Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jigdo 05. 10. 2022, 22:41:01
-
Podle wiki k DoH od MT to funguje spolehlive s CloudFlare nastavenim,
https://wiki.mikrotik.com/wiki/Manual:IP/DNS
ale ja chtel zkusit to od NIC.cz
https://www.nic.cz/odvr/
/tool fetch url="https://letsencrypt.org/certs/isrgrootx1.pem"
/certificate import file-name=isrgrootx1.pem
/ip dns set use-doh-server=https://odvr.nic.cz/dns-query verify-doh-cert=yes
/ip dns static add address=193.17.47.1 name=odvr.nic.cz
/ip dns static add address=185.43.135.1 name=odvr.nic.cz
A zacalo to hlasit "ERROR"
DoH server connection error: remote disconnected while in HTTP exchange
Ma nekdo podobne zkusenosti?
-
Očividně to mají rozbité, ten server neodpovídá na HTTP dotazy. Viz:
$ curl -H 'accept: application/dns-json' 'https://odvr.nic.cz/dns-query?name=root.cz&type=AAAA' | jq .
$ curl -H 'accept: application/dns-json' 'https://cloudflare-dns.com/dns-query?name=root.cz&type=AAAA' | jq .
Jak říká klasik: chyba není na vašem přijímači.
-
Chyba... no záleží co od toho chcete. DoH standard (https://www.rfc-editor.org/rfc/rfc8484) neobsahuje JSON. Knot Resolver a tedy i ODVR ho nepodporují. Ale u MT pokud vím byl jiný problém - alespoň v některých verzích nepodporují HTTP/2. To zase koliduje s podporou pouze HTTP/2. Mně tedy přijde HTTP 1.x na vážnější použití DoH nevhodné a píše se to v tom standardu, ale názory se evidentně liší.
-
S DoH nic.cz mam dost spatne zkusenosti, v minulych cca 2-3 letech meli docela caste a dlouhe vypadky, coz byl s mikrotik dost problem, protoze nesel nastavit fallback, jedine reseni bylo posilat alternativni bezny DNS server v DHCP jako 2. DNS server. Cloudflare mel vypadky DoH minimalni.
-
Ano, DoH před dvěma lety rozhodně bylo na ODVR v dost experimentálním stavu, řešené jinou sadou knihoven, atd. A ta implementace ještě podporovala HTTP 1.x, takže zřejmě proto to vůbec s MikroTikem šlo.
-
Chyba... no záleží co od toho chcete. DoH standard (https://www.rfc-editor.org/rfc/rfc8484) neobsahuje JSON. Knot Resolver a tedy i ODVR ho nepodporují. Ale u MT pokud vím byl jiný problém - alespoň v některých verzích nepodporují HTTP/2. To zase koliduje s podporou pouze HTTP/2. Mně tedy přijde HTTP 1.x na vážnější použití DoH nevhodné a píše se to v tom standardu, ale názory se evidentně liší.
Takze to vypada ze to je chyba na strane MT.lv :(
https://blog.nic.cz/2019/05/20/na-odvr-podporujeme-take-dns-over-https/
DVR je přístupné pro všechny včetně DoH a DoT.
Důvod proč dostáváte chybnou odpověď je nejspíše způsobená HTTP/2.
DoH běží výhradně na HTTP/2.
O této informaci jsme také psali blogpost https://blog.nic.cz/2020/12/01/doh-na-odvr-ostre-a-v-chrome/.
Podotkl bych, že tento problém kombinace DoH, Mikrotik a HTTP/2 byl zde již řešen a nenarážíte tak na ojedinělý problém.
To je skoda, protoze ani s #MullVad DoH mi to nefunguje :(
/tool fetch url="https://letsencrypt.org/certs/isrgrootx1.pem"
/certificate import file-name=isrgrootx1.pem
/ip dns set use-doh-server=https://adblock.doh.mullvad.net/dns-query verify-doh-cert=yes
/ip dns static add address=194.242.2.3 name=adblock.doh.mullvad.net
/ip dns static add address=2a07:e340::3 name=adblock.doh.mullvad.net
DoH server connection error: remote disconnected while in HTTP exchange
DoH server connection error: SSL: internal error (6)
DoH server connection error: SSL: ssl: close notify received (6)