Мы расскажем об установке и настройке программы DNSCrypt (клиентская часто программы), защищающей от возможной подмены провайдером DNS-ответов на запросы, исходящие от ваших компьютеров. Такая подмена может стать одним из способов блокирования доступа к форуму Рутрекера после вынесенного судебного решения о блокировке.
Инструкции даны с учётом того, что на компьютере установлена OC Windows 8 с русскоязычной локализацией. Для других операционных систем действия, возможно, будут несколько иными, но мало отличаться как по описанию, так и по приведённым снимкам экранов.
Конкретные IP-адреса, указанные в статье, актуальны на момент её написания и могут измениться в будущем. Не используйте их без проверки работоспособности.
Содержание
- 1 Небольшой FAQ
- 2 Установка DNSCrypt в Windows
- 3 Отключение DNSCrypt
- 4 Перенастройка DNSCrypt
- 5 Обновление списка серверов DNSCrypt
- 6 Если разрешение имён перестало работать
- 7 Графические оболочки
- 7.1 DNSCrypt WinClient
- 7.2 DNSCrypt Windows Service Manager
Небольшой FAQ
Что такое DNS? Не вдаваясь в подробности, коих немало, можно сказать, что система DNS превращает имена серверов, например rutracker.org, в их IP-адреса, например 195.82.146.214. Так функционирует связь в интернете: соединение между машинами происходит по таким адресам, а не по привычным и более удобным для запоминания человеку именам различных сайтов. Когда вы хотите попасть на форум Рутрекера, вы просите ваш браузер соединиться с тем сервером, на котором этот форум работает. Браузер по имени домена rutracker.org определяет его IP-адрес и создаёт соединение с соответствующим сервером.
Что такое DNSCrypt? Опять же, в двух словах: это DNS-сервер, к которому можно подсоединиться стандартным образом из других программ для разрешения имён интернет-сайтов, т.е. преобразования строковых имён типа rutracker.org в IP-адреса типа 195.82.146.214. Сам этот сервер не занимается подобным преобразованием, а запрашивает его у заданного ему внешнего сервера. Суть использования DNSCrypt в том, что запрос внешнего сервера происходит в шифрованном виде и по нестандартному протоколу, что не даёт провайдеру возможность заменить DNS-ответ на свой и затрудняет выявление использования этой программы.
Важная для понимания вещь: DNSCrypt представляет собой пару программ — программа-клиент, шифрующая ваш запрос и расшифровывающая полученный ответ, и программа-сервер, принимающая зашифрованный запрос, превращающая имя сайта в IP-адрес и отправляющая зашифрованный ответ обратно. Мы с вами будем устанавливать именно программу-клиент, а парную ей программу-сервер выберем из уже существующих и работающих в интернете.
Что может сделать провайдер? Ваш браузер обращается к локальной службе DNS и просит её определить IP-адрес нужного сервера. Служба обращается к тому серверу DNS, чей адрес прописан в настройках сетевого соединения компьютера. Так или иначе запрос либо попадает на сервер DNS вашего провайдера, либо проходит через его обычные сервера, чтобы достичь внешнего сервера DNS, например Яндекс.DNS или Google DNS. В этот момент провайдерская система может принять решение об измении ответа сервера, и вместо правильного IP-адреса 195.82.146.214 вы получите IP-адрес, например, провайдерского сервера, соединившись с которым, вы увидите в своём браузере страницу с информацией о блокировке. Или провайдер может вернуть неверный адрес, соединение с которым вообще невозможно. К тому же, ваша локальная служба DNS запомнит провайдерский ответ как правильный и впредь будет использовать его при последующих попытках соединения с тем же сайтом, пока срок действительности такого ответа не истечёт. Ещё одним неприятным моментом может стать то, что провайдер отметит факт запроса вами имени заблокированного сайта.
Что мы будем делать? Мы настроим свои компьютеры так, что запросы к внешнему DNS-серверу будут зашифрованы, и создаваться они будут иным способом. Таким образом, провайдер не сможет подменять его ответы или выдавать вместо них свои.
Настраивать мы будем именно компьютер как самое простое решение проблемы, хотя более правильно было бы внести соответствующие изменения в устройство, дающее доступ в интернет всем потребителям — компьютерам, планшетам, смартфонам и пр., например в установленный в квартире роутер. Если у вас есть возможность сделать именно так, выберите такой путь.
Антивирусные системы, работающие на машине, могут препятствовать запуску DNSCrypt и мешать её работе. Посему в случае каких-то подозрений на этот счёт либо находите в своих антивирусах способ внесения dnscrypt-proxy.exe в белые списки разрешённых для запуска и выхода в сеть приложений (это, конечно, предпочтительный вариант), либо отключайте антивирусы. Также неплохо бы зайти в настройки firewall (брандмауэра) операционной системы и посмотреть там аналогичные установки.
Установка DNSCrypt в Windows
Шаг 1. Скачайте последнюю версию DNSCrypt, на данный момент это 1.6.0.
Шаг 2. Распаковка zip.
Шаг 2. Путь для распаковки.
Шаг 2. Содержимое директории.
Шаг 2. Зайдите в директорию, куда скачался файл, и распакуйте его содержимое в корневую директорию диска C:. Нажмите правой кнопкой мыши на скачанном файле, выберите пункт меню «Извлечь все…» («Extract all…»), а в появившемся окне введите путь C: и нажмите кнопку «Извлечь» («Extract»). В результате у вас должна создасться директория C:dnscrypt-proxy-win32. Чтобы не забыть версию установленной программы, переименуйте директорию в C:dnscrypt-proxy-1.6.0. Внутри этой директории должны находиться файлы dnscrypt-proxy.exe, dnscrypt-resolvers.csv, несколько файлов .dll и прочие, проверьте это.
Внимание. Если вы решите выбрать другой путь установки DNSCrypt, имейте это в виду, когда далее в тексте будет встречаться путь C:dnscrypt-proxy-1.6.0, и заменяйте его на свой. Правила тут обычные: 1) чем ближе к корню диска, тем легче жить, и 2) не надо использовать пробелы и русские буквы в именах директорий и файлов. Эта инструкция подразумевает, что выбран путь C:dnscrypt-proxy-1.6.0.
Шаг 3. Теперь надо открыть файл dnscrypt-resolvers.csv и решить для себя, какой из перечисленных там серверов DNSCrypt мы хотим использовать. Вспомните, что DNSCrypt — это две парные друг другу программы, и сейчас мы выбераем серверную часть.
Выбрать не так уж сложно: посмотрите на 4-ю колонку списка из файла dnscrypt-resolvers.csv, это страна или город, где располагается сервер. Для начала найдите ту, что находится ближе к вам географически — так работа с сервером будет побыстрее. Критериев выбора может быть много и у каждого они индивидуальны. Давайте выберем Румынию? Выделите эту строку в файле, чтобы не потерять её.
Внимание. Для удобного просмотра файла dnscrypt-resolvers.csv потребуется какой-нибудь офисный пакет работы с таблицами, например MS Excel, OpenOffice Calc или LibreOffice Calc, они умеют открывать файлы этого типа. Если таких программ нет, открывайте его простым Блокнотом, хотя это будет не так удобно.
Шаг 4. Запуск cmd.exe.
Шаг 4. Переход в директорию DNSCrypt.
Шаг 4. Далее вам понадобится открыть приложение командной строки с административными правами. Автор делает просто: в Windows 8 (и, наверное, выше) можно нажать сочетание клавиш Win-X и в появившемся списке выбрать пункт «Командная строка (администратор)» («Command Prompt (Admin)»). Для других версий Windows откройте Windows Explorer (Проводник), введите в адресную строку: %WINDIR%System32, нажмите Enter, там найдите файл cmd.exe, нажмите на нём правой кнопкой мыши и выберите пункт «Запустить от имени администратора» («Run as administrator»). Если система запросит подтверждение запуска, соглашайтесь. Далее, в открывшейся консоли надо перейти в директорию, где находится DNSCrypt. Введите:
CD C:dnscrypt-proxy-1.6.0
и нажмите Enter.
Шаг 5. Тестирование выбранного сервера.
Шаг 5. Теперь мы протестируем тот сервер, который выбрали на шаге 3. В консоли введите команду:
dnscrypt-proxy -R ovpnto-ro --test=0
Помните, что мы выбрали Румынию? Имя румынского сервера «ovpnto-ro» (1-я колонка списка из файла dnscrypt-resolvers.csv), его мы тут и использовали.
В ответ мы должны получить такое сообщение:
[INFO] - [ovpnto-ro] does not support DNS Security Extensions [INFO] + Namecoin domains can be resolved [INFO] + Provider supposedly doesn't keep logs [NOTICE] Starting dnscrypt-proxy 1.6.0 [INFO] Generating a new session key pair [INFO] Done [INFO] Server certificate #808464433 received [INFO] This certificate looks valid [INFO] Server key fingerprint is C64C:8DED:E891:8980:092D:9D00:23F2:0184:BE23:0264:D861:23F9:EEA4:1D9A:5199:746F
Мы видим, что сервер ответил. Из ответа видно, какие функции он поддерживает, а какие нет. Сертификат валиден, т.е. это именно тот сервер, за который себя выдаёт. Можно пользоваться.
Внимание. Если на этом шаге у вас возникли проблемы (сервер не отвечает вообще, в ответе приходят предупреждения или сообщения об ошибках), возвратитесь к шагу 3 и попробуйте выбрать другой сервер.
Шаг 6. Установка сервера службой.
Шаг 6. Выбранный сервер нас устраивает и мы желаем пользоваться им для преобразования имён сайтов в IP-адреса. Вводим следующую команду для настройки DNSCrypt на работу с этим сервером:
dnscrypt-proxy -R ovpnto-ro --install
Видим, что сервер установился как служба в Windows, видим путь в Реестре, где теперь расположены его текущие настройки, и видим совет настроить наше сетевое соединение на осуществление DNS-запросов на адрес 127.0.0.1:53.
Шаг 7. Теперь вам требуется изменить настройки DNS вашего сетевого соединения. Так как в разных версиях Windows способ конфигурации сети различается, мы можем отправить вас в систему помощи Microsoft, где даны подробные инструкции.
Вы должны задать для DNS-сервера тот адрес, который был выведен в консоли после установки DNSCrypt, т.е. 127.0.0.1. Номер порта 53 указывать не надо, т.к. по умолчанию для DNS-запросов используется именно он.
Теперь клиентская программа DNSCrypt будет запускаться на вашем компьютере при его включении и обслуживать все запросы DNS.
Отключение DNSCrypt
Если вы когда-либо захотите отключить службу DNSCrypt целиком, вам надо будет выполнить следующую команду в административной консоли:
dnscrypt-proxy --uninstall
после чего вернуть настройки сетевого соединения в прежнее состояние, то есть сделать действия, обратные тем, что ранее были выполнены в шаге 7 основной инструкции.
Перенастройка DNSCrypt
Если вы захотите поменять сервер на другой, самым простым способом будет сначала отключить весь DNSCrypt, а затем повторить шаги начиная с 3-го основной инструкции. Возвращать настройки сетевого соединения в прежнее состояние при этом не нужно, вы просто меняете сервер DNSCrypt и будете по-прежнему пользоваться клиентом DNSCrypt на своей машине, просто связываться вы будете с другим сервером.
Обновление списка серверов DNSCrypt
Довольно часто сервера DNSCrypt, многие из которых поддерживаются энтузиастами или небольшими сетевыми организациями на свои деньги, временно останавливаются или вовсе выводятся из эксплуатации, или могут работать нестабильно. В этом случае разработчики DNSCrypt обновляют список серверов, удаляя из него проблемные. Или наоборот, добавляют в него вновь появившиеся сервера. Это случается довольно часто: если посмотреть историю изменений файла dnscrypt-resolvers.csv, вы увидите, что различные изменения вносятся несколько раз в месяц. В результате может оказаться, что выбранного вами сервера уже нет в списке и он в любой момент может отказаться работать. Время от времени полезно обновлять этот файл. Просто загрузите его себе во временную директорию и посмотрите, что выбранный вами сервер не пропал оттуда и его параметры не изменились, или что его изменения вас устраивают (сравните с вашим текущем файлом). Затем положите новый файл поверх текущего, после этого отключите DNSCrypt, а затем заново включите его, используя старый либо вновь выбранный сервер.
Если разрешение имён перестало работать
Первым делом проверьте несколько привычных вам доменных имён, возможно, нужный вам сайт просто перестал функционировать или в настоящее время меняет свои настройки.
В интернете есть онлайн-сервисы, позволяющие определить IP-адрес сайта по его имени, то есть выполнить вручную работу, которую обычно за вас делает служба DNS. Воспользуйтесь несколькими такими сервисами, например Google, и убедитесь, что нужный вам сайт действительно известен в интернете и имеет один или несколько IP-адресов.
Неуспешное тестирование сервера.
Одной из причин отказа DNSCrypt может быть то, что выбранный вами сервер DNSCrypt временно не работает или вообще был выведен из эксплуатации. Это можно проверить несколькими способами, один из них описан тут. Запустите административную консоль, перейдите в директорию установки DNSCrypt, отключите службу DNSCrypt и выполните тестирующую команду из шага 5. В результате вы можете получить какое-либо сообщение об ошибке при связи и проверке сервера. Ошибки могут быть разные, но главное, что это ошибки, т.е. вы увидите в ответе строки, начинающиеся с [ERROR]. В примере автор использовал латвийский сервер, который был удалён из списка 15 января 2016 года. В этом случае вы должны выполнить действия, описанные в разделе Обновление списка серверов DNSCrypt.
Графические оболочки
Сама по себе программа DNSCrypt имеет только консольный интерфейс, что подходит не всем. Есть как минимум три вспомогательные программы, управляющие ею через графическую оболочку, и сейчас мы расскажем обо всех.
DNSCrypt WinClient
Одной из графических оболочек является DNSCrypt WinClient. Она позволяет сделать почти все те же действия, что и оригинальная DNSCrypt, кроме шага проверки работоспособности выбранного сервера (шаг 5 основного раздела). Выполните его, если хотите, а остальное вы можете сделать с помощью этой программы.
Основное окно DNSCrypt WinClient.
Итак, идите на сайт WinClient и загрузите её последнюю на данный момент версию. Для вашего удобства сохраните файл dnscrypt-winclient.exe в той же директории, где вы установили DNSCrypt, а затем запустите его от имени администратора (как это сделать, рассказано в описании шага 4). Согласившись с предупреждением системы о запуске программы с администраторскими правами, вы увидите основное окно WinClient. Перейдите во вкладку «Config».
В зависимости от того, запущен ли у вас уже клиент DNSCrypt, некоторые надписи будут отличаться от того, что показано на приведённой картинке: левая кнопка будет иметь надпись «Install» (DNSCrypt не установлен или не запущен) или «Uninstall» (DNSCrypt в данный момент запущен), а правая кнопка, соответственно, «Start» или «Stop». В этом окне вы можете сделать те же самые шаги, что делали в основном разделе: выбрать подходящий вам сервер DNSCrypt (выпадающий список «Select Provider») и запустить ваш клиент с соответствующей настройкой. Нажимая на «Install», вы устанавливаете клиент как службу Windows, а нажимая на кнопку снова, удаляете эту службу. Нажимая «Start» / «Stop», вы запускаете и останавливаете клиент в обычном режиме, например, если вы не уверены в работоспособности выбранного сервера DNSCrypt и хотите временно запустить клиент, чтобы проверить его работу.
Когда вы настроили службу и запустили её, вы можете закрыть окно программы.
Единственным недостатком программы на данный момент является то, что, запускаясь, она не определяет выбранный вами сервер DNSCrypt и всегда выделяет первый элемент из списка доступных серверов (он берётся из того же файла dnscrypt-resolvers.csv). Имея это в виду, можно управлять вашим клиентом DNSCrypt удобней, чем в консоли.
DNSCrypt Windows Service Manager
Другой графической оболочкой является DNSCrypt Windows Service Manager. Функционально она почти не отличается от DNSCrypt WinClient, но имеет небольшое преимущество: она правильно показывает выбранный вами сервер DNSCrypt.
Основное окно DNSCrypt Windows Service Manager — сервис установлен.
Основное окно DNSCrypt Windows Service Manager — сервис не установлен.
Домашняя страница проекта находится на GitHub, а вы можете сразу загрузить архив с последней версией программы. Это ZIP-файл, внутри которого единственный исполняемый файл dnscrypt-winservicemgr.exe. Загрузите себе архив и извлеките из него исполняемый файл в ту же директорию, где вы установили DNSCrypt, а затем запустите его от имени администратора.
Вверху вы увидите список всех ваших сетевых интерфейсов, выберите тот, через который вы выходите в интернет. Ниже находится список серверов DNSCrypt из файла dnscrypt-winclient.exe («Select Provider») и выбор протокола («Protocol»), с помощью которого клиент будет отправлять DNS-запросы на сервер; выберите «UDP». Под списком серверов находится основная кнопка программы, она запускает («Enable») или останавливает («Disable») DNSCrypt как службу Windows. Наконец, внизу окна вы можете видеть текущее состояние DNSCrypt — запущен он (зелёная надпись «enabled») или остановлен (красная надпись «disabled»). Размер шрифта подобран неудачно и часть слова обрезается.
Когда вы настроили службу и запустили её, вы можете закрыть окно программы.
Installation on Windows
Note: these instructions are for users familiar with the command line.
An alternative to use dnscrypt-proxy on Windows is via Simple DNSCrypt or YogaDNS (not opensource) instead.
Overview
Step 1: Get a PowerShell prompt
Launch PowerShell with elevated privileges. cmd is similar.
Step 2: download and run dnscrypt-proxy
Download dnscrypt-proxy here: dnscrypt-proxy binaries.
There are quite a few files here, but dnscrypt-proxy-win64-*.zip is the one you want.
So, download this file and extract it wherever you want. In can be in your home directory, or wherever you want, really.
For example: D:dnscrypt-proxy.
It is totally possible to have the executable file in one place, the configuration file in another place, the cache files elsewhere and the log files yet somewhere else. But if this is the first time you install the software, and you don’t have any good reasons to makes things more complicated than they should be, just keep everything in the same directory. At least to start with, and to ensure that everything works as expected. Then, go crazy if you like. But please don’t change everything before even starting the proxy once, and then complain that «it doesn’t work». Start with something boring, and gradually tweak it. If you really need to.
Also, do not change your DNS settings at this point.
In the terminal, go to the directory you just extracted using the cd command, i.e. something like:
cd /d D:dnscrypt-proxy for cmd.
The dir command should print a bunch of files, among which dnscrypt-proxy.exe and example-dnscrypt-proxy.toml.
Create a configuration file based on the example one:
copy example-dnscrypt-proxy.toml dnscrypt-proxy.toml
And now, for something intense, run:
Does it look like it started properly? If not, try to find out why. Here are some hints:
-
dnscrypt-proxy.toml: no such file or directory: copy the example configuration file asdnscrypt-proxy.tomlas documented above. -
listen udp 127.0.0.1:53: bind: permission denied: you are not using an elevated PowerShell (see step 1). -
listen udp 127.0.0.1:53: bind: address already in use: something is already listening to the DNS port. Maybe something else, maybe a previous instance of dnscrypt-proxy that you didn’t stop before starting a new one.
No errors? Amazing!
Step 3: change the system DNS settings
If dnscrypt-proxy is running, hit Control and C in the terminal window to stop it. And then to launch the server in an extra window, run:
Switch to your previous terminal window. Let’s check that everything works by sending a first query using dnscrypt-proxy:
.dnscrypt-proxy -resolve example.com
Looks like it was successfully able to resolve example.com? Sweet!
It’s time to change your system DNS settings.
Open the network settings, and in the TCP/IP panel, if it’s automatically, change it to manually, if it’s manually, remove all existing DNS IP addresses (backup first), and then set it to 127.0.0.1.
Try a few more things: web browsing, file downloads, use your system normally and see if you can still connect without any DNS-related issues.
If anything ever goes wrong, you can revert the settings (with the backup).
Step 4: Tweak the configuration file
The dnscrypt-proxy.toml file has plenty of options you can tweak. Tweak them if you like. But tweak them one by one, so that if you ever screw up, you will know what exact change made this happen.
The message bare keys cannot contain 'n' typically means that there is a syntax error in the configuration file.
Hit Control and C in the dnscrypt-proxy terminal window when you need to stop/restart it, type start dnscrypt-proxy to start the server, and test. Tweak, restart, test, tweak, restart, test until you are satisfied.
Are you satisfied? Good, let’s jump to step 5!
Step 5: install the proxy as a system service
Hit Control and C in the dnscrypt-proxy terminal window to stop the proxy.
Now, register this as a system service (still with elevated privileges):
.dnscrypt-proxy -service install
If it doesn’t spit out any errors, this is great! Your edition of Windows is compatible with the built-in installer.
Now that it’s installed, it can be started:
.dnscrypt-proxy -service start
Done!
If it does spit out errors, additional steps for your edition of Windows are required. Stay calm, do not drink coffee but hit the gym instead, then look for specific instructions.
Want to stop the service?
.dnscrypt-proxy -service stop
Want to restart the currently running service after a configuration file change?
.dnscrypt-proxy -service restart
Want to uninstall the service?
.dnscrypt-proxy -service uninstall
Want to check that DNS resolution works?
.dnscrypt-proxy -resolve example.com
Want to completely delete that thing?
.dnscrypt-proxy -service uninstall & Delete the directory. Done.
Optional: configure a backup server
In the system preferences, the system can be configured with a secondary resolver (such as your ISP’s or a public one like 9.9.9.9) in addition to the primary one (127.0.0.1, aka dnscrypt-proxy).
Windows applications will generally always try the primary server (thus, dnscrypt-proxy) first, and only retry with the secondary when the primary is not responsive.
Configuring a backup server can be useful to keep the DNS service up and running during temporary outages of servers configured in the proxy. The obvious downside is that queries sent to the backup server will not be encrypted/authenticated.
Upgrading
In order to install a new version, stop the service, replace the executable file (dnscrypt-proxy) with the new version, and start the service again.
Prior to this, taking a look at the release notes for possible breaking changes is a good idea. However, breaking changes are exceptional.
Troubleshooting
If you are having problems with Windows showing your network as offline while using dnscrypt-proxy, it may be due to a failing Windows Network Connectivity Status Indicator (NCSI) check. This can manifest as a yellow task bar icon or a tooltip indicating no or limited network connectivity.
On Windows 10 build 1709 or later, you can configure the check to do its DNS lookup on the interface where dns-proxy is running by enabling the Specify Global DNS policy inside Local Group Policy (Run gpedit.msc). The setting can be found under Computer Configuration > Administrative Templates > Network > Network Connectivity Status Indicator.
If you do not have the group policy editor available on your Windows version, you can also enable the policy in the registry by running the following command as administrator:
reg add "HKEY_LOCAL_MACHINESOFTWAREPOLICIESMICROSOFTWindowsNetworkConnectivityStatusIndicator" /v UseGlobalDNS /t REG_DWORD /d 1 /f
A reboot is required for the setting to take effect.
There are several other more detailed settings available to disable or modify the NCSI check. These can further increase your privacy and improve startup speed. Please read the Network Connectivity Status Indicator (NCSI) page for more information.
Установка dnscrypt-proxy в Windows
Чтобы включить DNS через HTTPS (DoH) в Windows мы можем использовать dnscrypt-proxy, поскольку эта программа является кроссплатформенной.
Чтобы скачать dnscrypt-proxy для Windows, перейдите на официальную страницу https://github.com/DNSCrypt/dnscrypt-proxy/releases и скачайте файл вида dnscrypt-proxy-win64-*.zip
Распакуйте скаченный архив — в нём папка «win64». Переименуйте эту папку в «dnscrypt-proxy» и переместите в корень диска C:. Таким образом, папка и все файлы расположены по пути C:dnscrypt-proxy.
Откройте командную строку с правами администратора. Для этого нажмите Win+x и выберите «PowerShell (администратор)».
Выполните там команды:
cd C:dnscrypt-proxy cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml ./dnscrypt-proxy
При запуске nscrypt-proxy загружает списки DNS серверов с шифрованием, тестирует доступность и скорость отклика DNS серверов с поддержкой шифрования.
Если всё запустилось нормально, то продолжайте, здесь же несколько подсказок для тех, у кого возникла ошибка:
- dnscrypt-proxy.toml: no such file or directory (dnscrypt-proxy.toml — нет такого файла или директории): скопируйте файл с образцом конфигурации и назовите его dnscrypt-proxy.toml как это написано выше.
- listen udp 127.0.0.1:53: bind: permission denied (отклонён запрос на прослушивание порта): вы используете PowerShell без прав администратора, об этом также сказано выше.
- listen udp 127.0.0.1:53: bind: address already in use (порт 53 уже используется): какая-то программа уже прослушивает DNS порт. Может быть какая-то другая программа, а может быть предыдущий экземпляр dnscrypt-proxy, который вы не остановили перед запуском нового.
Нет ошибок? Отлично!
Пока не закрывайте терминал. В дальнейшем мы установим dnscrypt-proxy как системную службу и нам не нужно будет каждый раз запускать её в командной строке. Но пока мы этого не сделали, dnscrypt-proxy будет работать только пока не закрыто окно консоли.
Изменение системных настроек DNS для dnscrypt-proxy
Теперь мы поменяем системные настройки DNS.
Откройте настройки сети, для этого нажмите Win+i, затем выберите «Сеть и Интернет».
И нажмите кнопку «Настройка параметров адаптера».
Кликните правой кнопкой мыши по сетевому адаптеру, который используется для выхода в Интернет, и выберите «Свойства».
Найдите и дважды кликните пункт IP версии 4 (TCP/IPv4).
В открывшемся окне поставьте переключатель на «Использовать следующие адреса DNS-серверов» и впишите 127.0.0.1:
В качестве резервного DNS сервера впишите «8.8.8.8».
Если ваш Интернет провайдер поддерживает IPv6, то повторите эту же процедуру для «IP версии 6 (TCP/IPv6)», но в качестве IPv6 адресов используйте «::1» и «2001:4860:4860::8888».
Проверка работы dnscrypt-proxy в Windows
Откройте ещё одно окно командной строки и выполните там:
C:dnscrypt-proxydnscrypt-proxy -resolve hackware.ru
Также в командной строке проверим IP адрес домена с помощью утилиты nslookup:
nslookup hackware.ru
Обратите внимание на строку:
Address: 127.0.0.1
Она означает, что IP адресом DNS сервера является 127.0.0.1.
Проверьте работу операционной системы — откройте веб сайты, загрузите файлы, используйте свою систему обычным образом, чтобы проверить, что нет никаких проблем с DNS.
Если что-то пошло не так и вы хотите вернуть всё назад, то откройте настройки сетевого адаптера, как это показано чуть выше и переключитесь на автоматическое получение адреса DNS-сервера.
Установка службы dnscrypt-proxy в Windows
Если всё нормально, то нажмите Ctrl+c в первом терминале, где запущен dnscrypt-proxy чтобы остановить DNS прокси.
Теперь зарегистрируйте его как системную службу (эту команду нужно выполнить в окне с повышенными привилегиями, то есть с правами администратора):
C:dnscrypt-proxydnscrypt-proxy -service install
Если не появились ошибки, то это прекрасно! Значит ваша версия Windows совместима со встроенным установощиком.
Теперь, когда служба установлена, запустите её:
C:dnscrypt-proxydnscrypt-proxy -service start
Всё готово! При перезагрузке компьютера, данная служба будет запускаться автоматически.
Управление службой dnscrypt-proxy в Windows
Если вам нужно остановить службу, то выполните:
C:dnscrypt-proxydnscrypt-proxy -service stop
Чтобы перезапустить запущенную службу (например, после изменения конфигурационного файла) выполните:
C:dnscrypt-proxydnscrypt-proxy -service restart
Для удаления службы выполните:
C:dnscrypt-proxydnscrypt-proxy -service uninstall
Для проверки DNS сервера используйте команду:
C:dnscrypt-proxydnscrypt-proxy -resolve example.com
Чтобы полностью удалить dnscrypt-proxy сервер выполните:
C:dnscrypt-proxydnscrypt-proxy -service uninstall
А затем удалите папку C:dnscrypt-proxy — всё готово!
Обновление dnscrypt-proxy в Windows
Чтобы установить новую версию, остановите службу,
C:dnscrypt-proxydnscrypt-proxy -service stop
замените исполнимый файл (dnscrypt-proxy) на новую версию и запустите службу снова.
C:dnscrypt-proxydnscrypt-proxy -service start
Связанные статьи:
- Как DNS через HTTPS улучшает приватность (100%)
- Как включить DNS через HTTPS (DoH) в веб-браузерах (100%)
- Как включить DNS через HTTPS в Windows 11 (76.7%)
- Как редактировать файл hosts для блокировки сайтов в Windows 10 и Windows 11 (74.6%)
- Что такое TPM и зачем он нужен Windows для шифрования диска? (69.7%)
- Что такое физический выключатель (Kill Switch) и нужен ли он вашему ПК? (RANDOM — 2.1%)
Утро прошло в экспериментах по поводу обхода из cygwin с помощью способов, описанных в статье «Краткая инструкция: GitHub через Tor».
Второй способ работает замечательно, но с помощью его нельзя, допустим, установить плагины в vim с помощью Vundle. Третий способ не работает. В случае захода по http сообщает, что нету, а при https жалуется на SSL сертификат. Ну и, конечно, неудобно, что надо постоянно запускать браузер. Torsocks на Windows не работает.
Попробовал DNSCrypt. Все оказалось достаточно легко. Я ни в коем случае не специалист, поэтому просто описываю свои действия.
На сайте dnscrypt.org/ скачиваем архив и разархивируем его в какое-то постоянное место. Вторым действием надо скачать программу dnscrypt winclient, ссылка на главной странице этого сайта. Тут небольшая засада, поскольку бинарник расположен на github.com Придется скачать TorBrowser и зайти через него. В любом случае, вещь хорошая и в наше время пригодится.
Я мог бы залить на какой-нибудь драйв, но считаю, что не только качать экзешник из непроверенных мест, но и даже давать ссылку на него — признак дурного тона.
Помещаем скачанный dnscrypt-winclient.exe в папку bin, разархивированного раньше пакета, запускаем эту программу от имени администратора, указываем сетевой интерфейс, опционально на второй вкладке выбираем сервер и устанавливаем (Install) в качестве службы (для этого разархивировали в постоянное место и запускали winclient от администратора).
Последним действием надо изменить адрес DNS сервера. На Windows 8: Центр управления сетями — Изменение параметров адаптера — Свойства — Протокол интернета версии 4 — Свойства — Использовать следующие адреса DNS-сервер — 127.0.0.1
ВСЕ.
При запуске на Windows XP надо иметь в виду, что для winclient требуется .Net 2.0.
За последние несколько месяцев мы написали несколько статей, касающихся конфиденциальности в Интернете. Мы говорили о том, как работает DNS, о бесплатных VPN, таких как SpotFlux, NeoRouter, CyberGhost VPN и т. Д., А также о частных браузерах, скрывающих вашу личность, таких как браузер Jumpto и т. Д. В этой же серии этот пост посвящен DNSCrypt , облегченной программе, которая шифрует обмен данными между вашим компьютером и DNS-серверами. В некотором смысле, это все о вашей конфиденциальности, так как люди в середине (хакеры) не смогут понять, что происходит на вашем компьютере с Windows.
Обзор DNSCrypt
Что такое DNSCrypt – зачем мне это нужно
Вы знаете о VPN, которые шифруют ваши данные и обмениваются ими в защищенном туннеле, созданном между вашим компьютером и хостом. Хотя VPN обеспечивают лучшую безопасность и конфиденциальность DNSCrypt, они часто замедляют ваш просмотр. Прокси предназначены для доступа к сайтам (путем изменения вашего IP-адреса). Они не обеспечивают шифрование в большинстве случаев. Мы также обсудили некоторые DNS (например, OpenDNS), которые обеспечивают фильтрацию контента в дополнение к безопасным (антивирусным) соединениям. Вы знаете, что не все сайты небезопасны. Comodo и OpenDNS выполняют проверку при запросе подключения к веб-сайту и сообщают вам, если веб-сайт опасен. OpenDNS также предлагает фильтрацию контента, которую можно назвать родительским контролем по сети. Вам не нужно настраивать его на всех компьютерах.
Как правило, с учетом вышеизложенного (исключение: VPN) ваши данные отображаются «посредником» при отправке запроса веб-сайта, электронной почты или даже чата. Чтобы защитить эти данные, вам нужно что-то, что шифрует ваши данные между вашим компьютером и используемым вами DNS-сервером. DNS-сервер может быть любым на ваш выбор. DNSCrypt – это программа, которая обеспечивает шифрование этих данных (между вами и DNS). Вы можете выбрать из списка поставщиков услуг или использовать параметры сетевого адаптера для изменения DNS вручную.
ПРИМЕЧАНИЕ . В некоторых случаях, когда вы выбираете DNS, отличный от перечисленных в DNSCrypt, возникают проблемы с подключением к Интернету. Я бы порекомендовал использовать популярные DNS-серверы, так как они создают меньше проблем. Если вы выберете те из них, которые перечислены в DNSCrypt, вы можете вообще не столкнуться с какими-либо проблемами.
Короче говоря, если вы не используете VPN, DNSCrypt поможет вам оставаться в безопасности при общении в Интернете. Общение может быть любым, от электронной почты до мгновенных сообщений и просмотра веб-сайтов.
DNSCrypt будет шифровать и защищать данные
Где скачать DNSCrypt
Есть много сайтов, предлагающих скачать DNScrypt. Основной источник находится на GITHUB, который также содержит код программы, так что вы можете проверить, запрограммирован ли он для шифрования данных или нет.
Но загрузка с GITHUB дает вам запутанную версию DNSCrypt. Ссылка для скачивания находится в правом нижнем углу экрана – помечена как «Загрузить ZIP». Этот ZIP-файл содержит много папок, которые необходимо извлечь в какое-то безопасное место, чтобы ваша копия DNSCrypt продолжала работать. Смотрите изображение выше, чтобы понять, как выглядят извлеченные файлы.
Есть еще один сайт, с которого вы можете скачать DNSCrypt, чтобы вы могли установить его в качестве службы Windows. Это также ZIP-файл DNSCrypt, содержащий только четыре файла. Ссылка для загрузки службы Windows DNSCrypt ведет на веб-сайт программиста по имени Саймон Клаузен – simonclausen.dk . На странице также рассказывается о преимуществах программы. Я предпочитаю скачивать его с сайта Саймона Клаузена, а не с GITHUB. Последнее немного сложнее, так как в нем слишком много файлов, и вы можете не знать, какой из них запустить первым.
Читать . Что такое протокол DNSCrypt?
Как установить DNSCrypt
Если вы загрузили ZIP-файл с GITHUB и распаковали его содержимое, получите следующие папки. Они выглядят сбивающими с толку, но вы открываете папку DNSCrypt и запускаете там единственный исполняемый файл. Когда вы распаковываете, есть папка обновления, но я не смог понять, что это значит. Возможно это было исправлено или возможно обновления с новыми функциями. Есть около шести файлов обновления. Я не мог найти подробности об этом.
Если вы загрузили ZIP-файл с веб-сайта Симона Клаузена, все, что вам нужно сделать, это извлечь файлы и запустить dnscrypt-winservicemgr.exe . Вы получите графический интерфейс, как показано на рисунке ниже. Вы можете выбрать свой адаптер, тип связи (UDP или TCP), а также поставщиков услуг (таких как OpenDNS и т. Д.), Прежде чем нажать Включить . После того как вы нажмете Включить , просто закройте окно. Процесс выполняется в фоновом режиме, и вы можете просмотреть его в диспетчере задач Windows -> вкладка «Процесс».
Как удалить службу Windows DNSCrypt
Всегда устанавливайте точку восстановления перед установкой такого программного обеспечения, потому что, если что-то пойдет не так (например, неправильная конфигурация), вы можете восстановить свой компьютер до установки программы. В случае DNSCrypt вы не найдете никаких записей в разделе «Программы и компоненты».
Восстановление системы – единственный способ удалить его. В качестве альтернативы, вы можете перейти в Сервисы из Панели управления -> Администрирование и отключить сервис dnscrypt. Щелкните правой кнопкой мыши службу, указанную как dnscrypt-proxy, и выберите Отключить или Ручной запуск .
Заключение
Я предпочитаю использовать установщик ZIP от Simon Clausen, поскольку он прост и имеет простой графический интерфейс, который поможет вам настроить его. У меня были опасения, что время разрешения DNS может увеличиться после установки, но ничего подобного не произошло, то есть скорость просмотра не уменьшится. Он шифрует и, таким образом, обеспечивает безопасность и конфиденциальность ваших данных. Это не займет много ресурсов на вашем компьютере. Я рекомендую использовать продукт для дополнительной безопасности, когда вы просматриваете, отправляете электронные письма или общаетесь в чате.
Аналогичный инструмент : простой DNS Crypt.
Введение
Расскажу о программе, которой пользуюсь уже много лет. Она немного улучшает сетевую безопасность, защищая от подмены сайтов при работе через небезопасные Wi-Fi сети.
Углубляться в технические подробности я не буду. Сжато расскажу суть проблемы, которую начали решать только в последние лет 5, но с помощью DNSCrypt можно защититься уже сегодня.
Небезопасные DNS запросы
Для общения устройств используется способ передачи данных TCP/IP. Это не протокол или набор программ, а концепция (модель) того, как это общение должно происходить.
У TCP/IP много недостатков, но, так как модель «пластичная», её латают и дорабатывают на протяжении более 40 лет своего существования. Например, чтобы никто не видел, что вы вводите на сайтах и получаете в ответ, многие сайты массово перешли на шифрованный протокол HTTPS.
К сожалению, уязвимостей в TCP/IP пока предостаточно. Одно из больных мест — система доменных имён (Domain Name System, DNS).
Когда вы открываете в адресной строке сайт, компьютеру нужно узнать, на какой сервер послать запрос. Для этого он обращается к серверам DNS, хранящих записи о том, на какой цифровой IP-адрес сервера обратиться, чтобы получить нужную страничку.
Проблема в том, что компьютеры безоговорочно доверяют серверам DNS. Если вы подключитесь к публичной Wi-Fi сети в кафе, владелец которой поднял собственный сервер с ложными адресами, есть шанс, что вместо Вконтакте вы откроете обманку, собирающую пароли.
[ig_notice style=»notice»]Способов защитить запросы к серверам имён несколько, но операционные системы их не используют. Нужно дорабатывать ОС самостоятельно с помощью отдельных программ.[/ig_notice]
Где скачать: simplednscrypt.org
Simple DNSCrypt позволяет легко и просто изменить настройки сетевой карты так, чтобы все запросы шли к DNS серверам с поддержкой DNSSEC. Эта технология позволяет избежать подмены IP-адресов. Как бонус, будут использоваться только уважающие приватность серверы имён, т.е. не сохраняющие обращения пользователей.
Программа ставится просто. Главное правильно выбрать 32- или 64-битную версию, смотря какой разрядности у вас Windows. Разрядность можно посмотреть в Панели управления — Система (в Windows 10 — Параметры — Система — О программе).
После установки и запуска с ярлыка на Рабочем столе настройки менять не нужно. Просто нажмите кнопку «Применить».
Вы увидите, что переключатель пункта «Служба DNSCrypt» установится в зелёное положение «Вкл». Значит, в Windows запустилась новая служба, суть которой — выступать прокси-сервером всех DNS-запросов, перенаправляя их на безопасные сервера (их список есть на вкладке «Резольверы», там ничего трогать не надо).
После нужно лишь щёлкнуть мышью по всем сетевым картам, видимым в нижней части окна, чтобы на них появилась галочка справа вверху.
На этом всё! Защита запросов заработает сразу. Программа будет работать сама по себе.
Если вы продвинутый пользователь и хотите проверить, работает ли DNSCrypt на вашем компьютере, откройте свойства протокола TCP/IPv4 сетевого соединения. DNS-сервер должен быть локальный — 127.0.0.1.
Если при использовании сервера имён 127.0.0.1 сайты открываются — утилита dnscrypt-proxy работает, никто ваши запросы не пишет и провайдер запросы не отслеживает.
Удаляется программа, как и все остальные — через Панель управления.
DNSCypt ≠ полная приватность
Не путайте шифрование DNS с шифрованием всего трафика между вами и сайтами.
DNSCrypt поможет
- защититься от подмены серверов DNS злоумышленниками,
- зашифровать DNS запросы.
Утилита не поможет
- сохранить приватность в интернете,
- получить доступ к заблокированным в вашей стране сайтам,
- защитить от подмены, если отредактирован файл hosts на компьютере.
Если вы обеспокоены вопросами конфиденциальности, DNSCrypt выступит лишь вспомогательным инструментом. Для анонимного сёрфинга в интернете используются технологии VPN и/или Tor, тогда шифрование DNS станет дополнительной защитой на случай, если какая-то программа на вашем компьютере запросит IP-адрес домена в обход VPN.
Если использовать DNSCypt без VPN, провайдер по-прежнему будет видеть, что вы обращаетесь к серверу с таким-то IP, и если на сервере с одним IP-адресом хостится несколько сайтов, то определить, на какой именно вы зашли, у него получится с помощью анализа запросов (запись Server Name Indicator передаётся открытым текстом даже при использовании HTTPS).
Другие операционные системы
Шифрование DNS должно работать по умолчанию в любой операционной системе. Но этой функции там нет! Ни в Windows, ни в Linux, ни в Android, нигде нет поддержки DNSCrypt или аналогичной технологии «из коробки».
Для iOS есть программа DNSCloak, аналог Simple DNSCrypt.
В Android включить шифрование DNS не получится. Единственная подвижка, которую я нашёл — 17 апреля 2018 г. Google объявил, что будет использовать шифрование запросов DNS через TLS в будущей операционной системе Android 9.0.
Резюме
Simple DNSCrypt — не сетевой антивирус. Если на вашем компьютере уже есть вирусы, подменяющие сайты, утилита вам не поможет. Проверьте систему бесплатными антивирусами, работающими без установки.
В будущем, где-то после 2019 года, защита от подделки DNS-запросов будет встроена по умолчанию в новые версии всех операционных систем. Но пока приходится ставить программы, разработанные энтузиастами для энтузиастов. Это необходимая защита для повышения безопасности работы в мировой сети.