DoH versus DoT

p060477

Salve, ho un pc desktop windows 10 home 64 e un vecchio router USRobotics USR9111 con linea adsl wind3 da 20mb effettivi, vorrei sapere cosa mi consigliereste come criptazione dns il DoH o il DoT?
e con quale gui? ad es so che per il DoT una delle gui usate è stubby
Grazie in anticipo
Buon fine settimana!

eutampieri

p060477 DoT dovrebbe usare meno banda, però DoH è attivabile direttamente dai browser.

P.S. bel router… ma forse se lo cambiassi / impostassi come bridge potresti avere DoT direttamente nel router

p060477

Grazie mille, il DoH su Firefox l'ho già attivato..ma a me interessava proprio averlo per tutta la navigazione
quindi anche quando si usa il web ma non tramite un browser e indipendentemente da esso,
per questo mi ero orientato su stubby ma poi avevo letto che forse come criptazione dns
era meglio il DoH al DoT...e allora ho provato a disturbarvi qui....
per ora il router lo vorrei tenere dato che ho ancora una adsl 20mb e non ancora la fibra
quando passerò alla fibra giocoforza lo dovrò cambiare
mi interesserebbe quando scrivi:
"impostassi come bridge potresti avere DoT direttamente nel router"...
perdona la mia max ignoranza...cosa dovrei fare...??...ma pensa di spiegarlo ad un bimbo piccolo...🙁
io al momento ho nelle impostazioni rete pc ,win 10,
DNS scelti automaticamente,
e nel router ho messo i cloudfare 1.1.1.1 1.0.0.1
ecco un esempio:

C:\WINDOWS\system32> nslookup google.com
Server:
Address: 192.168....etc... (è il mio router)
Risposta da un server non autorevole:
Nome: google.com
Addresses: 2a00:1450:4002:411::200e
142.251.209.46

se vedi come Address non vengono fuori i dns di cloudfare
ma l'indirizzo del mio router..
....grazie anche per la pazienza...

eutampieri

p060477 impostassi come bridge potresti avere DoT direttamente nel router

Non so neanche se si possa fare con quello, comunque significa avere un altro router che gestisce la PPPoE e sul quale installerai/configurerai un resolver con upstream DoT.

Linea ADSL<->USRrobotics<->LAN è com’è adesso, Linea ADSL<->USRibotics<->router per futura FTTH*<->LAN come diventerebbe. In pratica l’attuale router diventerebbe un semplice bridge L2 (stessa funzione cioè dell’ONT per le FTTH)

*o anche no, 20Mbps li reggono tutti

Altrimenti usi qualcosa come un Raspberry Pi (Su Amazon si trovano delle schede ARM a meno di 40€, cerca Pine a64) e impostarlo come server DNS per i dispositivi che ti interessano.

p060477

grazie, comunque tu tra DoT e DoH mi pare sia più verso il DoH? e se sì c'e' un modo per averlo, extra browser, in sostanza c'e' un sw che fa esattamente quello che fa stubby per il DoT?
Grazie ancora e buon fine settimana!

Marco25

p060477 https://github.com/DNSCrypt/dnscrypt-proxy. Supporta anche DoH3 che secondo Google è più performante di DoT e DoH https://security.googleblog.com/2022/07/dns-over-http3-in-android.html

p060477

dando uno sguardo al progetto vedo che per usare il tool: dnscrypt-proxy,
io ho win 10 home 64 , bisogna essere un poco esperi del dos/command line...
che sappiate ci sono mica delle gui che possano aiutare anche i meno esperti...??
grazie ancora e buona settimana

eutampieri

p060477

An alternative to use dnscrypt-proxy on Windows is via Simple DNSCrypt or YogaDNS (not opensource) instead.

framanzari95

eutampieri ciao, scusa se mi intrometto nella conversazione. Esistono applicazioni simili per MacOS?

eutampieri

framanzari95 non lo so, io uso pihole ed unbound per abilitarlo su tutta la rete. Però in macOS è supportato DoT e DoH, credo che tu debba fare un profilo con Apple Configurator

Marco25

framanzari95 Puoi scaricare un profilo di configurazione da qui o usarlo come base per un altro server se non già presente.

p060477 Prova visitando https://on.quad9.net/

p060477

grazie davvero, vediamo se ce l'ho fatta...ecco un copia incolla dal mio dos:

C:\WINDOWS\system32> nslookup quad9.com
Server: UnKnown
Address: 127.0.0.1

Risposta da un server non autorevole:
Nome: quad9.com
Addresses: 2620:0:871:9000::77
216.21.3.77

secondo voi ce l'ho fatta...???...
grazie ancora e buona settimana

p060477

grazie Marco, mi uscirebbe questo:
You are NOT using quad9....

io seguendo la guida del sito che mi avete segnalato avrei messo alla fine nelle impostazioni dns del mio win 10:
[https://github.com/dnscrypt/dnscrypt-proxy/wiki/Installation-Windows](https://)
"It's time to change your system DNS settings.

Open the network settings, and in the TCP/IP panel, if it's automatically, change it to manually, if it's manually, remove all existing DNS IP addresses (backup first), and then set it to 127.0.0.1.

Furthermore, you will prefer to add a secondary DNS to allow dnscrypt-proxy to use it at startting up to retrieve the initial resolvers. For example the one chosen as DNS fallback inside the dnscrypt-proxy.toml configuration file, '9.9.9.9', or the one you prefer. It's also useful when dnscrypt-proxy is out of service."

ioi avrei proprio messo primary 127.0.0.1 e secondary 9.9.9.9
...cosa caspiterina posso aver sbagliato...?? 🙁

ecco il risultato:

C:>nslookup quad9.com
Server: UnKnown
Address: 127.0.0.1

Risposta da un server non autorevole:
Nome: quad9.com
Addresses: 2620:0:871:9000::77
216.21.3.77

e qui una prova con il dos nella cartella di dnscrypt-proxy:

N:\DESKTOP\PC\Dns\dnscrypt-proxy>dnscrypt-proxy -resolve quad9.com
Resolving [quad9.com] using 127.0.0.1 port 53

Resolver : 162.158.196.43

Canonical name: quad9.com.

IPv4 addresses: 216.21.3.77
IPv6 addresses: 2620:0:871:9000::77

Name servers : ns3.pch.net., anyns.pch.net., ns2.pch.net.
DNSSEC signed : no
Mail servers : 2 mail servers found

HTTPS alias : -
HTTPS info : -

Host info : -
TXT records : v=spf1 a mx ip4:216.21.3.0/24 ?all

mi scuso per l'imperizia
e ringrazio per la vostra pazienza....

Marco25

p060477 ioi avrei proprio messo primary 127.0.0.1 e secondary 9.9.9.9

Se vuoi usare solo dnscrypt-proxy allora non devi inserire il secondary.

dnscrypt-proxy seleziona automaticamente il DNS con meno latenza, scelto da questa lista. Per selezionare i server DNS da utilizzare devi modificare la riga server_names = [] nel file dnscrypt-proxy.toml.

Ad esempio se vuoi solo Quad9 senza ECS

server_names = ['quad9-doh-ip4-port443-filter-pri']

se vuoi anche Cloudflare

server_names = ['quad9-doh-ip4-port443-filter-pri', 'cloudflare']

EDIT: Windows 10 supporta nativamente DoH: https://learn.microsoft.com/en-us/windows-server/networking/dns/doh-client-support

Verzo80

Marco25 EDIT: Windows 10 supporta nativamente DoH: https://learn.microsoft.com/en-us/windows-server/networking/dns/doh-client-support

Windows 11 lo supporta, ma Windows 10 a livello di Sistema Operativo non so.
Forse con l'ultima versione disponibile?

p060477

Grazie Marco25,
1)
io avrei messo anche i secondary perchè sarebbe scritto nella guida:
Step3.
"It's time to change your system DNS settings.

Open the network settings, and in the TCP/IP panel, if it's automatically, change it to manually, if it's manually, remove all existing DNS IP addresses (backup first), and then set it to 127.0.0.1.

2)
inoltre noto è che in services.msc il servizio dnscrypt pur essendo su automatico devo sempre avviarlo io manualmente...altrimenti ad ogni riavvio pc lo trovo arrestato...

3)
perdona la massima ignoranza...cosa sono gli "ECS"...comunque in generale tu cosa consiglieresti come scelta servers..??...ho visto che la lista che hai linkato darebbe questo warning..:
"Warning: it includes servers that may censor content, servers that don't verify DNSSEC records, and servers that will collect and monetize your queries."

4) ...io ho win 10 -home- 64.....e non avrei tale possibilità indicata nel tuo link:
"Starting with Windows Server 2022,"....
pur avendo la vers home comunque tramite modifica registro potrei usare il gpedit....ma come...??
...temo che il tuo link valga solo per i windows server 2022....sbaglio...??
grazie ancora

Marco25

p060477 For example the one chosen as DNS fallback inside the dnscrypt-proxy.toml configuration file, '9.9.9.9', or the one you prefer. It's also useful when dnscrypt-proxy is out of service."

Sì certo puoi aggiungerlo ma se lo fai Windows potrebbe bypassare dnscrypt-proxy

p060477 perdona la massima ignoranza...cosa sono gli "ECS"...comunque in generale tu cosa consiglieresti come scelta servers..??

https://fibra.click/dns/#quale-scegliere

p060477 ...temo che il tuo link valga solo per i windows server 2022....sbaglio...??

https://www.bleepingcomputer.com/news/microsoft/how-to-enable-dns-over-https-doh-in-windows-10/

p060477

Grazie Verzo80,
temo proprio che win 10 non lo supporti...di fatti se in powershell lancio il comando dell'articolo linkato non mi da la lista servers con DoH inserita:
PS C:> Get-DNSClientDohServerAddress
Get-DNSClientDohServerAddress : Termine 'Get-DNSClientDohServerAddress' non riconosciuto come nome di cmdlet,
funzione, programma eseguibile o file script. Controllare l'ortografia del nome o verificare che il percorso sia
incluso e corretto, quindi riprovare.
In riga:1 car:1

Get-DNSClientDohServerAddress
~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (Get-DNSClientDohServerAddress:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException

PS C:>

p060477

Grazie ancora Marco25
1) quindi tu consiglieresti cloudfare come server unico da mettere nel file config di dnscrypt-proxy?
2) ma allora come mai e a cosa serve quello che indicano loro come primary. 127.0.0.1 ?
3) io seguo i tuoi links per win 10 ..ma a me il DoH non lo propone...:

in sostanza a me quella finestra che nel tuo link appare se si mette 1.1.1.1,
questa:

ecco a me non appare...
cosa devo fare/settare?...
ora il primo link parlava di windows server 2022
quest'ultimo di:
-Windows 10 preview builds-
non è che per windows 10 home 64 non pè ancora possibile..??
(io ho solo in più il gpedit perchè ho fatto una modifica al registro di windows)

ultima domanda: ho installato anche il servizio di dnscrypt-proxy e messo su -automatico- in services.msc ma ad ogni riavvio pc lo devo avviare sempre io manualmente...
perchè è sempre in stato -arrestato- ..cosa sbaglio...??...

grazie ancora per l'attenzione e la pazienza
buona giornata

Verzo80

p060477 ecco a me non appare...
cosa devo fare/settare?...

Nulla, in Windows 10 non c'è l'opzione per modificare i DNS nel S.O.
Invece in Windows 11 si, io l'ho impostato così:

p060477

Verzo80

Grazie mille!
quindi tu non usi il dnscrypt-proxy...??...altrimenti avresti come primary 127.0.0.1
...o sbaglio...?
comunque io ho win 10 non upgradabile a 11. ho cpu intel5 4590
per cui posso usare solo il dnscrypt-proxy....
grazie di nuovo!

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile