dnscrypt-proxy

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

dnscrypt-proxy

Messaggioda zequinha » 25/07/2017, 19:35

Ciao a tutti !

Ho provato ad installare sulla mia debian 9 stretch il pacchetto dnscrypt-proxy con
Codice: Seleziona tutto
apt-get install dnscrypt-proxy

.
In particolare ho seguito questa guida:
http://www.webupd8.org/2014/08/encrypt-dns-traffic-in-ubuntu-with.html

Dopo aver configurato il network manager con 127.0.0.2 non riesco a navigare (nonostante abbia riavviato con
Codice: Seleziona tutto
/usr/sbin/service network-manager  restart


ho provato anche ad impostare con 127.0.2.1 come suggerito in
https://feeding.cloud.geek.nz/posts/using-dnssec-and-dnscrypt-in-debian/

ma dnscrypt non sembra attivo provando con
Codice: Seleziona tutto
dig txt debug.opendns.com


Qualcuno è riuscito dove io mi sono arenato e/o può aiutare un (paranoico) vecchietto ?
grazie per la pazienza e ciao

.
zequinha
Newbie
Newbie
 
Messaggi: 21
Iscritto il: 10/01/2006, 7:31

Re: dnscrypt-proxy

Messaggioda mark » 25/07/2017, 19:54

prova a vedere se si tratta di questo bug
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=859436
Avatar utente
mark
Hero Member
Hero Member
 
Messaggi: 534
Iscritto il: 10/01/2007, 16:53

Re: dnscrypt-proxy

Messaggioda zequinha » 25/07/2017, 20:10

Non credo, da quel poco che intendo...
Riavviando il servizio non vedo nessun messaggio (di errore o altro):
Codice: Seleziona tutto
# /usr/sbin/service dnscrypt-proxy  restart
#


grazie e ciao
zequinha
Newbie
Newbie
 
Messaggi: 21
Iscritto il: 10/01/2006, 7:31

Re: dnscrypt-proxy

Messaggioda zequinha » 25/07/2017, 20:46

Inoltre non vedo problemi nemmeno nei log:
Codice: Seleziona tutto
# cat /var/log/syslog |grep dnscrypt
(...)
Jul 25 19:49:28 cool dnscrypt-proxy[5443]: Tue Jul 25 19:49:28 2017 [NOTICE] Proxying from 127.0.2.1:53 to 185.121.177.177:443
Jul 25 19:53:42 cool dnscrypt-proxy[5443]: Tue Jul 25 19:53:42 2017 [NOTICE] Stopping proxy
Jul 25 19:53:42 cool dnscrypt-proxy[5443]: Tue Jul 25 19:53:42 2017 [INFO] UDP listener shut down
Jul 25 19:53:42 cool dnscrypt-proxy[5443]: Tue Jul 25 19:53:42 2017 [INFO] TCP listener shut down
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] - [fvz-anyone] does not support DNS Security Extensions
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] + Namecoin domains can be resolved
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] + Provider supposedly doesn't keep logs
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [NOTICE] Starting dnscrypt-proxy 1.9.4
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] Generating a new session key pair
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] Done
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] Server certificate with serial #1496061161 received
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] This certificate is valid
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] Chosen certificate #1496061161 is valid from [2017-05-29] to [2027-05-27]
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Jul 25 19:53:42 cool dnscrypt-proxy[5534]: Tue Jul 25 19:53:42 2017 [INFO] Server key fingerprint is E737:6400:D....
(...)


grazie e ciao
zequinha
Newbie
Newbie
 
Messaggi: 21
Iscritto il: 10/01/2006, 7:31

Re: dnscrypt-proxy

Messaggioda byte64 » 25/07/2017, 20:55

Prova così:
Codice: Seleziona tutto
systemctl enable dnscrypt-proxy
systemctl start dnscrypt-proxy


Ciao
byte64
Sr. Member
Sr. Member
 
Messaggi: 317
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: dnscrypt-proxy

Messaggioda zequinha » 25/07/2017, 21:16

Mi sfugge la differenza dal restart.
Ad ogni modo non vedo messaggi di errore:
Codice: Seleziona tutto
# systemctl enable dnscrypt-proxy
# systemctl start dnscrypt-proxy
#

e
Codice: Seleziona tutto
cat /var/log/syslog |grep dnscrypt
(...)
Jul 25 21:03:05 cool dnscrypt-proxy[8031]: Tue Jul 25 21:03:05 2017 [NOTICE] Proxying from 127.0.2.1:53 to 185.121.177.177:443
Jul 25 22:04:23 cool dnscrypt-proxy[8031]: Tue Jul 25 22:04:23 2017 [INFO] Refetching server certificates
Jul 25 22:04:23 cool dnscrypt-proxy[8031]: Tue Jul 25 22:04:23 2017 [INFO] Server certificate with serial #1496061161 received
Jul 25 22:04:23 cool dnscrypt-proxy[8031]: Tue Jul 25 22:04:23 2017 [INFO] This certificate is valid
Jul 25 22:04:23 cool dnscrypt-proxy[8031]: Tue Jul 25 22:04:23 2017 [INFO] Chosen certificate #1496061161 is valid from [2017-05-29] to [2027-05-27]
Jul 25 22:04:23 cool dnscrypt-proxy[8031]: Tue Jul 25 22:04:23 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Jul 25 22:04:23 cool dnscrypt-proxy[8031]: Tue Jul 25 22:04:23 2017 [INFO] Server key fingerprint is E737:64...............


ciao e grazie a tutti
zequinha
Newbie
Newbie
 
Messaggi: 21
Iscritto il: 10/01/2006, 7:31

Re: dnscrypt-proxy

Messaggioda zequinha » 26/07/2017, 7:10

Ho trovato questo errore. Non so se è correlato. Ora indago...

Codice: Seleziona tutto
# dnscrypt-proxy /etc/dnscrypt-proxy/dnscrypt-proxy.conf
Wed Jul 26 07:46:46 2017 [INFO] - [fvz-anyone] does not support DNS Security Extensions
Wed Jul 26 07:46:46 2017 [INFO] + Namecoin domains can be resolved
Wed Jul 26 07:46:46 2017 [INFO] + Provider supposedly doesn't keep logs
Wed Jul 26 07:46:46 2017 [NOTICE] Starting dnscrypt-proxy 1.9.4
Wed Jul 26 07:46:46 2017 [INFO] Generating a new session key pair
Wed Jul 26 07:46:46 2017 [INFO] Done
Wed Jul 26 07:46:46 2017 [ERROR] Unable to bind (UDP) [Address already in use]


ciao e graziea tutti !
zequinha
Newbie
Newbie
 
Messaggi: 21
Iscritto il: 10/01/2006, 7:31

Re: dnscrypt-proxy

Messaggioda zequinha » 26/07/2017, 20:37

credo di aver risolto l'arcano.

controllando con https://dnsleaktest.com quale dns utilizzavo ho visto che facevo uso di fvz-arec-ua-iev-01.fuslvz.ws .

e fvz rientra nell'elenco di /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv da dove capisco che fa riferimento a OpenNIC,
come pure impostato in

Codice: Seleziona tutto
# /usr/share/doc/dnscrypt-proxy/examples/dnscrypt-proxy.conf

ResolverName fvz-anyone
Daemonize no

# LocalAddress only applies to users of the init script. systemd users must
# change the dnscrypt-proxy.socket file.
LocalAddress 127.0.2.1:53


dove sostituendo "ResolverName fvz-anyone" in "ResolverName cisco" e riavviando quindi i servizi

Codice: Seleziona tutto
#/usr/sbin/service dnscrypt-proxy  restart
#/usr/sbin/service networking  restart


ottengo:
Codice: Seleziona tutto
# dig txt debug.opendns.com

; <<>> DiG 9.10.3-P4-Debian <<>> txt debug.opendns.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15465
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debug.opendns.com.             IN      TXT

;; ANSWER SECTION:
debug.opendns.com.      0       IN      TXT     "server m37.fra"
debug.opendns.com.      0       IN      TXT     "flags 20 0 70 7950800000000000000"
debug.opendns.com.      0       IN      TXT     "originid 0"
debug.opendns.com.      0       IN      TXT     "actype 0"
debug.opendns.com.      0       IN      TXT     "source 82.48.72.121:34822"
debug.opendns.com.      0       IN      TXT     "dnscrypt enabled[ (713156774457306E)"

;; Query time: 63 msec
;; SERVER: 127.0.2.1#53(127.0.2.1)
;; WHEN: Wed Jul 26 21:27:47 CEST 2017
;; MSG SIZE  rcvd: 249

(notare la riga con "dnscrypt enabled").

e pure https://welcome.opendns.com/ non mi restituisce più "Ops" ma "Welcome to OpenDNS!" (pagina che ci ricorda pure: OpenDNS is now part of Cisco).

se utilizzare poi OpenNIC oppure OpenDNS è un altro capitolo...!!!
(...non so che dire...)

spero di essere stato chiaro (e di aver capito effettivamente la questione !

grazie ancora e ciao a tutti
zequinha
Newbie
Newbie
 
Messaggi: 21
Iscritto il: 10/01/2006, 7:31


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron