DOH Chrome Android bloccato dal router

msktrz · 9 apr

DoH: 443
DoT: 853

Il DoT si blocca semplice, si mura tutto ciò che ha come destinazione la 853.
Invece, per bloccare i DoH, che di loro si "camuffano" nel normal traffico HTTPS, è necessario che il tuo GW/FW sia dotato di una lista di DNS da blacklistare.
Ad ogni richiesta da LAN verso WAN, si intercetta il server DNS in lista, l'entità in questione lo prende e ne inibisce la raggiungibilità da parte del client.

Ipotizzo, a mia opinione, tre opzioni:
a. la lista è sul client
b. la lista è sul router
c. c'è un provider esterno che inibisce - as a service - e la lista è sul loro - as a service -

Anche io ho Firefox che se la prende a male visto che non raggiunge cloudflare-dns anche la "navigazione privata" di iOS non è disponibile nella mia rete, ma perché ho dnsmasq che picchia e faccio passare quasi tutto dal mio resolver.

Fai questa prova estemporanea, installa Firefox e vedi se scegliendo tra le opzioni DoH di FF con NextDNS ti fa la stessa cosa, poi casomai ti dico.

filtrofibra · 9 apr

msktrz Fai questa prova estemporanea, installa Firefox e vedi se scegliendo tra le opzioni DoH di FF con NextDNS ti fa la stessa cosa, poi casomai ti dico.

Va bene, grazie.

msktrz · 9 apr

Comunque se il target è non avere adsensing sui tuoi devices - come d'altronde lo è stato anche per me - dipende sempre da quello che hai a disposizione e a che livello vuoi/puoi implementarlo e a che livello vuoi che sia governato da te.

Si può avere un DNS come servizio esterno, un router capabile di reindirizzare ed intercettare richieste, un'app che modifica gli hosts del proprio dispositivo... etc, etc.

In questo momento storico sto testando una configurazione con i seguenti ingredienti:

OpenWRT
adblock-fast
stubby
https-dns-proxy
banIP

Si, faccio sia DoH sia DoT e riordino la lista a seconda dei clients/esigenze, ai miei dispositivi deve solo comparire il mio router, quello è e quello dev'essere se gli va bene, altrimenti /dev/null.
Quando sono fuori casa uso WireGuard sullo smartphone e fa autoswitch appena si sgancia dalla WiFi, il motivo non è solo strettamente legato alle pubblicità ma anche al fatto che il mio provider mobile (TIM) vergognosamente non offre IPV6, quindi mi ribalto un indirizzo pubblico di una delle barre che attesto sul router.

Si, avrei potuto tranquillamente usare la sola app di CloudFlare e fare WARP.. ma avrei delegato a loro un "tutto e per tutto" che non amo particolarmente. :-)

Stefan1578 · 9 apr

msktrz

E io che pensavo che questa funzione fosse una figata...

Su Windows utilizzavo la modifica del file hosts, poi l'ho svuotato perché ho adottato questa soluzione che praticamente mi blocca tutte le pubblicità su tutti i dispositivi connessi.
Su un router Asus con firmware Merlin tu che sistema di blocco utilizzeresti?
Stavo leggendo dell'installazione da USB di un software in grado di creare una sorta di file hosts tipo Windows, ma mi è sembrato troppo macchinoso e quindi ho deciso di usufruire del blocco DNS TLS.

msktrz · 10 apr

Stefan1578 ma guarda... in ambito casalingo, per la maggiore, ho operato con OpenWRT, pfSense, OPNSense, purtroppo non ho mai avuto sotto mano Asus e Merlin.
Comunque, tranne i sopracitati sistemi, delegherei il più possibile ad un qualcosa ad hoc, tipo piHole.
Chiuderei l'853 e cercherei una soluzione sul router simil blocklist per dargli in pasto i DNS noti, per poi forwardare completamente le richieste DNS verso piHole e da lì gestirmi liste e configurazioni varie.
Dove non ho certezza che il "tutto in uno" funzioni ad orologio cerco di fare un po' dividi et impera; ma il dubbio c'è sempre e può anche darsi che Merlin e Diversion(?) vadano alla grande, basta solo sbatterci la testa per la configurazione e vedere come si comporta con qualche test.

Stefan1578 · 10 apr

msktrz e si, mi riferivo a Diversion (non mi veniva il nome)...
Dovrei provarlo, grazie della risposta.

[cancellato] · 10 apr

Stefan1578
Dai una scianz anche ad Unbond al posto di Diversion.
Magari anche con DNScrypt, altro script che potrebbe servirti.

Stefan1578 · 10 apr

[cancellato] tutta roba "aggratise"?
Hai qualche link interessante con guide comprensibili?
Agg. Ho dato una letta al volo proprio al sito Diversion, comincerò con quello per poi provare pure ad affiancargli unbound se necessario. Mi piace il sistema di reindirizzamento tramite file host perché lo usavo su Windows.

[cancellato] · 10 apr

Stefan1578

Si, assolutamente gratuiti.
Vorrei ben vedere se fosse il contrario...

Una volta in amtm premi <i> per gli script disponibili, scegli quale ti serve e fai partire l'istallazione, ti potrà venir richiesto varie volte di selezionare un'opzione e spesso è consigliata tra parentesi quella che va bene per la maggior parte degli usi.

Qua trovi le discussioni con thread per singolo script:
https://www.snbforums.com/forums/asuswrt-merlin-addons.60/

Unbond e Diversion non possono stare insieme, o l'uno o l'altro.

Bada solo a prendere una chiavetta USB affidabile e realmente veloce. Da anni che uso Merlin a volte si corrompeva e mi bloccava tutto il router senza che riuscissi a capire da cosa dipendeva.

Io ho un'Orico da 405 MB/s, pagata 11 euro ma al momento è fuori catalogo su Amazon.

Stefan1578 · 10 apr

[cancellato] la chiavetta è necessaria o se la memoria del router è sufficiente se ne potrebbe fare a meno?

[cancellato] · 10 apr

Stefan1578
Obbligatoria.
Ci fa il file di swap, non viene usato mai in pratica ma senza sto benedetto swap non si installa nulla, nemmanco entware.

Stefan1578 · 10 apr

[cancellato] per quanto riguarda l'impostazione dei DNS TLS nella sezione WAN, io utilizzo quelli controld perché bloccano tutta la pubblicità etc etc... dopo l'installazione di Diversion e file host, dovrei cambiare fornitore DNS o lasciare quelli del gestore? Qualche commento fa @msktrz mi consigliava di chiudere la porta 853, porta utilizzata credo da tutti i servizi DNS di terze parti.

[cancellato] · 10 apr

Mi dispiace, di questo non ne so nulla.

Stefan1578 · 10 apr

[cancellato] installato Diversion, scaricata la lista "big" e inserito anche manualmente alcuni domini da bloccare. Nelle impostazioni Wan invece di impostare i DNS controld (che usavo per bloccare pubblicità etc etc) ho inserito i quad9, più veloci.
Il mio dubbio adesso è quanto beneficio porti alla privacy l'utilizzo di una block list in esecuzione sul router, piuttosto che l'utilizzo di un DNS di terze parti facente la stessa funzione. Comunque sia, al posto dei controld che usavo prima, adesso sto usando quad9, oppure in alternativa quelli del gestore dati automaticamente.
Non ho capito bene il discorso di @msktrz ... sul come si possa utilizzare un DNS in locale che risolva gli indirizzi.

filtrofibra · 10 apr

msktrz Fai questa prova estemporanea, installa Firefox e vedi se scegliendo tra le opzioni DoH di FF con NextDNS ti fa la stessa cosa, poi casomai ti dico.

Fatto, installato Firefox Nighty su Android che mi permette di usare i DoH (in questo caso come da te consigliato quelli di NextDNS), stessa cosa, non va.

Allora ho fatto un'altra prova: invece di utilizzare i DoH ho utilizzato i DoT (cioè inserendo il DNS-over-TLS nel campo "DNS Privato" nelle impostazioni android):

qui ho avuto risposte diverse in base ai server:

1) Impostando i DoT sia di AdGuard che di NextDNS la connessione Wi-Fi cade automaticamente, dandomi nessuna possibilità di riconnettermi ad essa, e mostrandomi l'errore: "Non è possibile accedere al server DNS privato"
2) Impostando i DoT di CleanBrowsing
https://cleanbrowsing.org/help/docs/setup-private-dns-on-android-version-9/

i DoT funzionano correttamente, sia con rete dati che con Wi-Fi.

Ricapitolando: ancora non c'è una soluzione per i DoH, mentre per i DoT alcuni server riescono a funzionare con la Wi-Fi, altri no.
Nonostante i DoT non siano il mio obiettivo, sarei curisodo di sapere perchè i DoT con la Wi-Fi con alcuni server funzionano mentre con altri no.

[cancellato] · 10 apr

Stefan1578 Nelle impostazioni Wan invece di impostare i DNS controld (che usavo per bloccare pubblicità etc etc) ho inserito i quad9, più veloci.

Fai attenzione che il VOIP, se te lo forniscono e se lo usi, usa obbligatoriamente i DNS del tuo provider.
Io ho un tim hub solo per la fonia, dopo aver disabilitato completamente il wi-fi e lo forzo ad usare i DNS della mia connessione.

Comunque volendo sperimentare in quest'area, che non ho mai esplorato sinora, ho messo anche lo script:
dnscrypt
Ti fa una serie infinita di domande, era la seconda volta che mi ci mettevo e questa ultima forse l'ho ingarrata senza leggere una riga delle istruzioni.
Questi una volta fornita nelle varie richiesta che fa durante la configurazione una lista di DNS che non tracciano, non salvano log e levano di mezzo chi distribuisce annunci, spam e malware, trova quello che risponde in maniera più rapida e lo usa.

Ho aperto le pagine di Chrome su un sistema che già di suo ha adguard (licenza a vita per 3 device per 9 euro sui siti delle chiavi a sconto) le pagine web anche molto pesanti venivano sparate e renderizzate che pareva di avere il server dentro casa..

Ps:
(parole sussurate)

Dato che ti trovi buttaci dentro anche Skynet.
Esiste anche Suricata per Merlin ma io non sono riuscito a farlo funzionare ed ho preferito avere solo Skynet.

Stefan1578 · 11 apr

[cancellato] dnscrypt

Installato pure io
Poi provo pure Skynet

filtrofibra · 15 apr

filtrofibra nessuno?

filtrofibra · 7 mag

Dopo aver passato settimane con l'assistenza tecnica TP-Link mi viene data la seguente risposta:

Abbiamo condotto diversi esperimenti in laboratorio e abbiamo ottenuto risultati diversi.

Nella riga A, abbiamo seguito la stessa procedura e abbiamo scoperto che sia la connessione wireless che quella mobile riuscivano ad accedere a Internet normalmente.

Nella riga B, abbiamo seguito la stessa procedura per utilizzare la connessione wireless che non permetteva l'accesso a Internet.

Ulteriori analisi hanno rivelato che nella riga B, dopo aver configurato il DNS di AdGuard, l'indirizzo è stato risolto in 94.140.14.14/94.140.15.15, a cui non è stato possibile rispondere correttamente. Nella riga A, è possibile accedervi normalmente perché l'indirizzo risolto non è lo stesso della riga B, e si può rispondere normalmente.

Quindi sospettiamo che i server su questa riga stiano applicando restrizioni che impediscono loro di rispondere alle richieste DNS, e questo non ha nulla a che fare con il router.
Puoi contattare il tuo ISP per assistenza.

Ho chiesto chiarimenti e di rispondermi a questi miei test:

Cosa sono queste linee A e B?

Invece, per quanto riguarda i test che ho effettuato, puoi dirmi qualcosa su questo comportamento?

1) Impostando DoT sia per AdGuard che per NextDNS, la connessione Wi-Fi si interrompe automaticamente, non dandomi la possibilità di riconnettermi e mostrandomi l'errore: "Impossibile accedere al server DNS privato"
2) Impostando DoT per CleanBrowsing https://cleanbrowsing.org/help/docs/setup-private-dns-on-android-version-9/

DoT funziona correttamente, sia con rete dati che con Wi-Fi.

Ricapitolando: non esiste ancora una soluzione per DoH, mentre per DoT alcuni server funzionano con Wi-Fi, altri no.
Sebbene DoT non sia il mio obiettivo, sarei curioso di sapere perché DoT con Wi-Fi funziona con alcuni server mentre con altri no.

e mi hanno risposto:

La linea A è in Germania e la linea B è in Cina, e queste due linee mostrano risultati incoerenti,
perché sospettiamo che il problema sia causato da un'elaborazione server incoerente sulle diverse linee.

Riguardo alla sua domanda,

Il processo normale prevede che, dopo l'impostazione del DoT, il router utilizzi il server DNS assegnato per richiedere una risoluzione DNS, il server DNS risponde con l'indirizzo risolto e il router accede quindi all'indirizzo.

Quando non riesce ad accedere a Internet, è perché il server DNS non risponde alla richiesta DNS, quindi il router non sa a quale indirizzo accedere,

e il problema risiede nel server DSN, mentre il router si comporta normalmente.

Avrei bisogno del vostro parere, grazie.

filtrofibra · 10 mag

In questo forum ci sono persone veramente eccezionali, di grande esperienza, ma questa volta ci siamo tutti persi in un bicchiere d'acqua.

I DoH venivano bloccati per il semplice fatto che è il DNS stesso di CleanBrowsing a bloccarli!
https://cleanbrowsing.org/filters/

Clean Browsing per far si che non venga aggirato il blocco dei loro DNS, blocca decine e decine di DoH di altri server DNS, e quindi questo rende impossibile collegarsi per esempio al DoH di AdGuard, NextDNS ecc...

Quindi, avendo inserito i loro DNS nel modem, qualsiasi dispositivo, connettendosi in WiFi, non risolveva correttamente i vari indirizzi DoH.