Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Pentheus 19. 11. 2024, 06:02:51
-
Čau, potřebuji poradit jak nastavit WG aby filtroval všechen provoz v domácí síti.
Mám VDSL router přes LAN TV_box s armbian, na něm mám nastaveno WG (wg0) server a klienta přes PC, vše funguje.
Pokud vytvořím wg1 a spustím, tak nemám přístup na internet, asi mi to blokuje FW.
wg0
# Do not alter the commented lines
# They are used by wireguard-install
# ENDPOINT 192.168.1.104
[Interface]
Address = 10.7.0.1/24
PrivateKey = xx
ListenPort = 51820
# BEGIN_PEER
[Peer]
PublicKey = xx
PresharedKey = xx
AllowedIPs = 10.7.0.2/32
# END_PEER
wg1
[Interface]
Address = 10.7.0.2/24
DNS = 9.9.9.9, 142.112.112.112
PrivateKey = xx
[Peer]
PublicKey = xx
PresharedKey = xx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 192.168.1.104:51820
PersistentKeepalive = 25
-
Není mi jasné, o co se reálně snažíš. Přijde mi, že chceš provozovat VPN uvnitř LAN místo pro přístup z venku a něco o filtrování... Čeho přesně se tím snažíš dosáhnout? Nebude lepší VLAN + firewall pravidla? :)
A co říká debug log wireguardu, naváže se spojení? Drží se, nerozpadá se? Pingneš z peera na druhou stranu?
-
Podle me, klient WG1 podle tohoto:
AllowedIPs = 0.0.0.0/0, ::/0
Bude routovat po aktivaci vpn provoz do WG spojeni, ale server WG0 nema zapnuty routing/NAT pak dal, a jedina adresa na kterou se dostanes je tedy jeho vpn adresa 10.7.0.1 .
-
Ten popis je vágoní, moc z toho nevyčtu. Filtrováním myslíš co? REJECT,DROP asi ne. A "všechen" provoz od více počítačů nebo víc typů (bez rozlišení kombinace dst portů/ IP )
Nemáš přístup na internet z jakých zařízení? Předpokládám že jenom z wg1 počítače Je na server povoleno forwardování a taky NAT?
Nemělo by allowed ips mít AllowedIPs = 10.7.0.2/24 ?
To "vše funguje" znamená ještě před "spuštěním" wg1 ? Nebo po spuštění wg1 a jen komunikaci v LAN a neboj dokonce jen mezi peery? 10.x.x.x. ? (Ono spuštění wg na jednom pc nemá co ovlivnit moc)
Moje rada, použít tcpdump, zkoušet tracecroute, pingy pro tyto obory :10.x.x.x. / v rámci LAN, pak do internetu.
někdy se povede, že ping dokáže hlásit něco jakko "Klíč není dostupný"... chyba routing wg
taky by to chtělo třeba pastnout routovací tabulky...
policy routing , packet marking nebo nějaké specitality používáš? NAT taky a a kde?
-
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.
-
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.
Mozna ti uniklo, ze WireGuard slouzi na neco jineho: napr. aby jsi se z internetu mohl pripojit do sve domaci site
Nevim jaky provoz si chtel filtrovat, pokud slo o reklamy tam na to je napr. https://pi-hole.net
-
Pi hole je skvělí projekt. Jelikož nejdou editovat příspěvky......tak filtrování myslím šifrovaní domácí sítě.
-
Možná by bylo lepší nakreslit topologii jak to máte a pak účel co chcete udělat.
Nejdřív jsem měl za to, že chcete obejít nějaké zařízení kvůli jeho filtrování provozu (rodičovská ochrana některých stránek). Posléze mne napadlo zda to chcete použít jako VPN v telefonu kdy se schováte za nějaký server (PIA, Nord VPN, atd.) akorát na úrovní celé domácí sítě (vše za VDSL routerem) kdy veškerý provoz jede skrze tuto VPN.
Nebo jde o to, že jste si "doma" rozdělili sít a nechcete aby byl Váš provoz viditelný pro "ostatní" na stejné síti?
Tím myslíte to šifrování?
-
Tak jinak, chci v domácí síti mýt šifrované spojení mezi routerem a PC,TV atd jak toho docílit ?
-
Velice pravdepodobne nijak, skoncis uz na ty telce.
Pokud ti jde o to, jak zaridis sifrovani veskereho provozu, tak pro ten ucel existuje ipsec, ale vetsina zarizeni to bud neumi vubec, nebo s mnoha omezenimi nebo na to potrebujes nejakou dalsi aplikaci, kterou do toho zarizeni nijak nedostanes.
Pokud ti jde o sifrovani konkretnich protokolu, tak opet skoncis typicky na tom, ze to nektera z tech krabic jednoduse neumi.
Napriklad z telky bys moh chtit pristupovat na nejaky smb share, a samba sama o sobe sifrovat, od verze 3, umi. Ale vetsina krabic horkotezko zvladne smb2, a velice casto si nucen pouzivat naprosto deravou a nezabezpecitelnou smb1.
Pokud z toho PC lezes na net pres ten router samozrejme leze presne to, co leze z toho PC, takze pokud je to sifrovane, leze to sifrovane i pres router, pokud neni, tak smula. Muzes sice vytvorit nejaky sifrovany tunel, ale v tomhle pripade te budou prozmenu limitovat moznosti toho routeru. A to nejen SW, ale primarne vykonostni - ono neco takoveho neni zadarmo.
V kazdem pripade zapomen na to, ze by se to nejak nastavilo samo. To je naprosty scifi.
Mozna by bylo lepsi kdybys napsal, ceho chces dosahnout = proc se o to snazis.
---
BTW: Protozuju AD zabaleny do ipsecu, duvod je jednoduchy, je to dalsi vrstva zabezpeceni prave interni firemni site a nemusim pak resit, jestli nejaky hej nebo pockej sifruje konexe do databazi, pripadne pouziva http a posila pres to hesla (retardovanych dodavatelu je vsude dostatek) atd atd, ale realne do takovy site pripojis servery/pc klienty, a i s tim budes resit spoustu ale.
-
Tak jinak, chci v domácí síti mýt šifrované spojení mezi routerem a PC,TV atd jak toho docílit ?
Jde to, mám to tak. Mám doma na Mikrotiku jen jeden WG interface (nevím, proč děláš další interface) a na všech klientech (mobil, notebook apod) mám konfiguraci, kde je důležité:
[Peer]
AllowedIPs = 0.0.0.0/0
tím jde primárně všechno přes ten tunel, i když jsem na wifi ve stejné síti. Na mobilu tak mám WG zapnutý pořád a neřeším to a defacto jedu pořád přes WG tunel i když jsem mimo wifi a jedu přes LTE.
-
[...] a na všech klientech (mobil, notebook apod) mám konfiguraci, kde je důležité:
[Peer]
AllowedIPs = 0.0.0.0/0
[...]
a jak to nastavi na te TV? (tedy pokud to neni TV s Androidem) :-)
-
michaelscz // přesně takhle to používám teď a problém mám s TV co zmiňuje k3dAR.
-
Přemýšlím co je cílem např v případě TV? Aby ostatní na stejné WiFi neviděli, co TV posílá? Pokud je to tolik důležité a nejde nainstalovat WG klient, tak ji vytvoř vlastní virtuální AP/SSID s jiným heslem.
-
michaelscz // přesně takhle to používám teď a problém mám s TV co zmiňuje k3dAR.
Asi nerozumím. Buď to ta TV umí nebo ne. Kdyže ne, kup nejlevnější Mikrotik, udělej WG na něm a TV zapoj do něj.
Nebo se ptáš tak nastavit WG na něčem kde není WG klient?
P.S.: úplně celé vlákno jsem nečetl... Nebo použij třeba https://excalidraw.com/ a namaluj tady, jak to máš zapojené
-
WG slouží pro přístup do domácí sítě zvenčí (jak tady už někdo napsal) a samozřejmě i pro případy, kdy je potřeba někde v zahraničí mít IP adresu z ČR (třeba kvůli netové TV). Ale snažit se WG používat ve vnitřní síti k jakémusi šifrování čehosi, je naprostá utopie. Vnitřní síť musí být naopak bez jakýchkoliv překážek. A pokud se jedná o vnitřní síť, kde je potřeba nějak oddělit vlastní zařízení od cizích (třeba u felčara, který používá síť pro svoje zařízení + tam dá WiFi pro pacienty v čekárně), tak na to stačí udělat VLAN.
-
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.
vždyť už to napsal , ale pořád nemám celý obrázek..
Kde chceš mít druhý konec tunelu?
Zkusím se zeptat jestli je to co chceš?
Máš svoji síť. Která je součástí jiné větší sítě. Chceš aby provoz do netu byl šifrovaný.
Pak stačí na tvém routeru nastavit WG , to allowed IP na nulky, nastavit druhý WG peer na tu VPS a . +Pohlídat dns
?
Pokud je ten popis špatně, co opravit?
Podle mě na
-
[...]Kde chceš mít druhý konec tunelu?
Zkusím se zeptat jestli je to co chceš?
On to uz upresnil, ma lokalni sit v ktere ma napr. PC, TV a chce aby v te lokalni siti ta lokalni zarizeni mezi sebou komunikovala lokalnim WG tunelem ;-)
-
WG slouží pro přístup do domácí sítě zvenčí (jak tady už někdo napsal)
No to není úplně přesně pravda, WG je jedno kde je. Prostě mám klienta v mobilu, jsem doma na wifi a i když jsem na stejné VLAN se stejnou adresací jako třeba kamera doma a já si na telefonu dám náhled kamery, tak na Mikrotiku vidím, že data jdou na router na iterface WG čili jsou i v VLAN tunelem a teprve pak z Mikrotiku na tu kameru - viz screenshot
10.140.5.0 je WG síť
10.140.1.0 je LAN (+ wifi)
-
[...]Kde chceš mít druhý konec tunelu?
Zkusím se zeptat jestli je to co chceš?
On to uz upresnil, ma lokalni sit v ktere ma napr. PC, TV a chce aby v te lokalni siti ta lokalni zarizeni mezi sebou komunikovala lokalnim WG tunelem ;-)
... a jak jsem psal, jde to ..
Prostě když na mikrotiku udělám WG a na všech PC a telefonech si dám WG klienta s Allowed 0.0.0.0/0 tak to všechno půjde tunelem ...
Nežere to baterku, nemusí to udržovat žádné TCP spojení. Prostě přijde požadavek na paket a WG klient je jej obalí a hodí do tunelu.
-
Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.
A jak chceš používat WG bez klienta? Zamyslel jsi se než jsi to napsal?
-
Podle mě to je srozumitelné (pro mě až teď, když jsem sti to přečetl xkrát), že prostě WG nebude terminován na (každém)koncovém zařízení, které chce používat. Takže na (nejspíš prvním) routeru právě bude jeden wiregurd démon. Otázka je, jestli to chce nějak granulárněji řešit (vyčlenit dle source, destination), ale vzhledem k uvádění 0.0.0.0 asi veškerý cíle, takže zbývá pro která zařízení chce tunelizaci aplikovat, a možností se nabízí víc, podle source IP (policy routing-ip rule from) nebo podle vstupního rozraní ( ip-rule iif) nebo podle vlan.
Abych přihodil jednu zvlášnost, (která nezpůsobuje žádné problémy), v některých situacích dostávám ICMP new gateway redirect.... No v některých... asi při každé nové srcIP dstIP komunikaci
Nastane až v situaci, kdy do hry vstoupí smartphone s android wg klientem a zapnu na něm šoupátkem danou VPN (zbývající 2 nody mají permanentní tunel, NATEDrouter za NATEM keepalivující na VPS)
, tedy režim komunikace začne z síťařského hlediska být zajímavý (z nudného point to point tunelu o dvou peerech se prostřední node(VPS) se stane multipoint node )
příklad :curl 10.5.0.NATEDROUTER
na wg rozhraní natovaného routeru se mi objeví:
istening on wg_rou-vps, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
IP 10.5.0.VPS > 10.5.0.NATEDROUTER: ICMP redirect 10.5.0.PHONE to host 10.5.0.PHONE, length 68
tentýž ICMP paket z pohledu PHONU vypadá:
interface tun0
IP 10.5.0.VPS > 10.5.0.PHONE: ICMP redirect 10.5.0.NATEDROUTER to host 10.5.0.NATED ROUTER, length 68 (snapshot paketu: PHONE->NATEDROUTER)
ale icmp redirect nastává z kteréhokoli zařízení z LAN spojujícíse ho stelefonem (hypoteticky jako kdybymi tam jel webserver):
(z pohledu phonu)
10.5.0.VPS > 10.5.0.PHONE ICMP REdirect 192.168.1.22 to HOST 10.5.0.NATEDROUTER
(z pohledu NATEDROUTERU)
---žádný redirect---
(z pohledu vps)
10.5.0.VPS > 10.5.0.PHONE: ICMP redirect 192.168.1.22 to host 10.5.0.NATEDROUTER, length 48
IP (tos 0x0, ttl 63, id 37, offset 0, flags [DF], proto TCP (6), length 40)
10.5.0.PHONE.88 > 192.168.1.21.51607: Flags - , cksum 0x5d2b (correct), seq 0, ack 2207791321, win 0, length 0
NAT se mezi těmito sítěmi neděje. (NAT dělá jenom vps pří přístupu na internet nebo router při přístup na internet přes WAN)
záznam flow při nc 10.5.0..PHONE 80:
00:00:00.000000 IP 192.168.1.21.52247 > 10.5.0.PHO.8222: Flags [S], seq 2572734474, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1123288837 ecr 0,sackOK,eol], length 0
00:00:00.000022 IP 192.168.1.21.52247 > 10.5.0.PHO.8222: Flags [S], seq 2572734474, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1123288837 ecr 0,sackOK,eol], length 0
00:00:00.771971 IP 10.5.0.PHO.8222 > 192.168.1.21.52247: Flags [R.], seq 0, ack 2572734475, win 0, length 0
00:00:00.000024 IP 10.5.0.VPS > 10.5.0.PHO: ICMP redirect 192.168.1.21 to host 10.5.0.NATEDROUTER, length 48
00:00:00.000012 IP 10.5.0.PHO.8222 > 192.168.1.21.52247: Flags [R.], seq 0, ack 1, win 0, length 0(jo to vím, že některé knihovny střílí TCP syn x krát)
a z telefonu
00:00:00.000012 IP (tos 0xc0, ttl 64, id 32201, offset 0, flags [none], proto ICMP (1), length 80)
10.5.0.VPS > 10.5.0.PHO: ICMP redirect 192.168.1.16 to host 10.5.0.NATEDROUTER, length 60
IP (tos 0x0, ttl 63, id 43356, offset 0, flags [DF], proto TCP (6), length 52)
10.5.0.PHO.37549 > 192.168.1.16.80: Flags [F.], cksum 0x448a (correct), seq 76, ack 374, win 131, options [nop,nop,TS val 4303581 ecr 19382204], length 0
A to nejduležitější: Nemám třeba blbě konfiguraci WG ? Mám to tak, že VPS má 2 peery (router, phone), ale PHONE má peera VPS a ROUTER má peera VPS taky (ostatně jak jinak)?
čili co je to za věc? je to nějaký bug vážnž'ý? nebo je to očekáváné chování? vypadá, to ,že telefon posílá pakety jakousi špatnou pseudobránu (ale pochybuju, že něco takového existuje v TUN) . opakuju, že vše funguje. Jenom prostě padají z obou směrů tyhle ICMP zdvižené prsty
Je to asi takhle? On by ten VPS chtěl, aby to WG bylo spojené do trojúhelníka (propojit PHONE a router) ale to nejde, protože nikdo z nich nemá veřejnou IP ... proto pořád vysílá ty icmp redirecty... Mezi nimi musí být ten styčný VPS
A teď, jak to řešit? něco správně dokonfigurovat (a kde) nebo umlčet logy (nějaké sysctl) nebo ignorovat nebo upgradovat nějakého wg démona
-
WG slouží pro přístup do domácí sítě zvenčí (jak tady už někdo napsal)
No to není úplně přesně pravda, WG je jedno kde je. Prostě mám klienta v mobilu, jsem doma na wifi a i když jsem na stejné VLAN se stejnou adresací jako třeba kamera doma a já si na telefonu dám náhled kamery, tak na Mikrotiku vidím, že data jdou na router na iterface WG čili jsou i v VLAN tunelem a teprve pak z Mikrotiku na tu kameru - viz screenshot
10.140.5.0 je WG síť
10.140.1.0 je LAN (+ wifi)
Výše jsem psal, k čemu WG slouží. Že jde používat i jinak, to se nevylučuje. Ale smyslem WG nikdy nebylo nějaké harakiri v domácí síti. Asi jako třeba u traktoru, který primárně slouží k zemědělství, což ale nevylučuje, že ho někdo používá k dopravě do zaměstnání nebo na nákupy do Kauflandu.
-
Tak jsem trochu študoval a přesně chci docílit šifrovaní DNS aby ISP nevěděl kam chodím na NET. Jak toho docílit ? ( nemám zájem o skrývání IP ani lokace) Tedy chci soukromí ne anonymitu.
-
DNS over HTTPS (DoH)
-
Tak jsem trochu študoval a přesně chci docílit šifrovaní DNS aby ISP nevěděl kam chodím na NET. Jak toho docílit ? ( nemám zájem o skrývání IP ani lokace) Tedy chci soukromí ne anonymitu.
Bože :-\ Nicméně to ti stejně DoH nevyřeší ... provider stejně pak vidí v paketu zdroj a cíl kam následně jdeš.
-
Výše jsem psal, k čemu WG slouží. Že jde používat i jinak, to se nevylučuje. Ale smyslem WG nikdy nebylo nějaké harakiri v domácí síti. Asi jako třeba u traktoru, který primárně slouží k zemědělství, což ale nevylučuje, že ho někdo používá k dopravě do zaměstnání nebo na nákupy do Kauflandu.
Jenže z dotazů, co původní pisatel psal, to vypadalo, že chce právě toto řešení.
-
Přemýšlím co je cílem např v případě TV? Aby ostatní na stejné WiFi neviděli, co TV posílá? Pokud je to tolik důležité a nejde nainstalovat WG klient, tak ji vytvoř vlastní virtuální AP/SSID s jiným heslem.
Aby to davalo smysl, musel by mit WPA3, a dost pochybuju, ze to umi zcela libovolna TV. Navic sem si nevsim ze by byla nekde rec o nejaky wifi.
... používat ve vnitřní síti k jakémusi šifrování čehosi, je naprostá utopie. Vnitřní síť musí být naopak bez jakýchkoliv překážek. ....
To je taky neskutecnej blabol. Sifrovani provozu uvnitr privatni site je zcela legitimni pozadavek, ale v domaci siti technicky prakticky nerealizovatelny.
...Výše jsem psal, k čemu WG slouží. ...
== jen potvrzujes, ze o sitich a sitovani nevis vubec nic.
DNS over HTTPS (DoH)
Jiste, a nejlepe vsechno posilat googlu ...
-
Tak víme zadání. jsou 2 možnosti .
-použít DNS over TLS - nebo DNS over HTTP(a že provider uvidí, že lezeš na port 853 nebo 443 je jiná věc) na to pro linux existuje například stubby.
- tunelem posílat ty nešifrované dotazy
to je dobrý si rozhodnout. Teoreticky to jde i kombinovat : udělat si tunel pro DoH /DoT traffic. Ale nevidím důvod proč to komplikovat (ledaže bys byl paranoidní a chtěl aby provider ani neviděl že jdeš na IP DoT nebo chtěl maskovat DNS fingerprinting)
a nezapomenout na router dát -j REJECT pro DNS požadavky ven(případně -TPROXY pro transparentní MITM portu 53) , protože spousta krabiček velkých firem po celém světě si usmyslela, že použije DNS dle svého uvážení.
on někdo (natož tazatel) nadhodil něco o používání googlích DNS? Samozřejmě bych je nepoužil taky. Ale pokud nepoužívá žádný chrome, google android nebo jný šmírovácí hardwarový nebo softwarový nástroj od Googlu, tak bych to neviděl tak kriticky.
I kdyžexistuje spousta alternativ.
-
Tak vám nevím, operuje se tu s DoH a podobné maskovačky, ale pokud tazatel chtěl šifrovaný kanál P2P, tak k tomu sice WG slouží, ale ten druhý bod přeci musí být také součástí tunelu ne? jinak celé DoH apod je k ničemu, když pak datový traffic ven jede veřejně bez tunelu. Jako bych ctěl před pošťačkou skrýt skutečnost, že si objednávám dodávku pornočasopisů a tak objednáku pošlu holubem a zásilku pak přijmu českou poštou :-p
-
To je taky neskutecnej blabol. Sifrovani provozu uvnitr privatni site je zcela legitimni pozadavek, ale v domaci siti technicky prakticky nerealizovatelny.
Domácí sítě jsou z principu navrženy jako co nejjednodušší, a to právě proto, že se jedná o domácí sítě, kde nikdo logicky nepředpokládá nějaký tvůj stihomam, že by bylo potřeba všechno nějak šifrovat jenom proto, že to někdo nemá v hlavě úplně košer.
== jen potvrzujes, ze o sitich a sitovani nevis vubec nic.
Ano, opravdu o tom nevíš vůbec nic, takže uděláš nejlíp, když se nadále nebudeš vyjadřovat neboli ztrapňovat sám sebe.
-
Tak jsem trochu študoval a přesně chci docílit šifrovaní DNS aby ISP nevěděl kam chodím na NET. Jak toho docílit ? ( nemám zájem o skrývání IP ani lokace) Tedy chci soukromí ne anonymitu.
Nejjednoduší řešení asi jsou:
a) VPS a přesměrovat na něj celý provoz routeru - ISP uvidí jen komukaci na tento bod a zpět, nic jiného
b) Placená VPN, zrovna Nord VPN má možnost směrovat na něj celý router - opět ISP uvidí komunikaci pouze mezi Vámi a VPN serverem
Nevýhoda zřejmá a to, že je oboje placené
-
A rychlost, která nemusí být ideální.
-
Akorát musíš věřit, že tě nesleduje provozovatel VPS nebo VPN. Jinak je nutné provádět řetězení provozovatelů do té doby, než se začneš cítit bezpečně...
-
...
Ty vubec nejlip udelas, kdyz zalezes do diry a uz nikdy z ni nevylezes, protoze presne kvuli takovym tardum ktery bfuckum "odborne" radej maj pak vsichni vsude vsechno deravy jak reseto.
Akorát musíš věřit, že tě nesleduje provozovatel VPS nebo VPN. Jinak je nutné provádět řetězení provozovatelů do té doby, než se začneš cítit bezpečně...
Abys ve finale zjistil, ze to je jedna firma pod 20ti ruznejma nazvama. Ostatne presne tohle dela tor a taky to nefunguje uplne idealne.
-
Zapomeneme na WG, co říkáte na pihole + unboud ?
-
Tak jsem trochu študoval a přesně chci docílit šifrovaní DNS aby ISP nevěděl kam chodím na NET. Jak toho docílit ? ( nemám zájem o skrývání IP ani lokace) Tedy chci soukromí ne anonymitu.
Ako uz predomnou spominali borci!
Zaplatis si VPS a tam si postavis VPN. ISP tak uvidi sifrovanu komunikaciu na IP, ktora patri VPS.
Pouzijes VPN (kludne aj free) a ISP zase uvidi sifrovanu komunikaciu na IP toho VPN.
Cize v oboch pripadoch ISP neuvidi nic, ale vsetko ividia poskytovatelia VPN/VPS.
Dalsie moznosti by boli cibulovy (https://www.torproject.org/download/) prehliadac, OS tails (https://tails.net/), prip uz spominane, pihole, adguard atd ...
-
Zapomeneme na WG, co říkáte na pihole + unboud ?
To asi není uplně ono. A mimochodem jde rozjet "DoH rekurzivni resolver", ale aby nebyl nešifrovaný = odposlouchovatelný?
-
Resolver má vždy dva komunikační směry. Směrem k autoritativním serverům používá výhradně protokol DNS, který je nešifrovaný, ale zprávy v něm přenášené mohou být doplněny o podpisy pomocí DNSSEC. Směrem k uživateli se pak může používat stejný protokol DNS nebo je možné nasadit tam různé šifrované varianty jako DoT, DoH nebo DoQ.
Pokud by tedy takový resolver nabízející třeba DoH byl blízko uživatele v jeho koncové síti, problém odposlechu z hlediska poskytovatele to neřeší. Směrem ven totiž stále používá DNS a poskytovatel by se mohl dívat, na co se uživatel ptá autoritativních serverů.
Pokud by ale resolver byl někde v internetu (Google, Cloudflare, můj vlastní třeba na VPS), pak poskytovatel uvidí jen šifrovaný provoz a neví, co je uvnitř.
-
Pokud by tedy takový resolver nabízející třeba DoH byl blízko uživatele v jeho koncové síti, problém odposlechu z hlediska poskytovatele to neřeší. Směrem ven totiž stále používá DNS a poskytovatel by se mohl dívat, na co se uživatel ptá autoritativních serverů.
Řeší to odposlech domácí sítě např. přes WIFI? Co ISP přesně může vidět?
-
Co to má společného s odposlechem domácí sítě? ISP je na jedné straně routeru a je mu jedno, co se děje na té druhé. Ale jak to teče ven, tak to ISP vidí a pokud to není šifrované, může to číst. A DNS samo o sobě je prostě plaintext, byť někdy chráněný proti podvržení (dnssec).
Nějak se tu míchají různé vektory útoku. Chvíli je problém s důvěrou v lokální síť, pak v ISP, pak zas v lokální síť... :o To se těžko radí, když se zadání pořád mění.
-
Můžeme téma zamknout.