Dnscrypt клиент для windows: шифрование данных с компьютера на dns

Как включить DNS через HTTPS (DoH) в веб-браузерах

Google Chrome

В Google Chrome в Windows уже включена опция DNS через HTTPS. Вы можете её проверить перейдя в «Настройки» → «Конфиденциальность и безопасность» → «Безопасность» → «Дополнительные» → «Использовать безопасный DNS сервер». Чтобы быстро найти эту настройку, введите в адресную строку «chrome://settings/security/» и пролистните в самый низ.

Вы можете выбрать из списка любой DNS сервер с поддержкой DoH или указать свой собственный.

На момент написания, в Google Chrome в Linux данная опция недоступна.

Firefox

Перейдите в Настройки → Основные. Пролистните в самый низ, чтобы найти кнопку «Параметры сети, Настроить».

Поставьте галочку «Включить DNS через HTTPS» и выберите провайдера из списка или введите свой IP адрес:

Opera

Перейдите в настройки (шестерёнка внизу левого сайдбара или кнопка «Простые настройки» → «Открыть все настройки браузера»).

Затем перейдите в «Дополнительно» → «Система».

Включите галочку «Использовать DNS поверх HTTPS вместо системных настроек DNS» и выберите желаемый DNS сервер.

Microsoft Edge

На момент написания предустановленный по умолчанию Internet Explorer (Microsoft Edge) вовсе не знает про DNS через HTTPS. Если скачать последнюю версию Microsoft Edge, то там эту настройку можно включить с помощью флага.

Введите в адресную строку edge://flags#dns-over-https

Включите экспериментальный флаг и перезапустите веб-браузер.

Эммм… вроде как нужно бы ещё ввести настройки DNS сервера, но я не нашёл, где это сделать в Microsoft Edge. Да и кому дело до Microsoft Edge — кто им вообще пользуется?!

Значение DNSCrypt или SimpleDNSCrypt?

DNSCrypt или SimpleDNSCrypt? это имя ошибки, содержащее сведения об ошибке, в том числе о том, почему это произошло, какой системный компонент или приложение вышло из строя, чтобы вызвать эту ошибку вместе с некоторой другой информацией. Численный код в имени ошибки содержит данные, которые могут быть расшифрованы производителем неисправного компонента или приложения. Ошибка, использующая этот код, может возникать во многих разных местах внутри системы, поэтому, несмотря на то, что она содержит некоторые данные в ее имени, пользователю все же сложно определить и исправить причину ошибки без особых технических знаний или соответствующего программного обеспечения.

Examples

Simple options

Runs a DNS proxy on with a single upstream — Google DNS.

The same proxy with verbose logging enabled writing it to the file .

Runs a DNS proxy on with multiple upstreams.

Listen on multiple interfaces and ports:

Encrypted upstreams

DNS-over-TLS upstream:

DNS-over-HTTPS upstream with specified bootstrap DNS:

DNS-over-QUIC upstream:

DNS-over-TLS upstream with two fallback servers (to be used when the main upstream is not available):

Runs a DNS-over-TLS proxy on .

Runs a DNS-over-HTTPS proxy on .

Runs a DNS-over-QUIC proxy on .

Runs a DNSCrypt proxy on .

Additional features

Runs a DNS proxy on with rate limit set to , enabled DNS cache, and that refuses type=ANY requests.

Runs a DNS proxy on 127.0.0.1:5353 with multiple upstreams and enable parallel queries to all configured upstream servers

Fastest addr + cache-min-ttl

This option would be useful to the users with problematic network connection.
In this mode, would detect the fastest IP address among all that were returned,
and it will return only it.

Additionally, for those with problematic network connection, it makes sense to override .
In this case, will make sure that DNS responses are cached for at least the specified amount of time.

It makes sense to run it with multiple upstream servers only.

Run a DNS proxy with two upstreams, min-TTL set to 10 minutes, fastest address detection is enabled:

who run with multiple upstreams

Specifying upstreams for domains

Syntax:

If one or more domains are specified, that upstream () is used only for those domains. Usually, it is used for private nameservers. For instance, if you have a nameserver on your network which deals with at then you can specify , and dnsproxy will send all queries to that nameserver. Everything else will be sent to the default upstreams (which are mandatory!).

  1. An empty domain specification, // has the special meaning of «unqualified names only» ie names without any dots in them.

Examples

Sends queries for domains to . Other queries are sent to .

Sends queries for to except for which are sent to (as long as other queries).

EDNS Client Subnet

To enable support for EDNS Client Subnet extension you should run dnsproxy with flag:

Now if you connect to the proxy from the Internet — it will pass through your original IP address’s prefix to the upstream server. This way the upstream server may respond with IP addresses of the servers that are located near you to minimize latency.

If you want to use EDNS CS feature when you’re connecting to the proxy from a local network, you need to set argument:

Now even if your IP address is 192.168.0.1 and it’s not a public IP, the proxy will pass through 72.72.72.72 to the upstream server.

Bogus NXDomain

This option is similar to dnsmasq . If specified, transforms responses that contain only the given IP addresses into . Can be specified multiple times.

In the example below, we use AdGuard DNS server that returns for blocked domains, and tranform them to .

Simple DNSCrypt

Simple DNSCrypt позволяет легко и просто изменить настройки сетевой карты так, чтобы все запросы шли к DNS серверам с поддержкой DNSSEC. Эта технология позволяет избежать подмены IP-адресов.  Как бонус, будут использоваться только уважающие приватность серверы имён, т.е. не сохраняющие обращения пользователей.

Программа ставится просто. Главное правильно выбрать 32- или 64-битную версию, смотря какой разрядности у вас Windows. Разрядность можно посмотреть в Панели управления — Система (в Windows 10 — Параметры — Система — О программе).

x64 — 64-битная, x86 — 32-битная

После установки и запуска с ярлыка на Рабочем столе настройки менять не нужно. Просто нажмите кнопку «Применить».

Вы увидите, что переключатель пункта «Служба DNSCrypt» установится в зелёное положение «Вкл». Значит, в Windows запустилась новая служба, суть которой — выступать прокси-сервером всех DNS-запросов, перенаправляя их на безопасные сервера (их список есть на вкладке «Резольверы», там ничего трогать не надо).

После нужно лишь щёлкнуть мышью по всем сетевым картам, видимым в нижней части окна, чтобы на них появилась галочка справа вверху.

На этом всё! Защита запросов заработает сразу. Программа будет работать сама по себе.

Если вы продвинутый пользователь и хотите проверить, работает ли DNSCrypt на вашем компьютере, откройте свойства протокола TCP/IPv4 сетевого соединения. DNS-сервер должен быть локальный — 127.0.0.1.

Если при использовании сервера имён 127.0.0.1 сайты открываются — утилита dnscrypt-proxy работает, никто ваши запросы не пишет и провайдер запросы не отслеживает.

Удаляется программа, как и все остальные — через Панель управления.

Configuration

Startup

The service can be started in two mutually exclusive ways (i.e. only one of the two may be enabled):

With the .service file.

Note: The option must be configured (e.g. ) in the configuration file when using the file.

Through the .socket activation.

Note: When using socket activation the option must be set to empty (i.e. ) in the configuration file, since systemd is taking care of the socket configuration.

Select resolver

To manually set which server is used, edit and uncomment the variable, selecting one or more of the servers. For example, to use Cloudflare’s servers:

server_names = 

Disable any services bound to port 53

Tip: If using as your local DNS cache this section can be ignored, as unbound runs on port 53 by default.

To see if any programs are using port 53, run:

 $ ss -lp 'sport = :domain'

The factual accuracy of this article or section is disputed.

If the output contains more than the first line of column names, you need to disable whatever service is using port 53. One common culprit is (), but other network managers may have analogous components. You are ready to proceed once the above command outputs nothing more than the following line:

 Netid               State                 Recv-Q                Send-Q                                 Local Address:Port                                   Peer Address:Port

Modify resolv.conf

This article or section needs expansion.

nameserver ::1
nameserver 127.0.0.1
options edns0 single-request-reopen

Other programs may overwrite this setting; see for details.

Как соотносятся DNS поверх HTTPS, DNSSEC, DNSCrypt, DNS поверх TLS

Имеется несколько протоколов, обеспечивающих шифрование DNS запросов. В настоящее время на клиентском программном обеспечении лучше всего поддерживается DNS поверх HTTPS (DoH) — именно ему и посвящена данная статья. Чтобы ориентироваться в терминах, рассмотрим краткие характеристики каждого из протоколов.

DNS поверх HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника».

DNS поверх TLS (DoT) — предлагаемый стандартный протокол для выполнения разрешения удалённой системы DNS с использованием TLS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника».

DNSSEC (англ. Domain Name System Security Extensions) — набор расширений IETF протокола DNS, позволяющих минимизировать атаки, связанные с подменой DNS-адреса при разрешении доменных имён. Он направлен на предоставление DNS-клиентам (англ. термин resolver) аутентичных ответов на DNS-запросы (или аутентичную информацию о факте отсутствия данных) и обеспечение их целостности. При этом используется криптография с открытым ключом.

DNSCrypt — это сетевой протокол, который аутентифицирует и шифрует трафик системы доменных имён (DNS) между компьютером пользователя и рекурсивными серверами имён. Первоначально он был разработан Фрэнком Денисом и Йеченг Фу.

Хотя существует несколько реализаций клиента и сервера, протокол никогда не предлагался Инженерной группе Интернета (IETF) в виде RFC.

DNSCrypt обёртывает неизмененный DNS-трафик между клиентом и преобразователем DNS в криптографической конструкции для обнаружения подделки. Хотя он не обеспечивает сквозную безопасность, он защищает локальную сеть от атак типа «злоумышленник в середине».

Он также снижает опасность атак с усилением на основе UDP, требуя, чтобы вопрос был не меньше размера соответствующего ответа. Таким образом, DNSCrypt помогает предотвратить атаки с усилением DNS.

DNSCurve — это предлагаемый безопасный протокол для системы доменных имён (DNS), разработанный Дэниелом Дж. Бернстайном.

EDNS payload size

DNS packets sent over UDP have been historically limited to 512 bytes,
which is usually fine for queries, but sometimes a bit short for
replies.

Most modern authoritative servers, resolvers and stub resolvers
support the Extension Mechanism for DNS (EDNS) that, among other
things, allows a client to specify how large a reply over UDP can be.

Unfortunately, this feature is disabled by default on a lot of
operating systems. It has to be explicitly enabled, for example by
adding to the file on most
Unix-like operating systems.

can transparently rewrite outgoing packets before
authenticating them, in order to add the EDNS0 mechanism. By
default, a conservative payload size of 1252 bytes is advertised.

This size can be made larger by starting the proxy with the
command-line switch. Values up to 4096
are usually safe.

A value below or equal to 512 will disable this mechanism, unless a
client sends a packet with an OPT section providing a payload size.

Troubleshooting

If Unbound doesn’t like one of the newly added directives, it
will probably not respond over the network. In that case, here are some commands
to work out what is wrong:

docker logs dnscrypt-server
docker exec dnscrypt-server /opt/unbound/sbin/unbound-checkconf

Deleting everything

In order to delete everything (containers and images), type:

docker rm --force dnscrypt-server ||:
docker rmi --force jedisct1/dnscrypt-server ||:

Details

  • A minimal Ubuntu Linux as a base image.
  • encrypted-dns-server.
    Compiled from source.

Keys and certificates are automatically rotated every 8 hour.

Методы решения

Если отсутствует задолженность перед провайдером и оборудование работоспособно, то неисправность можно устранить несколькими способами. Но прежде следует узнать причину неисправности.

Проверяем службу DNS-клиент

В операционной системе Windows 7, 8, 10 существует специальная служба, которая отвечает за корректную работу DNS-сервера. Для начала проверьте ее:

Проверка свойств подключения

Если после настройки службы доступ в интернет не появился и ошибка DNS не исчезла, то проверьте свойства подключения и при необходимости измените параметры:

Очистка кэша DNS

Существует еще один способ конфигурирования сервера – очистка кэша. Обычно для этого используют командную строку, вызвать которую можно одновременным нажатием на клавиши Win и R. После чего:

Проверяем на вирусы

Иногда антивирус блокирует доступ к сети интернет. Эту проблему может вызвать вирус, в таком случае просканируйте систему на наличие вредоносных программ. Но бывают ситуации, когда сам антивирус из-за неправильных настроек не пускает на некоторые сайты или даже полностью блокирует сервер. Чтобы проверить эту вероятность, отключите защитное ПО на несколько минут и выйдите в интернет. Если получилось, то проблему нужно искать в параметрах антивирусной программы.

Брандмауэр блокирует подключение

Брандмауэр служит для защиты компьютера, закрывая сайты и ресурсы, которые считает зловредными. Из-за неправильных настроек он также может заблокировать DNS-сервера. Отключите его ненадолго, чтобы проверить в нем ли причина. Встроенный сетевой экран можно выключить, перейдя в панель управления. Выбрать «Windows и безопасность», затем «WindowsFirewall». Все значения переведите в «ОтключитьFirewall» и нажмите ОК.

Проблемы с драйверами сетевой карты

Для корректной работы всех подключенных устройств должны быть установлены драйвера с последними обновлениями. Из-за устаревших драйверов сетевой карты доступ в сеть также ограничивается. Для их обновления можно воспользоваться специальными утилитами, например, Driver Booster . Достаточно скачать ее и запустить. Программа найдет необходимые драйвера и направит на ссылки с обновлениями.

Ошибки компьютера или роутера

Может помочь сброс настроек компьютера (ПК) и роутера. Для начала отключите роутер от сети, оставьте его на несколько минут. Затем перезагрузите ПК и включите роутер снова.

Неполадки со стороны провайдера

Если исправить ошибку «DNS сервер или ресурс не отвечает» не помог ни один из способов, то лучше связаться с технической службой провайдера. Вероятно, проблема с подключением заключается в сбое работы интернета. Специалисты должны помочь решить проблему.

Использование программы DNS Jumper

Для устранения ошибки «DNS server не отвечает» также можно воспользоваться специальной программой для настройки DNS Jumper . Ей не требуется установка. Запустив утилиту есть возможность ввести сервер вручную или позволить программе самой выбрать его. Она выберет самый быстрый и нормально работающий сервер. Дополнение DOTVPN позволяет выбрать еще и страну, из которой можно заходить в сеть.

Возможные проблемы с роутером TP-Link

Пользователи очень часто используют роутеры TP-Link. Но у некоторых устройств периодически сбиваются настройки. Поэтому ошибку доступа можно решить, сбросив параметры роутера до заводских и снова ввести необходимые параметры.

Если разобраться в сути проблемы, ее можно решить. Не обязательно вызывать мастера для настройки или везти компьютер в сервисный центр.

Causes of Simple DnsCrypt?

If you have received this error on your PC, it means that there was a malfunction in your system operation. Common reasons include incorrect or failed installation or uninstallation of software that may have left invalid entries in your Windows registry, consequences of a virus or malware attack, improper system shutdown due to a power failure or another factor, someone with little technical knowledge accidentally deleting a necessary system file or registry entry, as well as a number of other causes. The immediate cause of the «Simple DnsCrypt» error is a failure to correctly run one of its normal operations by a system or application component.

Настройка simple dns plus

При размещении вебсайта получилось следующее:Пользователи интернета заходят по внешнему ip и домену, а пользователи локальной сети по внутреннему ip и домену и никак иначе.

Возникла необходимость сделать так, чтобы пользователи локальной сети могли заходить через внешний домен.

Мой интернет провайдер сказал, что они ничего сделать не могут, и мне нужно поставить DNS сервер — только он спасет отца русской демократии.

Я разжился программой Simple DNS Plus и теперь в недоумении как её настроить (если что, готов использовать любую другую прогу)

Я совершенный ламер в этой области, поэтому прошу помощи в деталях. (P.S. Этот сайт очень важен для продвижения фирмы)

Using command line options

Command-line options are useful when you want to run DNSCrypt-proxy through DNSCrypt-loader
in a script you created or as a scheduled task using Cron and so on, using as follows:

Show usage

Load resolvers

Loads the resolvers selected by user in interactive mode.
If no resolvers previously selected DNSCrypt-loader will select the resolvers randomly.

Load resolvers randomly

Does the same as the «-d» option, but uses random resolvers only.

Change filters

You can add filter modifiers to the options «-d» and «-r»
the randomizer will restrict the resolvers to these filters. Example:

Update resolvers.csv

Performs download, update and signature check of the resolvers.csv file

Minisign Signature check

Performs integrity check of resolvers.csv file using Minisign

Status

Show DNSCrypt-proxy instances status

Quit DNSCrypt-proxy

Stops all instances of DNSCrypt-proxy and preserves information about the resolvers used for further session restore

Kill DNSCrypt-proxy

Stops all instances of DNSCrypt-proxy and clears all information about the resolvers used

Performs DNS leak test (IPV4)
This function is just a command line bonus. It depends of third-party software that can be changed at any time.

Note: DNS-OARC is not a DNS Leak Test site itself but produces the exactly same results when we observe the DNS Servers tested.
This site was chosen because is secure and it does not use javascript, permitting download of data inside html code

But the most important is verify if your real IP address is listed.
If yes, it means you are not protected by VPN or if you are using DNSCrypt-proxy as Forwarder on DNS (BIND) server,
the directive «Forward only;» must be applied, since this server will forward all requests and should not attempt to resolve requests on its own, bypassing DNSCrypt-proxy.

GUIs for dnscrypt-proxy

If you need a simple graphical user interface in order to start/stop
the proxy and change your DNS settings, check out the following
projects:

  • DNSCrypt OSX Client:
    a preferences pane, a menu bar indicator and a service to change the
    DNS settings. OSX only, written in Objective C. Experimental.

  • DNSCrypt WinClient:
    Easily enable/disable DNSCrypt on multiple adapters. Supports
    different ports and protocols, IPv6, parental controls and the proxy
    can act as a gateway service. Windows only, written in .NET.

  • DNSCrypt Win Client:
    Official GUI for Windows, by OpenDNS. Also known as «OpenDNSCrypt».

Небольшой FAQ

Что такое DNS? Что такое DNS? Не вдаваясь в подробности, коих немало, можно сказать, что система DNS превращает имена серверов, например rutracker.org, в их IP-адреса, например 195.82.146.214. Так функционирует связь в интернете: соединение между машинами происходит по таким адресам, а не по привычным и более удобным для запоминания человеку именам различных сайтов. Когда вы хотите попасть на форум Рутрекера, вы просите ваш браузер соединиться с тем сервером, на котором этот форум работает. Браузер по имени домена rutracker.org определяет его IP-адрес и создаёт соединение с соответствующим сервером.

Что такое DNSCrypt? Что такое DNSCrypt? Опять же, в двух словах: это DNS-сервер, к которому можно подсоединиться стандартным образом из других программ для разрешения имён интернет-сайтов, т.е. преобразования строковых имён типа rutracker.org в IP-адреса типа 195.82.146.214. Сам этот сервер не занимается подобным преобразованием, а запрашивает его у заданного ему внешнего сервера. Суть использования DNSCrypt в том, что запрос внешнего сервера происходит в шифрованном виде и по нестандартному протоколу, что не даёт провайдеру возможность заменить DNS-ответ на свой и затрудняет выявление использования этой программы.

Важная для понимания вещь: DNSCrypt представляет собой пару программ — программа-клиент, шифрующая ваш запрос и расшифровывающая полученный ответ, и программа-сервер, принимающая зашифрованный запрос, превращающая имя сайта в IP-адрес и отправляющая зашифрованный ответ обратно. Мы с вами будем устанавливать именно программу-клиент, а парную ей программу-сервер выберем из уже существующих и работающих в интернете.

Что мы будем делать? Что мы будем делать? Мы настроим свои компьютеры так, что запросы к внешнему DNS-серверу будут зашифрованы, и создаваться они будут иным способом. Таким образом, провайдер не сможет подменять его ответы или выдавать вместо них свои.

Настраивать мы будем именно компьютер как самое простое решение проблемы, хотя более правильно было бы внести соответствующие изменения в устройство, дающее доступ в интернет всем потребителям — компьютерам, планшетам, смартфонам и пр., например в установленный в квартире роутер. Если у вас есть возможность сделать именно так, выберите такой путь.

Антивирусы Антивирусные системы, работающие на машине, могут препятствовать запуску DNSCrypt и мешать её работе. Посему в случае каких-то подозрений на этот счёт либо находите в своих антивирусах способ внесения dnscrypt-proxy.exe в белые списки разрешённых для запуска и выхода в сеть приложений (это, конечно, предпочтительный вариант), либо отключайте антивирусы. Также неплохо бы зайти в настройки firewall (брандмауэра) операционной системы и посмотреть там аналогичные установки.

Meaning of Simple DnsCrypt?

Simple DnsCrypt is the error name that contains the details of the error, including why it occurred, which system component or application malfunctioned to cause this error along with some other information. The numerical code in the error name contains data that can be deciphered by the manufacturer of the component or application that malfunctioned. The error using this code may occur in many different locations within the system, so even though it carries some details in its name, it is still difficult for a user to pinpoint and fix the error cause without specific technical knowledge or appropriate software.

Специальная сборка для архитектуры ar71xx от black-roland

Сборка от black-roland имеет ряд преимуществ перед официальным репозиторием Chaos Calmer: пакеты dnscrypt-proxy и libsodium более свежие (и поддерживают Barrier Breaker), dnscrypt-proxy поддерживает использование эфемерных ключей, procd и позволяет одновременно запускать несколько копий себя (если первый DNS-сервер по каким-либо причинам будет недоступен, система использует второй).

Добавляем в файл источник в зависимости от используемой версии OpenWrt. Для этого выполняем в консоли следующие команды:

Trunk:

Уже содержит актуальную версию dnscrypt-proxy с поддержкой запуска нескольких копий. Ничего добавлять не требуется.

opkg update
opkg install dnscrypt-proxy

Chaos Calmer:

cd /tmp
wget 'http://exopenwrt.roland.black/exopenwrt.pub'
opkg-key add exopenwrt.pub
echo '/etc/opkg/keys/1a929a1dd62138c1' >> /etc/sysupgrade.conf
echo 'src/gz exopenwrt http://exopenwrt.roland.black/chaos_calmer/15.05.1/ar71xx/packages/exopenwrt' >> /etc/opkg.conf

Barrier Breaker:

echo 'src/gz exopenwrt http://exopenwrt.roland.black/barrier_breaker/14.07/ar71xx/packages/exopenwrt' >> /etc/opkg.conf

Обновляем список пакетов и устанавливаем и . Примечание: без обновленной библиотеки служба не запустится (по крайней мере в мультисерверном варианте), при недостатке места библиотеку следует удалить принудительно.

opkg update
opkg remove libsodium --force-depends
opkg install dnscrypt-proxy libsodium

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий