Xiaomi Router Modelleri ve OpenWrt Firmware [ANA KONU] - OpenWrt 24.10.1 Yayınlandı! (214. sayfa)

Raspberryler cok pahalandi ya

Ayarları tutturduktan sonra değil de nasıl bir engelleme var onu görmemek için (blockcheck.sh) bilgisayarı kullanın demek istedim. Router üzerinde sürekli timeout almışsınız onun sebebini bulup çözmek daha zor. Yoksa programı en son yine router üzerine kurup çalıştıracaksınız.

Ben bi tane ubuntu kurup calistirdin blockchecki garanti olsun diye  

Fedora'da denedim ve yine aynı sürede kontrol etti ve yine sorun yok diyor. Neden bu şeyler bana gelince çalışmamakta ısrar eder anlamıyorum.

İlginç bir şekilde kontrol edemiyor bile çoğunda 5000 milisaniye = 5 saniye bekliyor o sürede karşı taraftan cevap gelmeyince sonrakine atlıyor. Hocam neden böyle oluyor bilgim yok maalesef. Belki netspeed kullanan başka bir üye varsa o size yardımcı olabilir.

isp dns spoofing yapıyor olabilir. Sistemde warp gibi DoH veya DoT provider kullanıp deneyin derim.

Aynen üstad ondan dolayı uzun süreler bekliyorum. @0ldskool

Bunları router üzerinden mi yapayım hocam? @ismkdc

Ekleme:

blockcheck'i tekrar çalıştırınca gözüme şu mesaj ilişti.

-- POSSIBLE DNS HIJACK DETECTED. ZAPRET WILL NOT HELP YOU IN CASE DNS IS SPOOFED !!!

-- DNS CHANGE OR DNSCRYPT MAY BE REQUIRED

Sanırım dediğiniz şekilde hocam @ismkdc

Bravo nokta atışı olmuş @ismkdc Sanırım dediğiniz gibi bir sorun var.

-- POSSIBLE DNS HIJACK DETECTED. ZAPRET WILL NOT HELP YOU IN CASE DNS IS SPOOFED !!!

-- DNS CHANGE OR DNSCRYPT MAY BE REQUIRED

En kolayı router üzerine "luci-app-https-dns-proxy" kurup yeniden başlatın ve öyle tekrar deneyin.

@redsmoke

direk fedoraya warp kurup çalıştırabilirsiniz veya routerdanda olur ben DoT kullanıyorum unbound ile daha hızlı DoH'a göre

Openwrt unbound kurulumu ve cloudflare dns ayarı

# Install packages

opkg update

opkg install unbound-daemon

# Enable DNS encryption

uci set unbound.fwd_google.enabled="1"

uci set unbound.fwd_google.fallback="0"

uci commit unbound

/etc/init.d/unbound restart

# Configure DoT provider

uci set unbound.fwd_google.enabled="0"

uci set unbound.fwd_cloudflare.enabled="1"

uci set unbound.fwd_cloudflare.fallback="0"

uci commit unbound

/etc/init.d/unbound restart

#Replacing dnsmasq with odhcpd and Unbound

opkg update

opkg remove dnsmasq odhcpd-ipv6only

opkg install odhcpd

uci -q delete dhcp.@dnsmasq[0]

uci set dhcp.lan.dhcpv4="server"

uci set dhcp.odhcpd.maindhcp="1"

uci commit dhcp

/etc/init.d/odhcpd restart

Aynen üstad nokta atışı yaptı @ismkdc hocam, teşekkür ederim. :)

Doh kurduktan sonraki çıktılar bu şekilde ve testi çok kısa sürede tamamladı. Sonuçları yorumlayabilir misiniz? @0ldskool @ismkdc

sonuç başarılı "install_easy.sh" kurarken nfqws seçip --dpi-desync=split2 konfigurasyonunu girmeniz yeterli, keepalive ve https'i açmayı unutmayın bi de cihaz router mı diye soruyor ona yes diyin

ha bu arada gözüme ilişti isp'de filtreleme yok sanırım "working without bypass" diyor çünkü direk girmeyi deneyin bi  

Hocam amaç DPI yöntemini analiz etmekse warp kullanması uygun olmaz, o biraz IP maskeleyici gibi çalışıyor. Mantık olarak VPN'e benziyor biraz.

DoH-DoT arasında performans farkı aslında teknik olarak olmamalı zaten dns lookup paketçikleri çok minik. Bir de paylaştığınız komutlara baktım. unbound çalıştırıyorsanız neden DNS'leri unbound içinden tekrar Google ve Cloudflare'e yönlendiriyorsunuz ki? Unbound kullanmanın genel mantığıyla taban tabana zıt bir işlem bu.

----

@redsmoke

Evet sorun luci-app-https-dns-proxy ile çözülmüş sonuçlar çıkmış. Sol gibi çok ağır bir DPI yok sanırım. İşaretli yerdeki strateji başlangıç için uygun hocam. config dosyasını buna göre düzenlerseniz kullanabilirsiniz.

https://pastebin.com/raw/YWexKHzc

warp'ın free versiyonu sadece DoH sağlıyor diye biliyorum dokümanında öyle diyordu hatam olabilir.

DoH ve DoT arasında farkta şöyle hocam DoH, dns over https olduğu için her dns paketi için bir https paketi oluşturması gerekiyor cihazın onun içinde dns paketini ekliyor bu pakette bildiğiniz gibi tcp paketi içine girip sunucuya gidiyor basitce. DoT tarafında ise direk dns paketini şifreleyip tcp üzerinden iletebildiğimiz için ufak bi performans farkı mevcut diye biliyorum.

Unbound'un dokümanından kopyala yapıştır yaptım komutlarıda bu komutlarla kısaca dhcp tarafını değiştiriyoruz

Dns server olarakta yine unbound kullanıyoruz

son olarakta google yerine cloudflare'e geçiyoruz

https://openwrt.org/docs/guide-user/base-system/dhcp_configuration#disabling_dns_role

https://openwrt.org/docs/guide-user/services/dns/dot_unbound

özetle dnsmasq yerine odhcpd ve unbound kullanıyoruz, dhcp ve dns (DoT + cloudflare)

WARP ve çalışma mantığıyla ilgili çok güzel bir post okumuştum ama tekrar bulamadım. O konuda bir şey demeyeyim şimdi.

Çok yetersiz veya ucu ucuna yeten bir işlemci kullanmıyorsanız farkedilir bir fark olmaz hocam ben ikisini de uzun dönem kullanıp test ettim. 1 ms belki oynar o da siz bu kadar ısrar ettiniz diye  Hatta 50ms ve üzeri süren sorgularda DoH DoT'tah çok daha hızlı oluyor. Makaleyi inceleyebilirsiniz, Genel olarak cloudflare için her ikisi de eşit, google için de sadece query time 100ms altındaysa sadece DoT hızlı çıkıyor.

kaynak:

https://arxiv.org/pdf/1907.08089.pdf

unbound kullanan kişiler genelde google, cloudflare gibi firmalara güvenmeyen ve/veya yüksek gizilik takıntılı kişiler oluyor. Onlar da unbound yanında doğal olarak root hints kullanıyorlar. Bu amaçla kullanmadıktan sonra dnsmasq yerine unbound kullanmanın bir mantığını göremiyorum. Bence kucağı tersten tutmaya gerek yok...

Verdiğim kaynak da pek boş bir kaynak değil bu arada.

Unbound cok daha hizli hocam dnsmasq'a gore ben ondan tercih etmistim yoksa cloudflare dnsden memnunum acikcasi (ozellikle adblockla beraber kullanirken fark gordum) 

50-60k bloklu domaini kontrol ederken unbound daha iyi iş çıkardı yani

Ona bir şey diyemem çalışma hızı bakımından unbound vs dnsmasq olarak test etmedim emin değilim. Siz unbound + DoT + Adblock şeklinde bir nevi daisy chain gibi mi kullanıyorsunuz? Normalde çok fark olacağını sanmam ama sizin durumunuz biraz farklı. O yüzden doğrudur yorum yok.

Bir de zaten unbound yapabilecekleri bakımından teknik olarak falan daha önde. O recursive dns diye geçer, full DNS resolver olduğu için doğrudan root DNS sunucularıyla konuşabilir (daha önce bahsettiğim gizlilik takıntısı olanlar için), dnsmasq ise forwarder diye geçer sadece yönlendirme yapabilir. En nihayetinde standart kullanıcı için bence dnsmasq daha uygun. Ama kullanım şekli değişince tercihler de değişiyor tabii

Evet tam olarak soylediginiz setup var direk DoT'un icinde gelmesi ve adblock performansindan fazlasiyla memnunum. Root dns ihtiyacim yok acikcasi o yuzden dedigim gibi direk cloudflare'e yonlendirdim

@0ldskool hocam verdiğiniz config ile kurulum yaptım. Aşağıdaki ekran alıntılarında da seçtiklerim gözüküyor. Bir de nedense üstad router'da blockcheck'de daha önceki attığım ekran görüntüsündeki gibi dns'niz hijackli olabilir deyip hata veriyor ama linux'ta hatasız tamamlıyor testi. Bu arada dns'ler otomatik hem modemde hem windows'ta ve linux'ta.

@ismkdc hocam sizin dediğiniz şekilde de sistem ve tarayıcı dns cache'lerini temizledim.

Çıldırtacak beni