Asuswrt-Merlin'de DNS-Over-TLS sorgularını OpenVPN istemcisinden yapmak mümkün mü?

A

Augustus the Emperor

Decapat
Katılım
14 Kasım 2021
Mesajlar
5
Merhaba, bildiğiniz üzere ASUS marka yönlendiricilerde (router) Asuswrt-Merlin'in üçüncü parti Firmware'i kullanılırsa yönlendiriciye, en güvenilir DNS protokollerinden birisi olan, DNS-Over-Tls (dot) sunucusu eklenebiliyor ve çoklu OpenVPN istemcisi kurulabiliyor. Halihazırda yönlendiricimde bir tane reklam engellemesi yapan Dot ve 4 tane VPN istemcisi kurulu. Yerel ağda kayıtlı olan her aygıta DHCP'den farklı farklı DNS sunucuları eklenebilse de bunlar UDP 53. portu kullanan şifresiz ve güvensiz DNS protokolü oluyor. Keza VPN'nin kendi DNS protokolü de Dot değil. Dot'un en büyük dezavantajı, varsayılan olarak TCP 853. port kullanıldığı için ISS'lerin bu porta kolayca engel getirebilmesidir. Mesela Vodafone mobil internet; Cloudflare, Google, Quad9, AdGuard (bir ara bu da engelliydi) gibi kimi sunucular hariç bütün reklam engellemesi yapan ve 853. portu kullanan Dot sunucularına engel getirmiştir. Yarın öbür gün, sabit internet sağlayıcılarımızda da bu engellemenin olmayacağını kimse garanti edemez. 😕

İşte bu nedenle yönlendiricinin WAN ayarına eklediğim Dot sunucusunun DNS sorgularını, kendi ISS'm yerine halihazırda çalışan OpenVPN istemcisine yönlendirip yönlendiremeyeceğimi öğrenmek istedim. Hobi olarak bu gibi konuları merak ediyorum, yani Network'ün çalışma prensiplerine hakim değilim, bu yüzden bana yardımcı olabilirseniz çok sevinirim. 🙂
 
Son düzenleyen: Moderatör:
Tarihe göre sırala Puana göre sırala
Dümdüz dedi:
Sunucu sana mı ait? Eğer değilse OpenVPN cfg dosyasından DNS değiştirebilirsin.
Genişletmek için tıkla...
Sunucu benim değil, AdGuard'ın online dokümanında önerilen bir DoT'u kullanıyorum. OpenVPN konfigürasyonuyla değiştirdiğim DNS protokolü, bahsettiğim gibi UDP 53. portu kullanan bir DNS olacak. Amacım: Halihazırda kullandığım reklam engelleyen, şifreli ve güvenli DoT sunucusunun sorgularını OpenVPN'e yönlendirmek.
 
Artı 0 Eksi
Augustus the Emperor dedi:
Sunucu benim değil, AdGuard'ın online dokümanında önerilen bir DoT'u kullanıyorum. OpenVPN konfigürasyonuyla değiştirdiğim DNS protokolü, bahsettiğim gibi UDP 53. portu kullanan bir DNS olacak. Amacım: Halihazırda kullandığım reklam engelleyen, şifreli ve güvenli DoT sunucusunun sorgularını OpenVPN'e yönlendirmek.
Genişletmek için tıkla...
Şimdi doğru mu anladım,

1-OpenVPN bağlantısında DoT sunucusu kullanmak istiyorsunuz.
2-Modeme bağlı her cihazda VPN açık olmasa da sadece DNS sorgularını OpenVPN üzerinden geçirmek istiyorsunuz.

Hangisi?
 
Artı 0 Eksi
Dümdüz dedi:
Şimdi doğru mu anladım,

1-OpenVPN bağlantısında DoT sunucusu kullanmak istiyorsunuz.
2-Modeme bağlı her cihazda VPN açık olmasa da sadece DNS sorgularını OpenVPN üzerinden geçirmek istiyorsunuz.

Hangisi?
Genişletmek için tıkla...
İlk konum olduğu için daha ayrıntılı yazmalıydım belki de, kusura bakmayın.

Merlin VPN istemci ayarında, DNS konfigürasyonunu kapatılırsa WAN ayarındaki DoT veya DHCP'ye yazılan DNS sunucusu kullanılıyor. İşte bu sorgular kuvvetle muhtemel İSS'nin IP'si ile oluyor. Bu sorguyu, VPN'ye bağlı olsun ya da olmasın yerel ağdaki bütün aygıtlar için, herhangi bir aktif OpenVPN istemcisine yönlendirmek istiyorum. Yani, farklı konumlara bağlı olan 4 OpenVPN istemcisindeki aygıtlar ile misafir ağındaki VPN'e bağlı olmayan aygıtların DNS sorguları; WAN'da ekli olan DoT sunucusu üzerinden olacak ve bu sorgular mesela 1. sıradaki OpenVPN istemcisinden olacak.

"Sunucu sana mı ait? Eğer değilse OpenVPN cfg dosyasından DNS değiştirebilirsin."

"Sunucu"dan kastınızı DNS sunucusu olarak anlamıştım. Sanırım VPN'den bahsettiniz. Hem VPN hem de DNS sunucuları bana ait değil.
 
Son düzenleme:
Artı 0 Eksi
Augustus the Emperor dedi:
İlk konum olduğu için daha ayrıntılı yazmalıydım belki de, kusura bakmayın.

Merlin VPN istemci ayarında, DNS konfigürasyonunu kapatılırsa WAN ayarındaki DoT veya DHCP'ye yazılan DNS sunucusu kullanılıyor. İşte bu sorgular kuvvetle muhtemel ISS'nin IP'si ile oluyor. Bu sorguyu, VPN'ye bağlı olsun ya da olmasın yerel ağdaki bütün aygıtlar için, herhangi bir aktif OpenVPN istemcisine yönlendirmek istiyorum. Yani, farklı konumlara bağlı olan 4 OpenVPN istemcisindeki aygıtlar ile misafir ağındaki VPN'e bağlı olmayan aygıtların DNS sorguları; WAN'da ekli olan DoT sunucusu üzerinden olacak ve bu sorgular mesela 1. sıradaki OpenVPN istemcisinden olacak.

"Sunucu sana mı ait? Eğer değilse OpenVPN cfg dosyasından DNS değiştirebilirsin."

"Sunucu"dan kastınızı DNS sunucusu olarak anlamıştım. Sanırım VPN'den bahsettiniz. Hem VPN hem de DNS sunucuları bana ait değil.
Genişletmek için tıkla...

Benim kafam dağınık, kusura bakmayın. Anladığım kadarıyla: Eğer aksi bir yapılandırma yapılmadıysa, VPN bağlantısı sağladığınızda DNS sorgularınız ISP bağlantısı üzerinden sağlanmaz. Tüm ağ trafiğiniz, DNS sorguları dahil VPN üzerinden işlenir.

Siz OpenVPN bağlandığınız halde modemde ayarlanan DNS adresini görüyorsanız, (What's My DNS Server?) bu şekilde yapılandırdığınız içindir. Ya da modem-routerınız bu şekilde ayarlıyordur, ya da OVPN dosyasını aldığınız sunucuda bir DNS yapılandırması yoktur. Deneme yanılma yoluyla modemden DNS adresini kaldırıp, OpenVPN bağlıyken hangi DNS'e bağlı olduğunuzu yukarıda söylediğim internet sitesinden basitçe öğrenebilirsiniz.

Modemde DNS belirtilmeyip, OpenVPN bağlı iken DNS sunucunuz ISP sunucusu gözüküyorsa, OpenVPN dosyasına (ovpn) bir DNS ayarı ekleyebilirsiniz.
 
Artı 0 Eksi
Dümdüz dedi:
Benim kafam dağınık, kusura bakmayın. Anladığım kadarıyla: Eğer aksi bir yapılandırma yapılmadıysa, VPN bağlantısı sağladığınızda DNS sorgularınız ISP bağlantısı üzerinden sağlanmaz. Tüm ağ trafiğiniz, DNS sorguları dahil VPN üzerinden işlenir.

Siz OpenVPN bağlandığınız halde modemde ayarlanan DNS adresini görüyorsanız, (What's My DNS Server?) bu şekilde yapılandırdığınız içindir. Ya da modem-routerınız bu şekilde ayarlıyordur, ya da OVPN dosyasını aldığınız sunucuda bir DNS yapılandırması yoktur. Deneme yanılma yoluyla modemden DNS adresini kaldırıp, OpenVPN bağlıyken hangi DNS'e bağlı olduğunuzu yukarıda söylediğim internet sitesinden basitçe öğrenebilirsiniz.

Modemde DNS belirtilmeyip, OpenVPN bağlı iken DNS sunucunuz ISP sunucusu gözüküyorsa, OpenVPN dosyasına (ovpn) bir DNS ayarı ekleyebilirsiniz.
Genişletmek için tıkla...
Estağfurullah ne kusuru?

VPN'in DNS'i, "1.1.1.1, 8.8.8.8" şeklinde yazılıp TLS şifrelemesi yapmayan güvensiz bir protokolü kullandığı (UDP 53. port) ve reklam engellemediği için kullanmayı tercih etmiyorum. VPN istemcisindeki .ovpn dosyasına, mesela AdGuard'ın "94.140.14.14" adresini eklesem dahi bu da DNS-over-TLS gibi güvenli ve şifreli DNS olmayacak.

Şimdi yazacağım söz, bilgisizce ve komik gelebilir ama daha açık ve basit bir şekilde anlatmak için yine de yazacağım. Yerel ağa bağlı aygıtların statik yerel IP'lerini, OpenVPN istemcisine dahil etmek için VPN ayarlarına eklediğim gibi yönlendiricinin "192.168.x.x" şeklinde olan IP adresini de OpenVPN'e eklersem yönlendiricinin DoT DNS sorguları, saat sunucusu bağlantısı (pool.ntp.org), güncelleme kontrolü gibi bütün işlemleri VPN üzerinden olur mu?
 
Artı 0 Eksi
Augustus the Emperor dedi:
Estağfurullah ne kusuru?

VPN'in DNS'i, "1.1.1.1, 8.8.8.8" şeklinde yazılıp TLS şifrelemesi yapmayan güvensiz bir protokolü kullandığı (UDP 53. port) ve reklam engellemediği için kullanmayı tercih etmiyorum. VPN istemcisindeki .ovpn dosyasına, mesela AdGuard'ın "94.140.14.14" adresini eklesem dahi bu da DNS-over-TLS gibi güvenli ve şifreli DNS olmayacak.
Genişletmek için tıkla...
Augustus the Emperor dedi:
Estağfurullah ne kusuru?

VPN'in DNS'i, "1.1.1.1, 8.8.8.8" şeklinde yazılıp TLS şifrelemesi yapmayan güvensiz bir protokolü kullandığı (UDP 53. port) ve reklam engellemediği için kullanmayı tercih etmiyorum. VPN istemcisindeki .ovpn dosyasına, mesela AdGuard'ın "94.140.14.14" adresini eklesem dahi bu da DNS-over-TLS gibi güvenli ve şifreli DNS olmayacak.

Şimdi yazacağım söz, bilgisizce ve komik gelebilir ama daha açık ve basit bir şekilde anlatmak için yine de yazacağım. Yerel ağa bağlı aygıtların statik yerel IP'lerini, OpenVPN istemcisine dahil etmek için VPN ayarlarına eklediğim gibi yönlendiricinin "192.168.x.x" şeklinde olan IP adresini de OpenVPN'e eklersem yönlendiricinin DoT DNS sorguları, saat sunucusu bağlantısı (pool.ntp.org), güncelleme kontrolü gibi bütün işlemleri VPN üzerinden olur mu?
Genişletmek için tıkla...
Anladım, o kadar bilgim yok maalesef. DNS sorgularının ISP bağlantısı üzerinden karşılanması çok dert edilecek bir konu değil, DoT ve DoH olmadan önce öyleydi ancak bu bağlantı yöntemleriyle o kadar sorun olmaktan çıktı.


Alternatif olarak, size Cloudflare WARP önerebilirim. İstediklerinizden tek eksiği reklam engellemesi olur. DNS'i de DoT veya DoH değil, WARP yöntemiyle işler. Üstelik ücretsiz. Daha gelişmiş sürümü ise aylık 10TL. Modeme de uyarlanabiliyor, normalde uyarlanamıyor ancak bir yolunu bulup rehber konusunu açtım:

Rehber: Cloudflare WARP+ ile WireguardVPN profili oluşturmak

NOT: Konu güncelliğini yitirdi. Güncel konu: https://www.technopat.net/sosyal/konu/cloudflare-warp-yasagi-kaldirma-ve-optimizasyon-ayarlari-wireguard-endpoint.3369768/ Herkese selamlar. https://www.technopat.net/2019/05/12/cloudflare-warp-vpn-hizmetini-duyurdu/ Cloudflare WARP'ın Wireguard...
www.technopat.net www.technopat.net
 
Artı 0 Eksi
Öncelikle yardımcı olmaya çalıştığınız için teşekkür ederim.

Dümdüz dedi:
Anladım, o kadar bilgim yok maalesef. DNS sorgularının ISP bağlantısı üzerinden karşılanması çok dert edilecek bir konu değil, DoT ve DoH olmadan önce öyleydi ancak bu bağlantı yöntemleriyle o kadar sorun olmaktan çıktı.
Genişletmek için tıkla...
Fakat ben böyle düşünemiyorum. İstiyorum ama başaramıyorum. Çünkü ilk mesajda da belirttiğim gibi Vodafone müşterileri, DoT desteği sunan Android ve iOS aygıtlarda 853. porta getirilen sansürü aşamıyorlar. DoT kadar güvenilir olmayan DoH (HTTPS portu olan 443'ü kullanıyor.), Android'te şimdilik yalnızca tarayıcılar ve sahte VPN uygulamaları (AdGuard, Blokada, Nebulo vs.) ile kullanılıyor. DNSCrypt de çoğu yönlendirici ve mobil cihazda varsayılan olarak desteklenmiyor.

Neyse, olmadı SNBForums'ta bunu araştırmayı deneyeyim.
 
Artı 0 Eksi
Uyarı! Bu konu 5 yıl önce açıldı.
Muhtemelen daha fazla tartışma gerekli değildir ki bu durumda yeni bir konu başlatmayı öneririz. Eğer yine de cevabınızın gerekli olduğunu düşünüyorsanız buna rağmen cevap verebilirsiniz.

Benzer konular

L
2.4GHz modemi 5GHz yapmak mümkün mü?
Mesaj
5
Görüntüleme
229
laksii
L
Y
Modemdemden modeme internet erişimi yapmak mümkün mü?
Mesaj
0
Görüntüleme
262
yunusemre_y
Y
m.ilhan.t
  • Soru
Prizdeki kablolar ile internet bağlantısı yapmak mümkün mü?
Mesaj
4
Görüntüleme
613
m.ilhan.t
m.ilhan.t
2
  • Çözüldü
Çözüldü  2 Wi-Fi'yi tek yapmak mümkün mü?
2
Mesaj
14
Görüntüleme
1.161
237969
2
B
Modem + Router Kullanarak Kablolu Bağlantı Yapmak Mümkün Mü ?
Mesaj
1
Görüntüleme
2.174
Matrixxx7
Matrixxx7

Bu konuyu görüntüleyen kullanıcılar

Toplam: 2 (üye: 0, misafir: 2)

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı