DNS over TLS ile telekomun yaptığı sınırlama aşılabilir mi ?



  • Pek çoğumuz 8.8.8.8 gibi Google'ın ya da başka büyük sağlayıcıların DNS sunucularını kullanıyoruz.
    Ancak telekom DNS zehirlemesi (spoofing / hijaking) yaptığından bir sürü siteye girmek problem.

    En son "cloudflare" 1.1.1.1 ip adresi ile public dns sunucularını hizmete sundu.
    Google'dan 4-5 kat daha hızlı dns çözüyor.
    Ancak Telekom bu sunucu için de hijaking yapmaya başladı.
    https://turkeyblocks.org/2018/04/02/new-cloudflare-dns-service-filtered-turkey/

    Bunu aşmak için pfsense üzerinden DNS over TLS yapmaya çalışıyorum.
    Şu sayfadaki yönergeleri uyguluyorum. https://www.netgate.com/blog/dns-over-tls-with-pfsense.html

    Ancak hala sitelerde sıkıntı yaşıyorum.

    Bu DNS problemini sizler nasıl aşıyorsunuz ?



  • Bende de aynı. Gelişme var mı?



  • Dns bana sadece failover algılaması için gerekiyor. Superonline+Uydunet hattım var. Bunun için de çapraz Dns kullanıyorum. Superonline'nınkini Uydunet'e, Uydunet'i Superonline'a. Bir de Adsl hattım var, o kendi Dns'i ile takılıyor. Çünkü failover 2. grubunda yedek besleme olduğu için, hattının gidip gitmemesi çok da önemli değil, sadece elektrik kesintilerinde çalışıyor.



  • @plusbil:

    Dns bana sadece failover algılaması için gerekiyor. Superonline+Uydunet hattım var. Bunun için de çapraz Dns kullanıyorum. Superonline'nınkini Uydunet'e, Uydunet'i Superonline'a. Bir de Adsl hattım var, o kendi Dns'i ile takılıyor. Çünkü failover 2. grubunda yedek besleme olduğu için, hattının gidip gitmemesi çok da önemli değil, sadece elektrik kesintilerinde çalışıyor.

    Bizim söylediğimiz konu bambaşka.
    Telekom'un kullandığı DNS zehirlemesi tabir edilen manipülasyondan nasıl kurtuluruz onu bulmaya çalışıyoruz.



  • Ben 9.9.9.9 149.112.112.112 kullanıyorum. sadece DNSSEC ve DNS Query Forwarding seçili.
    Bu şekilde . sitelerde dediğiniz gibi yine sıkıntı oluyor.




  • Merhaba
    2.4.4 sürümünde DNS over TLS yi etkinleştirdim client bilgisayarımdan www.wikipedia.org adresine ping atabiliyorum nslookup ile isim çözümlemesi yapabiliyorum ancak siteyi henüz açmadı. bu konuda bir gelişme varmıdır.

    https://forum.netgate.com/topic/135832/quad9-dns-over-tls-setup-with-unbound-forwarding-in-2-4-4-rc





  • @tuzsuzdeli said in DNS over TLS ile telekomun yaptığı sınırlama aşılabilir mi ?:

    Pek çoğumuz 8.8.8.8 gibi Google'ın ya da başka büyük sağlayıcıların DNS sunucularını kullanıyoruz.
    Ancak telekom DNS zehirlemesi (spoofing / hijaking) yaptığından bir sürü siteye girmek problem.

    En son "cloudflare" 1.1.1.1 ip adresi ile public dns sunucularını hizmete sundu.
    Google'dan 4-5 kat daha hızlı dns çözüyor.
    Ancak Telekom bu sunucu için de hijaking yapmaya başladı.
    https://turkeyblocks.org/2018/04/02/new-cloudflare-dns-service-filtered-turkey/

    Bunu aşmak için pfsense üzerinden DNS over TLS yapmaya çalışıyorum.
    Şu sayfadaki yönergeleri uyguluyorum. https://www.netgate.com/blog/dns-over-tls-with-pfsense.html

    Ancak hala sitelerde sıkıntı yaşıyorum.

    Bu DNS problemini sizler nasıl aşıyorsunuz ?

    herkese merhaba
    telekomun yaptığı dns zehirlemesini dns over tls ile aşmanız mümkün değildir
    hatta dns over http ile de aşmanız mümkün değildir çünkü türk telekom deep packet injection kullanıyor bunu şu şekilde açıklayabiliriz siz web sitesine erişmeye çalıştığınızda sizden önce o sayfaya TCP reset paketi göndererek bağlantınızı sonlandırır ve tcp nin 3 lü el sıkışmayı tamamlanmasına imkan vermeden bağlantınızı koparır böylece dns de değiştirseniz dns şifrelesinizde hiç bir önemi yoktur turktelekomun DPI önlemenin yolu paketlerinizi devam edebilmesini sağlayacak şekilde tcp flaglarını düzenlemektir pakete müdahale edebilmek için windowsda bir driver var eğer yazılım bilginiz varsa bu driver ile tcp paketlerine müdahale edebilirsiniz (tcp packet re-injected ) bu işlem c# ve python la çok daha hızlı olur bence C++ yazılırsa en iyisidir dilin düşük seviyeli olması bu tip işlemlerde avantajınızadır

    c# çılar için nugetten yükleyebilirsiniz

    https://www.nuget.org/packages/WinDivertSharp

    eğer bunu firewallunuzun çıkış interface uygularsanız o firewall hiç bir yere takilmadan her sayfayı açacaktır yanında bir de DNS Crypt kullanılırsa anon bir kullanıcı haline gelirsiniz DNS bazında gizlilik sağlayabilirsiniz

    hangi metotlara ne parametre gönderilecek vs tüm açıklaması yazılımcılar için şurada mevcut
    https://reqrypt.org/windivert-doc.html

    ve son uyarı tcp packetlerle oynarken dikkat edin şirketi içinde ips varsa izole bir network kullanın
    şirket içindeki ips cihazları bozuk fragmente edilen paketlerde sorun çıkartabilir



  • Bu yöntemle TT'un yasakladığı ve sadece VPN ile girilebilen bazı siteler açılabiliyor bazı siteler dediğimiz gibi açılmıyor.



  • lokalde harici bir dns sunucu ile Kripto dns kullanmayı denediniz mi?