Mikrotik DoH s ODVR

[Jigdo]

Podle wiki k DoH od MT to funguje spolehlive s CloudFlare nastavenim,
https://wiki.mikrotik.com/wiki/Manual:IP/DNS
ale ja chtel zkusit to od NIC.cz
https://www.nic.cz/odvr/

Kód: [Vybrat]

/tool fetch url="https://letsencrypt.org/certs/isrgrootx1.pem"
/certificate import file-name=isrgrootx1.pem
/ip dns set use-doh-server=https://odvr.nic.cz/dns-query verify-doh-cert=yes
/ip dns static add address=193.17.47.1 name=odvr.nic.cz
/ip dns static add address=185.43.135.1 name=odvr.nic.cz

A zacalo to hlasit "ERROR"

DoH server connection error: remote disconnected while in HTTP exchange

Ma nekdo podobne zkusenosti?

[Reklama]

[Petr Krčmář]

Očividně to mají rozbité, ten server neodpovídá na HTTP dotazy. Viz:

Kód: [Vybrat]

$ curl -H 'accept: application/dns-json' 'https://odvr.nic.cz/dns-query?name=root.cz&type=AAAA' | jq .
$ curl -H 'accept: application/dns-json' 'https://cloudflare-dns.com/dns-query?name=root.cz&type=AAAA' | jq .

Jak říká klasik: chyba není na vašem přijímači.

[vcunat]

Chyba... no záleží co od toho chcete.  DoH standard neobsahuje JSON.  Knot Resolver a tedy i ODVR ho nepodporují.  Ale u MT pokud vím byl jiný problém - alespoň v některých verzích nepodporují HTTP/2.  To zase koliduje s podporou pouze HTTP/2.  Mně tedy přijde HTTP 1.x na vážnější použití DoH nevhodné a píše se to v tom standardu, ale názory se evidentně liší.

[-samuel-]

S DoH nic.cz mam dost spatne zkusenosti, v minulych cca 2-3 letech meli docela caste a dlouhe vypadky, coz byl s mikrotik dost problem, protoze nesel nastavit fallback, jedine reseni bylo posilat alternativni bezny DNS server v DHCP jako 2. DNS server. Cloudflare mel vypadky DoH minimalni.

[vcunat]

Ano, DoH před dvěma lety rozhodně bylo na ODVR v dost experimentálním stavu, řešené jinou sadou knihoven, atd.  A ta implementace ještě podporovala HTTP 1.x, takže zřejmě proto to vůbec s MikroTikem šlo.

[Reklama]

[Jigdo]

Chyba... no záleží co od toho chcete.  DoH standard neobsahuje JSON.  Knot Resolver a tedy i ODVR ho nepodporují.  Ale u MT pokud vím byl jiný problém - alespoň v některých verzích nepodporují HTTP/2.  To zase koliduje s podporou pouze HTTP/2.  Mně tedy přijde HTTP 1.x na vážnější použití DoH nevhodné a píše se to v tom standardu, ale názory se evidentně liší.

Takze to vypada ze to je chyba na strane MT.lv

https://blog.nic.cz/2019/05/20/na-odvr-podporujeme-take-dns-over-https/

DVR je přístupné pro všechny včetně DoH a DoT.

Důvod proč dostáváte chybnou odpověď je nejspíše způsobená HTTP/2.

DoH běží výhradně na HTTP/2.

O této informaci jsme také psali blogpost https://blog.nic.cz/2020/12/01/doh-na-odvr-ostre-a-v-chrome/.
Podotkl bych, že tento problém kombinace DoH, Mikrotik a HTTP/2 byl zde již řešen a nenarážíte tak na ojedinělý problém.



To je skoda, protoze ani s #MullVad DoH mi to nefunguje

Kód: [Vybrat]

/tool fetch url="https://letsencrypt.org/certs/isrgrootx1.pem"
/certificate import file-name=isrgrootx1.pem
/ip dns set use-doh-server=https://adblock.doh.mullvad.net/dns-query verify-doh-cert=yes
/ip dns static add address=194.242.2.3 name=adblock.doh.mullvad.net
/ip dns static add address=2a07:e340::3 name=adblock.doh.mullvad.net
DoH server connection error: remote disconnected while in HTTP exchange
DoH server connection error: SSL: internal error (6)
DoH server connection error: SSL: ssl: close notify received (6)