Salve, ho un pc desktop windows 10 home 64 e un vecchio router USRobotics USR9111 con linea adsl wind3 da 20mb effettivi, vorrei sapere cosa mi consigliereste come criptazione dns il DoH o il DoT?
e con quale gui? ad es so che per il DoT una delle gui usate è stubby
Grazie in anticipo
Buon fine settimana!
DoH versus DoT
- Modificato
p060477 DoT dovrebbe usare meno banda, però DoH è attivabile direttamente dai browser.
P.S. bel router… ma forse se lo cambiassi / impostassi come bridge potresti avere DoT direttamente nel router
- Modificato
Grazie mille, il DoH su Firefox l'ho già attivato..ma a me interessava proprio averlo per tutta la navigazione
quindi anche quando si usa il web ma non tramite un browser e indipendentemente da esso,
per questo mi ero orientato su stubby ma poi avevo letto che forse come criptazione dns
era meglio il DoH al DoT...e allora ho provato a disturbarvi qui....
per ora il router lo vorrei tenere dato che ho ancora una adsl 20mb e non ancora la fibra
quando passerò alla fibra giocoforza lo dovrò cambiare
mi interesserebbe quando scrivi:
"impostassi come bridge potresti avere DoT direttamente nel router"...
perdona la mia max ignoranza...cosa dovrei fare...??...ma pensa di spiegarlo ad un bimbo piccolo...
io al momento ho nelle impostazioni rete pc ,win 10,
DNS scelti automaticamente,
e nel router ho messo i cloudfare 1.1.1.1 1.0.0.1
ecco un esempio:
C:\WINDOWS\system32> nslookup google.com
Server:
Address: 192.168....etc... (è il mio router)
Risposta da un server non autorevole:
Nome: google.com
Addresses: 2a00:1450:4002:411::200e
142.251.209.46
se vedi come Address non vengono fuori i dns di cloudfare
ma l'indirizzo del mio router..
....grazie anche per la pazienza...
- Modificato
p060477 impostassi come bridge potresti avere DoT direttamente nel router
Non so neanche se si possa fare con quello, comunque significa avere un altro router che gestisce la PPPoE e sul quale installerai/configurerai un resolver con upstream DoT.
Linea ADSL<->USRrobotics<->LAN è com’è adesso, Linea ADSL<->USRibotics<->router per futura FTTH*<->LAN come diventerebbe. In pratica l’attuale router diventerebbe un semplice bridge L2 (stessa funzione cioè dell’ONT per le FTTH)
*o anche no, 20Mbps li reggono tutti
Altrimenti usi qualcosa come un Raspberry Pi (Su Amazon si trovano delle schede ARM a meno di 40€, cerca Pine a64) e impostarlo come server DNS per i dispositivi che ti interessano.
grazie, comunque tu tra DoT e DoH mi pare sia più verso il DoH? e se sì c'e' un modo per averlo, extra browser, in sostanza c'e' un sw che fa esattamente quello che fa stubby per il DoT?
Grazie ancora e buon fine settimana!
p060477 https://github.com/DNSCrypt/dnscrypt-proxy. Supporta anche DoH3 che secondo Google è più performante di DoT e DoH https://security.googleblog.com/2022/07/dns-over-http3-in-android.html
dando uno sguardo al progetto vedo che per usare il tool: dnscrypt-proxy,
io ho win 10 home 64 , bisogna essere un poco esperi del dos/command line...
che sappiate ci sono mica delle gui che possano aiutare anche i meno esperti...??
grazie ancora e buona settimana
eutampieri ciao, scusa se mi intrometto nella conversazione. Esistono applicazioni simili per MacOS?
framanzari95 non lo so, io uso pihole ed unbound per abilitarlo su tutta la rete. Però in macOS è supportato DoT e DoH, credo che tu debba fare un profilo con Apple Configurator
grazie davvero, vediamo se ce l'ho fatta...ecco un copia incolla dal mio dos:
C:\WINDOWS\system32> nslookup quad9.com
Server: UnKnown
Address: 127.0.0.1
Risposta da un server non autorevole:
Nome: quad9.com
Addresses: 2620:0:871:9000::77
216.21.3.77
secondo voi ce l'ho fatta...???...
grazie ancora e buona settimana
framanzari95 Puoi scaricare un profilo di configurazione da qui o usarlo come base per un altro server se non già presente.
p060477 Prova visitando https://on.quad9.net/
- Modificato
grazie Marco, mi uscirebbe questo:
You are NOT using quad9....
io seguendo la guida del sito che mi avete segnalato avrei messo alla fine nelle impostazioni dns del mio win 10:
[https://github.com/dnscrypt/dnscrypt-proxy/wiki/Installation-Windows](https://)
"It's time to change your system DNS settings.
Open the network settings, and in the TCP/IP panel, if it's automatically, change it to manually, if it's manually, remove all existing DNS IP addresses (backup first), and then set it to 127.0.0.1.
Furthermore, you will prefer to add a secondary DNS to allow dnscrypt-proxy to use it at startting up to retrieve the initial resolvers. For example the one chosen as DNS fallback inside the dnscrypt-proxy.toml configuration file, '9.9.9.9', or the one you prefer. It's also useful when dnscrypt-proxy is out of service."
ioi avrei proprio messo primary 127.0.0.1 e secondary 9.9.9.9
...cosa caspiterina posso aver sbagliato...??
ecco il risultato:
C:>nslookup quad9.com
Server: UnKnown
Address: 127.0.0.1
Risposta da un server non autorevole:
Nome: quad9.com
Addresses: 2620:0:871:9000::77
216.21.3.77
e qui una prova con il dos nella cartella di dnscrypt-proxy:
N:\DESKTOP\PC\Dns\dnscrypt-proxy>dnscrypt-proxy -resolve quad9.com
Resolving [quad9.com] using 127.0.0.1 port 53
Resolver : 162.158.196.43
Canonical name: quad9.com.
IPv4 addresses: 216.21.3.77
IPv6 addresses: 2620:0:871:9000::77
Name servers : ns3.pch.net., anyns.pch.net., ns2.pch.net.
DNSSEC signed : no
Mail servers : 2 mail servers found
HTTPS alias : -
HTTPS info : -
Host info : -
TXT records : v=spf1 a mx ip4:216.21.3.0/24 ?all
mi scuso per l'imperizia
e ringrazio per la vostra pazienza....
- Modificato
p060477 ioi avrei proprio messo primary 127.0.0.1 e secondary 9.9.9.9
Se vuoi usare solo dnscrypt-proxy allora non devi inserire il secondary.
dnscrypt-proxy seleziona automaticamente il DNS con meno latenza, scelto da questa lista. Per selezionare i server DNS da utilizzare devi modificare la riga server_names = [] nel file dnscrypt-proxy.toml.
Ad esempio se vuoi solo Quad9 senza ECS
server_names = ['quad9-doh-ip4-port443-filter-pri']
se vuoi anche Cloudflare
server_names = ['quad9-doh-ip4-port443-filter-pri', 'cloudflare']
EDIT: Windows 10 supporta nativamente DoH: https://learn.microsoft.com/en-us/windows-server/networking/dns/doh-client-support
- Modificato
Grazie Marco25,
1)
io avrei messo anche i secondary perchè sarebbe scritto nella guida:
Step3.
"It's time to change your system DNS settings.
Open the network settings, and in the TCP/IP panel, if it's automatically, change it to manually, if it's manually, remove all existing DNS IP addresses (backup first), and then set it to 127.0.0.1.
Furthermore, you will prefer to add a secondary DNS to allow dnscrypt-proxy to use it at startting up to retrieve the initial resolvers. For example the one chosen as DNS fallback inside the dnscrypt-proxy.toml configuration file, '9.9.9.9', or the one you prefer. It's also useful when dnscrypt-proxy is out of service."
2)
inoltre noto è che in services.msc il servizio dnscrypt pur essendo su automatico devo sempre avviarlo io manualmente...altrimenti ad ogni riavvio pc lo trovo arrestato...
3)
perdona la massima ignoranza...cosa sono gli "ECS"...comunque in generale tu cosa consiglieresti come scelta servers..??...ho visto che la lista che hai linkato darebbe questo warning..:
"Warning: it includes servers that may censor content, servers that don't verify DNSSEC records, and servers that will collect and monetize your queries."
4) ...io ho win 10 -home- 64.....e non avrei tale possibilità indicata nel tuo link:
"Starting with Windows Server 2022,"....
pur avendo la vers home comunque tramite modifica registro potrei usare il gpedit....ma come...??
...temo che il tuo link valga solo per i windows server 2022....sbaglio...??
grazie ancora
Marco25 EDIT: Windows 10 supporta nativamente DoH: https://learn.microsoft.com/en-us/windows-server/networking/dns/doh-client-support
Windows 11 lo supporta, ma Windows 10 a livello di Sistema Operativo non so.
Forse con l'ultima versione disponibile?
Grazie Verzo80,
temo proprio che win 10 non lo supporti...di fatti se in powershell lancio il comando dell'articolo linkato non mi da la lista servers con DoH inserita:
PS C:> Get-DNSClientDohServerAddress
Get-DNSClientDohServerAddress : Termine 'Get-DNSClientDohServerAddress' non riconosciuto come nome di cmdlet,
funzione, programma eseguibile o file script. Controllare l'ortografia del nome o verificare che il percorso sia
incluso e corretto, quindi riprovare.
In riga:1 car:1
Get-DNSClientDohServerAddress
~~~~~~~~~~~~~~~~~~~~~~~~+ CategoryInfo : ObjectNotFound: (Get-DNSClientDohServerAddress:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundExceptionPS C:>
Sì certo puoi aggiungerlo ma se lo fai Windows potrebbe bypassare dnscrypt-proxy
p060477 perdona la massima ignoranza...cosa sono gli "ECS"...comunque in generale tu cosa consiglieresti come scelta servers..??
https://fibra.click/dns/#quale-scegliere
p060477 ...temo che il tuo link valga solo per i windows server 2022....sbaglio...??
https://www.bleepingcomputer.com/news/microsoft/how-to-enable-dns-over-https-doh-in-windows-10/
- Modificato
Grazie ancora Marco25
1) quindi tu consiglieresti cloudfare come server unico da mettere nel file config di dnscrypt-proxy?
2) ma allora come mai e a cosa serve quello che indicano loro come primary. 127.0.0.1 ?
3) io seguo i tuoi links per win 10 ..ma a me il DoH non lo propone...:
in sostanza a me quella finestra che nel tuo link appare se si mette 1.1.1.1,
questa:
ecco a me non appare...
cosa devo fare/settare?...
ora il primo link parlava di windows server 2022
quest'ultimo di:
-Windows 10 preview builds-
non è che per windows 10 home 64 non pè ancora possibile..??
(io ho solo in più il gpedit perchè ho fatto una modifica al registro di windows)
ultima domanda: ho installato anche il servizio di dnscrypt-proxy e messo su -automatico- in services.msc ma ad ogni riavvio pc lo devo avviare sempre io manualmente...
perchè è sempre in stato -arrestato- ..cosa sbaglio...??...
grazie ancora per l'attenzione e la pazienza
buona giornata
