy:

Kod:

ustawienie --> Ustawienia IPv4 --> Automatyczne (DHCP), tylko adresy --> Serwery DNS 127.0.2.1 --> Zapisz

Teraz już tylko należy włączyć usługi towarzyszące lub sprawdzić czy pracują:

Kod:

systemctl enable dnscrypt-proxy
systemctl start dnscrypt-proxy
systemctl status dnscrypt-proxy

systemctl status systemd-resolved.service

systemctl status dnscrypt-proxy.socket

W razie ewentualnych problemów posiłkowałem się poleceniami:

Kod:

/usr/sbin/dnscrypt-proxy -config /etc/dnscrypt-proxy/dnscrypt-proxy.toml -check
systemctl status dnscrypt-proxy --no-pager -l

Czy szyfrowanie działa można sprawdzić szybko np. na stronie pośrednika DNS, z którego skorzystaliśmy. Ja wybrałem Cloudflare a więc jego strona:
https://www.cloudflare.com/ssl/encrypted-sni/

Aby test był 100%-wy, jak na razie umożliwia to przeglądarka Firefox. Włączamy ESNI w Firefox: wpisujemy w pasku adresu przeglądarki about:config i wyszukujemy klucz:

Kod:

network.security.esni.enabled         true
network.trr.mode         2
network.trr.uri       ustaw na https://mozilla.cloudflare-dns.com/dns-query

Na koniec chciałbym podziękować serdecznie @morfik-wi za pomoc w doprowadzeniu do funkcjonalności tego wspaniałego narzędzia szyfrującego wraz z towarzyszącą mu infrastrukturą. On opanował temat do perfekcji, ja jestem tylko zadowolonym userem, który z jego wiedzy i pomocy skorzystał. Można prześledzić moje perturbacje w dwóch postach tutaj w tym dziale Forum.

Forum Debian Users Gang

Ogłoszenie

#1 2020-10-27 14:45:35

mark - Użytkownik

Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

Kod:

Kod:

Kod:

Kod:

Kod:

#2 2020-10-27 15:55:27

morfik - Cenzor wirtualnego świata

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

Kod:

#3 2020-10-27 17:25:32

mark - Użytkownik

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

#4 2020-10-27 17:35:18

morfik - Cenzor wirtualnego świata

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

#5 2020-10-27 19:04:48

mark - Użytkownik

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

Kod:

#6 2020-10-27 19:44:04

morfik - Cenzor wirtualnego świata

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

#7 2020-10-27 20:04:18

mark - Użytkownik

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

Kod:

Kod:

#8 2020-10-27 22:29:00

morfik - Cenzor wirtualnego świata

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

#9 2020-10-28 17:29:32

mark - Użytkownik

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

morfik napisał(-a):

Kod:

Kod:

#10 2020-10-28 18:26:50

morfik - Cenzor wirtualnego świata

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

Kod:

#11 2020-10-28 19:15:05

mark - Użytkownik

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

Kod:

#12 2020-10-28 19:22:16

morfik - Cenzor wirtualnego świata

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

#13 2020-10-28 19:29:11

mark - Użytkownik

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

morfik napisał(-a):

Kod:

#14 2020-10-28 19:57:08

morfik - Cenzor wirtualnego świata

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

#15 2020-10-28 21:40:08

mark - Użytkownik

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

Kod:

#16 2020-10-28 22:50:12

morfik - Cenzor wirtualnego świata

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

#17 2020-10-29 16:17:25

hi - Zbanowany

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

Kod:

#18 2020-10-29 18:20:06

mark - Użytkownik

Re: Jeszcze raz dnscrypt-proxy (daemon failed) [SOLVED]

hi napisał(-a):

Kod:

Kod:

Kod:

#19 2020-10-30 00:35:49

jawojx - Użytkownik