PDA

Visualizza versione completa : dnscrypt...



p060477
06-07-15, 13: 40
ciao!

uso ,con win 8.1 64bit, il servizio dnscrypt ed ho il traffico rediretto su
localhost 127.0.0.1:53

volendo aggiungere il servizio di dns cache , unbound,
devo cambiare la porta perché unbound usa la 53..

come faccio ad es a far girare dnscrypt sulla porta 40..??

non ho win firewall attivo ne altri firewall..ed ho un router usrrobotics 9311

grazie!!

wrongway
07-07-15, 19: 31
io su windows 7 a tutt'oggi non son mica ancora riuscito a far funzionare Unbound insieme a DNSCrypt :ehmm :boh

già soltanto per far funzionare Unbound da solo ho dovuto fare un fracco di ricerche in rete: :tap

una volta installato, ho modificato il file service.conf tramite Notepad++ (il blocco note di windows non rispettava la formattazione del file originale)

nella sezione server ho messo:


Only registered members can view code.

dopodiché avendo io gli indirizzi ip statici ho aggiunto:


Only registered members can view code.

ovviamente gli 192.168. etc. sono riferiti alla mia configurazione :eye

quindi nelle proprietà del protocollo TCP/IPv4 della mia scheda wireless ho selezionato "Utilizza i seguenti indirizzi server DNS" e in "Server DNS preferito" ho messo 127.0.0.1 al che riavviando il pc funzionava tutto :sisi

DNSCrypt una volta installato, per farlo funzionare insieme ad Unbound dicono di aggiungere nel file service.conf in calce alla sezione server quanto segue:


Only registered members can view code.

così facendo lì s'imposta la porta 40 mentre per far partire DNSCrypt in ascolto sulla porta 40 bisogna modificare tramite regedit nella chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\dnscrypt-proxy\Parameters il valore di LocalAddress sulla porta desiderata (in questo caso per l'appunto 40) :

127.0.0.1:40

quindi riavviare il pc... al che almeno io a quel punto non riuscivo più a connettermi ad internet :furious

rimettendo il valore di LocalAddress com'era in origine ovvero 127.0.0.1:53 e disabiltando il servizio di Unbound (Unbound DNS validator) al riavvio ripartiva tutto normalmente con DNSCrypt

dopo infruttuose ricerche in rete, e vari smanettamenti alla cieca (tipo levare do-not-query-localhost, dare access-control a 127.0.0.1 etc.) ho rinunciato ad usare Unbound :tap

wrongway
08-07-15, 00: 48
della serie chi l'ha dura la vince... :oo2

ho provato a ributtare su tutta una serie di combinazioni e tenendo per buono tutto il resto già indicato, ovvero la modifica al valore LocalAddress in 127.0.0.1:40 e tutto quanto riportato sotto la sezione server salvo la parte relativa a # MyConfig che impostata alla seguente maniera fa partire il tutto correttamente (unbound su 53 e dnscrypt su 40) :gogo

http://images.collectiontricks.it/images/96949511414964398672_thumb.png (http://images.collectiontricks.it/viewer.php?file=96949511414964398672.jpg)


Only registered members can view code.

dato che l'access-control è impostato sul mio range, o lo si omette e si vede se senza di esso si riesce ad andare su internet comunque oppure lo si imposta con il proprio se lo si è settato, altrimenti di default è access-control: 192.168.0.0/24 allow

ma pensa te che è un bel pezzo che cercavo di far funzionare sta roba... :tap :ghgh

---------- Post Unito il 08-07-15 alle 00: 39 ----------

a scanso di equivoci riporto così com'è ora tutto il mio file service.conf:


Only registered members can view code.

p060477
08-07-15, 08: 46
Innanzitutto grazie!!

quello che hai cosi' bene e pazientemente scritto e dettagliato vale solo se hai dnscrypt e unbound installati sul pc?
perche' io li ho portable quindi non installati
dnscrypt,come ben hai scritto, mi funzionerebbe solo sulla 53 altresi non mi collego al web
e unbound l'ho non installato ma - portable -:


http://www.filedropper.com/unbounddnscache153

pensi che debba modificare qualche cosa..?

grazie!!

wrongway
08-07-15, 09: 40
non so :boh

al momento non ho un sistema su cui fare dei test (e di certo a sto punto non mi metto a toccare nulla su questo :ehmm :fleurs :eye )

dal canto mio posso solo fare delle supposizioni visto che è stata solo fortuna l'aver imbroccato una combinazione che mi facesse funzionare il tutto, tant'è che ci avevo rinunciato da un bel po' e ho ripreso in mano la cosa solo per via di questa discussione :sisi

ricapitolando, per l'appunto ipotizzando, se la tua condizione fosse la seguente:

- nelle proprietà del "Protocollo Internet versione 4 (TCP/IPv4)" della scheda di rete/wireless con cui ti colleghi al router è già impostato "Utilizza i seguenti indirizzi server DNS:" "Server DNS preferito:" 127.0.0.1 ? se non lo fosse ovviamente andrebbe messo in quella maniera

- se nel registro di windows a cui si accede tramite regedit (eseguito come amministratore ovvero click col destro -> "Esegui come amministratore") nella chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\dnscrypt-proxy\Parameters il valore di LocalAddress fosse già impostato su 127.0.0.1:53 per via di DNSCrypt questo andrebbe modificato in 127.0.0.1:40

- il file service.conf di Unbound dovrebbe essere modificato (preferibilmente tramite Notepad++) nella maniera in cui l'ho impostato io ovvero riproponendola di nuovo:


Only registered members can view code.

salvo per l'appunto per quanto riguarda l'impostazione access-control in quanto lì settata sul mio range d'indirizzi di ip statici ossia:

- la si può provare ad omettere del tutto e a vedere se senza di essa si riesce comunque a collegarsi ad internet

- oppure se come me si sono settati degli ip statici per il router e i pc collegati, andrebbe impostata in base a quelli, es:
access-control: 192.168.1.0/24 allow

- se invece si utilizza il router per ottenere gli indirizzi ip tramite DHCP ovvero la propria scheda è settata su "Ottieni automaticamente un indirizzo IP" in quel caso l'impostazione di default sarebbe
access-control: 192.168.0.0/24 allow

indi una volta riavviato il pc se non funzionasse la connessione internet bisognerebbe riportare le cose a com'erano in origine, ovvero il valore originale di LocalAddress e l'impostazione originale nelle proprietà del "Protocollo Internet versione 4 (TCP/IPv4)" della scheda

p060477
08-07-15, 13: 54
l'immagine con le porte 53 e 40 con quale tool l'hai ottenuta..??
e' portable..?

wrongway
08-07-15, 14: 14
se intendi l'immagine in sé, l'ho scattata semplicemente premendo il tasto Stamp e l'ho poi "incollata" in Paint

se intendi quale programma ho usato per ottenere quel tipo di "dato" ovvero le porte usate dai programmi, allora è "Process Hacker", un task manager "avanzato" tipo "Process Explorer", e sì, esiste anche "portable" :sisi

si può scaricare lo zip dal sito ufficiale (http://processhacker.sourceforge.net/downloads.php)

:bai

p060477
08-07-15, 17: 33
ciao!

questo e' il mio file service.conf:
# Unbound configuration file on windows.
# See example.conf for more settings and syntax
server:
# verbosity level 0-4 of logging
verbosity: 0

# if you want to log to a file use
#logfile: "C:\unbound.log"

# on Windows, this setting makes reports go into the Application log
# found in ControlPanels - System tasks - Logs
#use-syslog: yes

do-not-query-localhost: no

forward-zone:
name: “.”
forward-addr: 127.0.0.1@40

ho un router usrrobotics usr9611 con dchp abilitato..
come devo settare:interface,credo 127.0.0.1
ma l'access control..?? e' quello che vedo in ip address pool..??..con start ed end..??
il mio va da 192.168...0 a molto oltre il 24...

e il file service.conf con notepad lo salvo come doc di testo .txt..??..
chiedo perche' ci sono miriadi di opzioni...!!..

ricapitolando..ho gia' il servizio dnscrypt che va sulla 53..lo sposto sulla 40..ma come installo unbound..il mio e' portable..quale file lancio..??..unboundserviceinstall..??

AGGIORNAMENTO:

sei un mago!!
con le tue precise info ci sono riuscito!!

1)non ho messo il access-control
, ho capito comunque che avendo un dchp e ip dinam. avrei dovuto mettere: access-control: 192.168.0.0/24 allow
ma questo anche se la mia lista va da 2 a 254..?
e cosa cambierebbe se lo mettessi?

2) con process hacker ho non 2x2 processi,come nella tua immagine..ma 2x4...e vedo nel local address
alternativamente il 127.0.0.1 e 007guard.com e' ok?
io avrei risolto cambiando l'entrata di spyboot in c\sys32\drivers\etc\host come scritto qua:
http://ilsofista.blogspot.com/2010/03/eliminare-007guardcom.html
che ne pensi..??!!..

grazie mille!!

wrongway
08-07-15, 19: 01
"007guard.com" dovrebbe essere roba messa nel file di host da Spybot o programmi antispyware similari per impedirne l'accesso facendone il redirect su 127.0.0.1 quindi se hai quel tipo di programmi è una cosa normale :sisi

il "/24" fa sì che gli indirizzi ip vengano coperti tutti dal 192.168.0.0 al 192.168.0.255 comunque se a te funzia lo stesso senza mettere access control, non stare lì a mettercelo, prima di rischiare che s'ingrippi qualcosa :boh

non capisco la faccenda dei 2x4 :m:

rispetto all'immagine che ho postato, quelli in più che protocolli/porte locali usano?

p060477
08-07-15, 19: 11
ciao e grazie!

porte 49156 e 49157
protocolli:tcp
establish

a diff delle porte 40 e 53 che sono in listen

ho fatto male a editare il file host come da link e mettere come primo il 127.0.0.1 localhost..?
era meglio lasciare il 007guard..?

il non mettere l'access control nel service.conf cosa comporta di diverso..?

grazie mille ancora di cuore!!

wrongway
08-07-15, 19: 33
a 49156 e 49157 tcp establish

ah ho capito: :sisi è perché io ho scattato l'immagine ordinando per "porte locali" quindi quelle superiori che vengono usate per stabilire le connessioni con i siti erano in basso nell'immagine che ho ritagliato, quindi la cosa è OK :sisi


ho fatto male a editare il file host come da link e mettere come primo il 127.0.0.1 localhost..?
era meglio lasciare il 007guard..?

spybot è una vita che non lo uso, ma mi ricordo che avevo fatto in modo che il file di host non lo modificasse perché me lo aveva riempito di voci, e a me la cosa rallentava la navigazione :tap (non ricordo come feci: se ci fosse un'opzione nel programma o se agii manualmente :boh )


il non mettere l'access control nel service.conf cosa comporta di diverso..?

ci ho provato a cercare di comprendere le istruzioni in inglese, ma tecnicamente la maggior parte non le ho afferrate e non ho approfondito :ehmm

so che prima di iniziare ad usare DNSCrypt col solo Unbound se non lo avessi messo non mi sarei collegato ad internet (forse dipendeva dal fatto che ho i pc collegati in lan :boh )

lasciandocelo a me funzia: potrei provare a toglierlo, ma a me sta configurazione (visti i vari esempi che si trovano in rete e che si contraddicono a vicenda... :tap ) sembra un terno al lotto :lol:

:bai

p060477
08-07-15, 20: 03
ciao e grazie!!

credo che il file host sia editato da spyboot...nella sua immunizzazione...
al limite come si torna a quello di default..?

mi sono imbarcato in questa avventura perche' con il nuovo win 8.1 64bit
su alcuni siti,es la repubblica, non c'era verso di navigare tra le pagine..si apriva solo la home
e non c'era verso di usare bitche..
per fare cio' dovevo mettere i dns di default dell'isp infostrada..

nella mia macchina virtuale guest,fatta con vbox, con il mio vecchio win xp invece nessun probl.

..non ti pare strano..??

wrongway
08-07-15, 22: 34
credo che il file host sia editato da spyboot...nella sua immunizzazione...
al limite come si torna a quello di default..?

per tornare a quello di default si può provare a modificarlo col blocco note (che bisogna avviare con click col dx -> "Esegui come amministratore") :

dal blocco note si apre il file hosts che sta in C:\Windows\System32\drivers\etc

e si sostituisce il contenuto con quello di default ovvero:


Only registered members can view code.

poi dopo per salvarlo basta fare "Salva" dal menu "File"

ma comunque prima presumo che si debba disabilitare l'immunizzazione in spybot... ci dovrebbe essere un'opzione nel programma stesso... ho provato a cercare in rete ma istruzioni chiare e limpide non ne ho trovate... :tap

da quel che ho capito, spybot poi comunque se è impostato per farlo riesce a riportare le cose a come vuole lui se non lo si disabilita... :ohoh


..non ti pare strano..??

mi era capitato di dare un'occhiata alle discussioni che avevi aperto, ma purtroppo non avevo la benché minima idea di che pesci pigliare :boh :ehmm

---------- Post Unito alle 23: 10 ----------

tornando ad Unbound/DNSCrypt per chi fosse interessato funziona anche il DNSSEC (https://it.wikipedia.org/wiki/DNSSEC)

in fase d'installazione di Unbound viene chiesto se lo si vuole aggiungere, e se si mette la relativa spunta ci si troverà con il file [B]root.key nella directory del programma, mentre nel file service.conf ci sarà la riga che punta ad esso:

server: auto-trust-anchor-file: "C:\Program Files\Unbound\root.key"

poi in DNSCrypt dovremo selezionare uno dei servers che lo supporta: ce ne stanno (https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv) in australia/danimarca/francia/olanda/polonia (si veda sotto "DNSSEC validation" se c'è "yes")

dai test funzia :sisi

http://images.collectiontricks.it/images/40437954911944803878_thumb.png (http://images.collectiontricks.it/viewer.php?file=40437954911944803878.png) http://images.collectiontricks.it/images/92970985242214466750_thumb.png (http://images.collectiontricks.it/viewer.php?file=92970985242214466750.png)

p060477
09-07-15, 07: 39
Grazie mille!

mi interessa molto il DNNSEC..ma come lo posso utilizzare se unbound e' portable..?
ho messo lo screenshoot del contenuto della sua cartella..
io al momento per avere unbound in process hacker ho solo lanciato il service installer exe..
gli altri exe non li ho ancora toccati..

il file root.key non c'e'..ho provato a lanciare unbound anchor.exe ma si apre solo il dos per un nano secondo..
e nel service.conf non ho la tua linea ovviamente...
come posso fare...

come server uso:
dnscrypt.eu-dk,DNSCrypt.eu Denmark,"Free, non-logged, uncensored. Hosted by Netgroup.",Denmark,,https://dnscrypt.eu,1,yes,yes,no,77.66.84.233:443,2.dnscry pt-cert.resolver2.dnscrypt.eu,3748:5585:E3B9:D088:FD2 5:AD36:B037:01F5:520C:D648:9E9A:DD52:1457:4955:9F0 A:9955,pubkey.resolver2.dnscrypt.eu

che dovrebbe supportare il dnssec..c'e' yes come mi hai segnalato..

i test che hai postato su quali siti li hai fatti..??

dalla tua immagine ho provato ma mi esce dns failed al test...

riguardo a spyboot e' portable anch'esso per cui credo che se modifico l'host non dovrebbe da solo rimodificarlo lui..
la domanda e'..serve tale immunizzazione tanto da sopportare eventuali lentezza nella navigazione..
oppure meglio l'host originale intonso..?

tieni presente che uso anche spyblaster che un poco dovrebbe immunizzare..

grazie mille!!

wrongway
09-07-15, 09: 33
sulla configurazione/funzionamento di spybot non posso rispondere perché non sono chiare le info che riesco a reperire in rete :ehmm :boh

il file hosts modificato in quella maniera torna utile: se si riscontra (come capitò a me) una differenza palpabile durante la navigazione, imho il gioco non vale la candela :tap

il file root.key viene creato con dei dati che vengono scaricati da internet, e deve essere costantemente aggiornato: di ciò non se ne può occupare la versione portable :nono

c'è un tool sperimentale (Dnssec-Trigger (http://www.internetsociety.org/deploy360/resources/dnssec-trigger/)) che fa funzionare DNSSEC in locale sul proprio pc, ma va installato e a quel punto tanto vale installare Unbound

i siti per testare DNSSEC sono:

SIDN DNSSEC test (http://dnssectest.sidnlabs.nl/)

Broken DNSSEC Validation Test Site (http://www.dnssec-failed.org/)

il primo dà "rosso" se DNSSEC non è supportato:

http://images.collectiontricks.it/images/83967671084293324380_thumb.png (http://images.collectiontricks.it/viewer.php?file=83967671084293324380.png)

il secondo sito non è accessibile se DNSSEC è supportato, ovvero in Chrome dice che "La pagina web non è disponibile" come riportato dalla mia seconda immagine precedente (in Firefox invece dice "Impossibile contattare il server")

se invece DNSSEC non è supportato, fa vedere una pagina come questa che ti avvisa della lacuna:

http://images.collectiontricks.it/images/17947885691539905796_thumb.png (http://images.collectiontricks.it/viewer.php?file=17947885691539905796.png)

:bai

p060477
09-07-15, 16: 54
Ciao e grazie!!

..i miei risultati sono diversi..ti posto le immagini..

..come mai..??

non sembra ne' che abbia ne' che non abbia i dnssec...non e' strano..??

cosa caspita sbaglio..??!!

ancora mille grazie!!:shock

wrongway
09-07-15, 17: 22
la domanda è:

Hai installato sul pc Unbound dicendogli d'installare anche DNSSEC?

se la risposta come mi pare che sia è No allora puoi fare tutti i test che vuoi ma tu DNSSEC non ce l'hai

non è che perché ti colleghi ad un server che lo supporta, automaticamente ce l'hai anche tu

il server a cui tu ti colleghi verifica se tu ce l'hai supportato e se ce l'hai allora te lo lascia usare, altrimenti ti fa navigare normalmente senza

:bai

---------- Post Unito alle 16: 25 ----------

opps scusa ho visto male le immagini: :ehmm

devo investigare :boh

---------- Post Unito alle 16: 27 ----------

la seconda immagine è corretta quindi il risultato che ci si aspetta è proprio quello :sisi

bisogna capire la prima :m:

p060477
09-07-15, 17: 32
ciao e grazie!!

..no non l'ho installato...
la mia prima immagine e' diversa dalla tua e anche da quella che ci si aspetta se non si ha il dnssec..
cioe' manca la x rossa...

la seconda sembra uguale a quella che hai postato in cui si -dovrebbe- avere il dnssec...

ecco perche' mi pare strano..non ho la certezza
ne' di NON averlo
ne' di averlo...

:(

wrongway
09-07-15, 18: 17
ah! ma se non ce l'hai installato, comunque sia è come dicevo prima: non ce l'hai e basta, non è che spunta dal nulla... :nono

prova ad andare su questa pagina:

DNSSEC-Tools (http://www.dnssec-tools.org/)

a me con DNSSEC dà il messaggio in verde DNSSEC Secured!

http://images.collectiontricks.it/images/31340190775145448191_thumb.png (http://images.collectiontricks.it/viewer.php?file=31340190775145448191.png)

mentre senza DNSSEC mi dà il messaggio in rosso dicendomi che non ce l'ho:

http://images.collectiontricks.it/images/08075966990513829329_thumb.png (http://images.collectiontricks.it/viewer.php?file=08075966990513829329.png)

poi vai su questo:

CZ.NIC - O DNSSEC (http://www.rhybar.cz/)

a me con DNSSEC dà la pagina bianca

http://images.collectiontricks.it/images/99547947627550596755_thumb.png (http://images.collectiontricks.it/viewer.php?file=99547947627550596755.png)

mentre senza DNSSEC mi fa il redirect sulla pagina cecoslovacca del sito dove mi dice che non ce l'ho:

http://images.collectiontricks.it/images/29621410155563663191_thumb.png (http://images.collectiontricks.it/viewer.php?file=29621410155563663191.png)

p060477
09-07-15, 18: 50
perfetto!

queste prove mi dicono -entrambe- che non ce l'ho

rimane il mistero della immagine -test 2 che sembrava io lo avessi..

sono riuscito a -portabilizzare - dnssec trigger...cosa devo lanciare..??

..inoltre nello screen passato di unbound portable devo lanciare qualche altro exe..?
io per ora ho solo lanciato il service install exe

ps. cosa ne pensi dei dnssec come add on di chrome o firefox..??

grazie!!

wrongway
09-07-15, 19: 13
rimane il mistero della immagine -test 2 che sembrava io lo avessi..

probabilmente c'è stato qualcosa nella connessione che ne ha impedito il redirect :boh


..inoltre nello screen passato di unbound portable devo lanciare qualche altro exe..?
io per ora ho solo lanciato il service install exe

senti un po'... :m: ma se tu vai in "Strumenti di amministrazione" -> "Servizi" hai "Unbound DNS validator" che funziona come "Avviato" "Automatico"?

se sì, allora dicono che è "portable" per modo di dire perché ti ha installato il servizio, quindi quello zippato di "Unbound" alla fin della fiera non è "portable" ma semplicemente zippato... tanto valeva installarlo con l'installer così c'era l'opzione per mettere il DNSSEC :tap


sono riuscito a -portabilizzare - dnssec trigger...cosa devo lanciare..??

dnssec trigger usa lo stesso software di Unbound che ha in licenza perciò se lo vai a lanciare rischi di creare conflitto con Unbound - o usi l'uno o usi l'altro e comunque se riesci a farlo partire anche lui installa un servizio :tap


ps. cosa ne pensi dei dnssec come add on di chrome o firefox..??

non aggiungono alcun supporto: servono semplicemente a testare se il sito a cui ci si collega supporta il DNSSEC

per funzionare DNSSEC deve:

- essere installato sul pc
- supportato dal server a cui ci si collega
- implementato dal sito a cui ci si collega

p060477
09-07-15, 19: 23
ciao e grazie!!

il redirect non me lo fa mai e mi da -sempre- la tua immagine n.2...
si ho il servizio unbound
ma anche altri di prog -non installati- ...

quali file lanceresti della immagine che ti ho postato..sia di unbound che di dnssec trigger..?

grazie mille!!

:)

wrongway
09-07-15, 19: 54
si ho il servizio unbound
ma anche altri di prog -non installati-

...e allora sono "no-install" per modo di dire... :tap

un prog "no-install" per definirsi tale non piazza assolutamente niente sul pc :nono


quali file lanceresti della immagine che ti ho postato..sia di unbound che di dnssec trigger..?

dnssec trigger eviterei nel modo più assoluto di lanciarlo con Unbound in gioco :nono

non è da escludere la possibilità che possa succedere soltanto un gran casotto :tap

questo è un estratto della sua documentazione:


The main dnssec-trigger programs are installed, but also some other software is installed to this directory: The Unbound service is installed, it is the dnssec validator and DNS server. This unbound install is especially configured by the installer to work with dnssec-trigger.

c'è roba di unbound lì in mezzo che andresti a mischiare con roba di unbound che già ti gira... andare a rischiare un patatrac per che cosa? :ohoh

se vuoi a tutti i costi DNSSEC, disinstalla il servizio di Unbound tramite il file "unbound-service-remove" quindi installa Unbound con l'installer mettendoci la spunta su DNSSEC, poi modifica il file service.conf nella maniera in cui lo hai ora (lasciandoci ovviamente la nuova riga che serve a gestire il file root.key)

in tutta coscienza io non mi sento di consigliarti di agire in altra maniera :ehmm

wrongway
10-07-15, 08: 02
altra cosa:

la cartella di Unbound tu non ce l'hai su chiavetta, bensì su C:\Programmi\Unbound

se quella cartella la levi da lì e la metti su chiavetta, Unbound smette di funzionare perché alla fin della fiera comunque lo hai installato

(che poi non te la dovrebbe nemmeno lasciare spostare col servizio in esecuzione: si dovrebbe prima arrestare il servizio, indi spostare la cartella, per poi quando si fa ripartire il servizio, ricevere l'errore che non è possibile in quanto il programma che gestisce il servizio non è più presente, essendo ovviamente questo stato spostato)

se lo vai ad installare correttamente con l'installer per poter così utilizzare DNSSEC, una volta che hai disinstallato il servizio tramite il file apposito, devi anche eliminare quella cartella da quella locazione, perché Unbound s'installa proprio lì e si rischia che si sovrapponga e qualcosa poi vada storto...

p060477
10-07-15, 12: 51
ciao!

..molti tool sono parz portabili..sempre meglio che installati..IMHO

riguardo a dnssec unbound e dnscrypt avrei trovato questo..:

Hello,
DNSCrypt and DNSSec both encrypt your DNS data, however they do this using different methods. Since you are using Unbound as a proxy for DNSCrypt, once you enable DNSSec then DNSCrypt will no longer function. It would be like trying to run a Mac program on a Windows machine.

Larry Guthrie
Technical Support Engineer
OpenDNS, Inc.


..cosa ne pensi..??...

:(

wrongway
10-07-15, 13: 56
..molti tool sono parz portabili..sempre meglio che installati..IMHO

non in questo caso: hai fatto 30 perché non lo puoi utilizzare completamente per avendolo installato (nel tuo registro ci sono i dati per far partire il servizio nonché quelli che servono a disinstallarlo) ...potevi a sto punto far 31 ed installarlo con l'installer... :ehmm


Hello,
DNSCrypt and DNSSec both encrypt your DNS data, however they do this using different methods. Since you are using Unbound as a proxy for DNSCrypt, once you enable DNSSec then DNSCrypt will no longer function. It would be like trying to run a Mac program on a Windows machine.

che è una baggianata :ghgh

a parte che in rete ci sono diversi tutorials per configurare su linux Unbound + DNSSEC + DNSCrypt ad ogni modo...

https://cloudns.com.au/


Secondary Server (Sydney, Australia)

Address: 113.20.8.17:443


Our DNS resolver is only accessible using the DNSCrypt protocol


Our server does complete trust validation of DNSSEC enabled

ovvero

il ns. resolver dns è accessibile soltanto usando il protocollo di dnscrypt

il ns. server effettua la convalida completa del dnssec

ed eccomi collegato a loro...

http://images.collectiontricks.it/images/23186809687601699885_thumb.png (http://images.collectiontricks.it/viewer.php?file=23186809687601699885.png)

...se il protocollo di dnscrypt non funzionasse non potrei...

...e quindi effettuare subito dopo il test del dnssec:

http://images.collectiontricks.it/images/85607615129505538182_thumb.png (http://images.collectiontricks.it/viewer.php?file=85607615129505538182.png)

p060477
10-07-15, 14: 04
..se e' una baggianata..e' assai grave...
perché e' un supporto tecnico di opendns..:

Date: Thu, 9 Jul 2015 18:33:59 +0000
From: support@opendns.com
To: Subject: [OpenDNS] Re: slow navigation..


##- Please type your reply above this line -##

OpenDNS Support is available from 9am - 5pm (PST/UTC-8) Mon-Fri


Your request (#153341) has been updated. Reply to this email or click the link below:
http://support.opendns.com/requests/153341




Larry Guth
Larry Guthrie (OpenDNS)

Jul 9, 11:33


Hello,
DNSCrypt and DNSSec both encrypt your DNS data, however they do this using different methods. Since you are using Unbound as a proxy for DNSCrypt, once you enable DNSSec then DNSCrypt will no longer function. It would be like trying to run a Mac program on a Windows machine.

Larry Guthrie
Technical Support Engineer
OpenDNS, Inc.


..questo e' quanto mi hanno scritto in risposta ad un ticket da me creato...

:(

wrongway
10-07-15, 15: 46
a sto punto che te debbo dì? sarà come dice lui... per me qui funzia tutto: ho passato le ultime due ore a fare test a dx e manca ...a sniffare pacchetti criptati... mo' mi dedico ad altro... :fleurs :bai

---------- Post Unito alle 15: 31 ----------

l'ultima cosa perché questa discussione si era già risolta in quel singolo post ove veniva spiegata per filo e per segno la configurazione...

dal sito ufficiale di DNSCrypt:

http://dnscrypt.org/


Using DNSCrypt in combination with a DNS cache

Pay attention to the fact that some resolvers do not support the DNS security extensions (DNSSEC).

If Unbound is configured to perform DNSSEC validation in combination with an upstream server that does not support DNSSEC, queries will fail. Either use only DNSCrypt resolvers with support for DNSSEC, or disable DNSSEC support in Unbound by commenting out the auto-trust-anchor-file line in its configuration.

ovvero



Usare DNSCrypt in combinazione con una DNS Cache

Prestate attenzione al fatto che alcuni resolvers non supportano DNSSEC.

Se Unbound è configuarto per DNSSEC in combinazione con un server che non lo supporta, fallirà. Usate DNSCrypt solo con resolvers che supportano DNSSEC, altrimenti disabilitatelo nella configurazione di Unbound.


poi

How To Secure DNS with DNSCrypt - eSecurity Planet (http://www.esecurityplanet.com/mac-os-security/how-to-secure-dns-with-dnscrypt.html)


It may seem like DNSCrypt and DNSSEC are competing solutions, but they are actually complementary and can be used together for comprehensive security. DNSSEC provides protection against DNS spoofing and other man-in-the-middle attacks, and DNSCrypt provides double-protection and prevents any eavesdropping on traffic, even by ISPs.

ovvero...


...sono complementari... ...si possono usare assieme...

poi

Encrypting DNS lookups | BSD Now (http://www.bsdnow.tv/tutorials/dnscrypt)



DNSSEC and DNSCrypt go hand in hand, complimenting each other


ovvero...


...vanno a bracetto...

https://www.opendns.com/about/innovations/dnscrypt/


DNSSEC and DNSCrypt can work perfectly together. They aren’t conflicting in any way.

p060477
10-07-15, 17: 48
..io come ho chiaramente postato ed allegato sto usando un server che a dnssec ha la parola, yes ,....

..ed anche il resp di opendns punta il dito non tanto sulle -combinazioni- a due..
ma sulla triade:dnscrypt + unbound + dnssec......

"however they do this using different methods." (dnscrypt - dnssec)

"Since you are using Unbound as a proxy for DNSCrypt, once you enable DNSSec then DNSCrypt will no longer function"

..il problema sta nel rapporto a 3....non nelle combo a due...

wrongway
10-07-15, 18: 04
mi spieghi come fa uno ad avere DNSSEC sul pc senza Unbound?

chi glielo fornisce DNSSEC?

---------- Post Unito alle 18: 26 ----------

ho cercato e ricercato ma siam sempre lì: :tap

se uno si collega ad un server che supporta DNSSEC ma a sua volta non ce l'ha sul pc, NON usufruisce dell'opzione fornita dal server: si limita semplicemente a navigare senza DNSSEC

DNSSEC sul pc viene gestito da Unbound

noi che siam fortunati, potendo installare semplicemente Unbound che lo gestisce, ci possiamo collegare ad un server che supporta DNSSEC e sfruttarlo

chi invece sta in un paese il cui governo gli impedisce di collegarsi a quei server che supportano DNSSEC, può aggirare il problema con Dnssec-Trigger che in locale sul proprio pc sbriga la pratica DNSSEC che spetterebbe al server (appoggiandosi sempre e comunque ad Unbound nella versione personalizzata per girare con Dnssec-Trigger)

di server (providers/siti che visitiamo) a cui ci colleghiamo che supportano DNSSEC invece ovviamente ce ne sono dei tipi più disparati: Comparison of DNS server software (https://en.wikipedia.org/wiki/Comparison_of_DNS_server_software#Feature_matrix)

---------- Post Unito alle 18: 57 ----------

questi sono alcuni dei tutorials con la combinazione Unbound/DNSSEC/DNSCrypt su linux

https://forums.freebsd.org/threads/howto-jailed-unbound-dnscrypt-proxy-with-dnssec.48966/

webzerone.com: [DNSCRYPT] [DNSSEC] [Unbound] : Chiffrer, sécuriser et optimiser les requêtes DNS (http://www.webzerone.com/2013/10/chiffrer-securiser-et-optimiser-les.html)

Blue Pill Technology: Configuring OpenBSD 5.7 default unbound with dnscrypt/DNSSEC to encrypt round-robin outbound DNS lookups/queries (http://bluepilltech.blogspot.it/2015/05/configuring-openbsd-57s-default-unbound.html)

e qua su mac:

https://cosu.ro/blog/2014/09/23/unbound-and-dnscrypt-proxy-on-osx-via-homebrew/

evidentemente è tutta gente che ha perso tempo perché stando a chi ti ha risposto, la cosa non può funzionare perché lo dice lui... :tap

wrongway
11-07-15, 00: 31
tagliam la testa al toro perché non esistono 30 post per sta discussione...

io HO Unbound (con DNSSEC attivato) che fa il forwarding a DNSCrypt

mi collego al server DNS dnscrypt.org-fr (212.47.228.136) e ottengo la risoluzione DNS criptata tramite la porta 443:

http://images.collectiontricks.it/images/53133390605663805833_thumb.png (http://images.collectiontricks.it/viewer.php?file=53133390605663805833.png)

checché ne dica il tipo degli opendns... :tap

se invece mi collego normalmente al Google Public DNS (8.8.8.8) ottengo la risoluzione DNS in chiaro tramite la porta 53:

http://images.collectiontricks.it/images/87226232071604150094_thumb.png (http://images.collectiontricks.it/viewer.php?file=87226232071604150094.png)

wrongway
11-07-15, 13: 43
mi hai fatto venire un tarlo... :ohoh :ghgh :fleurs non ne uscirò più da sto topic :lol: :fleurs


To: Subject: [OpenDNS] Re: slow navigation..

ovvero


Re: navigazione lenta

"Navigazione lenta" ...ma tu che gli hai chiesto a questi degli opendns perché ti rispondessero così? :m:

tu non hai attivato DNSSEC sul pc... che c'entrerebbe con te il DNSSEC? :ohoh

ma tu gliel'hai detto che per la risoluzione dei DNS non usi i loro server bensì quelli della loro "concorrenza"?

perché se avesse dato per scontato che tu usavi i loro server, è naturale che DNSCrypt forwardato da Unbound con DNSSEC attivato (che tu comunque non hai) con loro non funzionasse...

p060477
12-07-15, 10: 17
..no il titolo si riferisce al ticket originario..fatto mesi fa..e riusato per il nuovo problema perche' non avevo voglia di crearne uno nuovo...ed anche loro si vede di chudermelo ed aprirne un altro...

mi pare che le guide che hai messo non riguardino pero' windows..

inoltre mi pare di aver capito che con il dnstrigger e dnscrypt, vedi sempre un combo, perche' a quel punto unbound e' dentro il trigger..,possa funzionare..ed a quel punto come sono riuscito a portabilizzare sia unbound che dnstrigger posso usare lui e disinstallare il servzio di unbound preventivamente..

guarda che i portable che mettono chiavi nel reg win e servizi ora sono veramente molti....

ne stavo discutendo con andy86 in un altro topic qua che riguardava superantispyware ad es..

inoltre nei servers che posso usare con dnscrypt, la gui portable che ho.., c'e' pure opendns....

grazie!!

:)

wrongway
12-07-15, 10: 47
non so come farai con dnssec trigger non avendolo io mai installato :boh (né tanto meno con la "versione" "portable" che ti sei creato tu :boh )

comunque indipendentemente da tutto DNSSEC funziona solo su quei servers che riportano "yes" in quell'elenco

non funziona su opendns perché non è da loro supportato, tant'è che se si ha attivato DNSSEC sul pc, quando ci si collega ad opendns non si va da nessuna parte perché dà subito pagina bianca (ma darebbe pagina bianca con qualunque altro resolver dns che non supporta dnssec)

in rete su dnscrypt e il resto per windows si trova poco o niente: :triste vale soltanto il discorso "generico", poi dopo per la configurazione bisogna arrangiarsi :tap

:bai

p060477
12-07-15, 12: 50
se non ti sei perso in queste sabbie mobili di posts avrai gia' visto che io sto usando,con la mia gui per dnscrypt, un server ,della dk,
che alla voce dnssec ha Yes..

:)

wrongway
12-07-15, 14: 39
ad ogni modo confermo di nuovo a chi mai dovesse leggere tutto sto ambaradan che il trittico Unbound/DNSECC/DNSCrypt su un server dns che supporta DNSSEC funzia :sisi

quelle nell'immagine sotto a dx sono tutte le comunicazioni criptate con il server dnscrypt dalla risoluzione dns all'accesso di un sito che supporta DNSSEC:

http://images.collectiontricks.it/images/38140872101849278053_thumb.png (http://images.collectiontricks.it/viewer.php?file=38140872101849278053.png) http://images.collectiontricks.it/images/25524511758611540117_thumb.png (http://images.collectiontricks.it/viewer.php?file=25524511758611540117.png)

p060477
13-07-15, 11: 27
..ma se disinstallassi il servizio di unbound e lanciassi il dnstrigger ..??..
a quel punto potrei avere la triade funzionante..sbaglio..??

ultima , i promise !!.., non e' strano che nelle mie impo di rete veda a dns: 127.0.0.1 mentre se vado nel router
,che uso lan attaccato via ethernet, vedo dns : 8.8.8.8 - 8.8.4.4 (..quelli di google..) ??

grazie!!!

:)

wrongway
13-07-15, 21: 54
..ma se disinstallassi il servizio di unbound e lanciassi il dnstrigger ..??..
a quel punto potrei avere la triade funzionante..sbaglio..??

non so che accadrà :boh non esiste documentazione in rete per quel che ti vuoi "inventare" tu :boh

la procedura corretta che dovrebbe far funzionare dnssec trigger è quella gia detta (installazione tramite installer, previa precauzionale disinstallazione servizio unbound, ma si ritorna al fatto che a quel punto era preferibile installare correttamente unbound)


non e' strano che nelle mie impo di rete veda a dns: 127.0.0.1 mentre se vado nel router
,che uso lan attaccato via ethernet, vedo dns : 8.8.8.8 - 8.8.4.4 (..quelli di google..)

presumibilmente il router è impostato per risolvere i dns tramite google sulla porta 53 (a cui si accederebbe selezionando "Ottieni indirizzo server DNS automaticamente")

ma a te la cosa non tange perché li risolvi sulla porta 443 con dnscrypt con cui comunichi tramite il 127.0.0.1

:bai

p060477
14-07-15, 12: 13
grazie ancora!!

tutto questo mi ha risolto il problema di usare bitche e di accedere a siti torrents..ma..
ho sempre gli stessi problemi di navigazione su siti tipo la repubblica, il tirreno , aiutamici..
in cui arrivo bene alla home page..ma quando cerco di navigare tra le pagine ci mette una vita..e spesso esce errore time out..
poi esco e ritorno e si apre..
cosa che con il mio vecchio xp in vbox come guest non mi accade..navigo alla perfezione..

cosa caspita puo' essere..??..c'entra sicuramente win 8.1, che e' il mio host
..ma forse anche il mio vecchio router usr9611 robotics che non supporta ipv6..??


grazie ancora!!

:)

wrongway
14-07-15, 12: 28
come ti ho già detto non mi si era accesa nessuna lampadina riguardo a quel tipo di problema che tu avevi esposto altrove :boh

forse ti conviene "ri-uppare" quel topic indicando che hai anche provato ad usare unbound/dnscrypt senza venirne a capo (linkando ovviamente questa discussione)

...perché semmai passasse qualcuno di qui, non sarebbe per cercare di aiutarti a risolvere quel tipo di problema, quanto piuttosto perché sui motori di ricerca è saltato fuori unbound/dnscrypt

:bai

p060477
14-07-15, 12: 55
fatto!!

http://www.collectiontricks.it/forum/software/Ct6168-win-8-1-difficolta-navigazione.html

grazie mille!!

:)