Пропал проводной интернет

rutgerg · # 26.11.2022 16:06

Добрый день. Сегодня после перезагрузки нет проводного интернета (wifi работает нормально). При вводе команды systemctl start dhcpcd интернет появляется. Такое ощущение, что пропал автозапуск dhcpcd.
Команда systemctl enable dhcpcd тоже вводилась. Перезагрузка и инета опять нет, опять systemctl start dhcpcd и интернет есть. Чё за прикол? Может кто подскажет?

rutgerg · # 26.11.2022 16:35

Дико извиняюсь, сам виноват. Откат обновлений на один день показал обновление пакета stubby, который использую для шифрования dns. Щас буду разбираться.

indeviral · # 26.11.2022 17:09

пальцем в небо.

# pacman -S openssl-1.1

vasek · # 26.11.2022 18:41

rutgerg, интересно, как проверяшь, что DNS действительно включен через TLS ?

EDIT - а проще использовать вместо stubby имеющийся systemd-resolved ??? - изменив не много файл /etc/systemd/resolved.conf

rutgerg · # 27.11.2022 14:11

vasek:изменив не много файл /etc/systemd/resolved.conf

Если не трудно, то подскажите источник, или как этим пользоваться. Сейчас попробывал dnscrypt-proxy, вроде как работает пока.
Проверяю с помощью termshark.

rutgerg · # 27.11.2022 14:14

Кстати, stubby почему то перестал работать. Правда я удалил dhcpcd ( иначе не мог отделаться от дополнительного ip адреса). Но вряд ли из-за этого.

vasek · # 27.11.2022 16:45

rutgerg:подскажите источник, или как этим пользоваться

Для начала рекомендую Wiki и эту статью …. а далее можешь погуглить для уточнения - так как некоторые используют немного другие параметры в resolved.conf. Но прежде чем их использовать желательно понимать, что это за параметры (options) и лучше смотреть man resolved.conf.
Лично я, когда экспериментировал с этим, то остановился на следующем

DNS=1.1.1.1
Domains=~.
DNSOverTLS=opportunistic

Работало нормально.
Но сейчас это не использую - не вижу смысла, так как заметил, что даже без всего этого в firefox почти все идет через 443 порт … а вот в palemoon через 53 порт.
Так что сначала рекомендую проанализировать, как там с этим у тебя … и если смысл заниматься этим ...

PS - правда в /etc/resolv.conf у меня прописано nameserver 8.8.8.8 .... nameserver 8.8.4.4 ... так как на 8.8.8.8 заработал DNS over TLS

PSS - забыл отметить один нюанс - я использую USB 3G modem

rutgerg · # 27.11.2022 18:36

vasek: Лично я, когда экспериментировал с этим, то остановился на следующем

Спасибо. Попробую.

vasek · # 28.11.2022 17:26

rutgerg:Попробую.

Рекомендую вообще ничего не ставить и не менять, а перейти на firefox, который сейчас является самым защищенным браузером в этом смысле.
Как уже писал выше

vasek:не вижу смысла, так как заметил, что даже без всего этого в firefox почти все идет через 443 порт

Немного пояснения - имеется 4 типа технологии
- Secure DNS - технология шифрования DNS-запросов, обеспечивает повышенную безопасность передачи данных посредством шифрования с использованием стандартов DNS-over-TLS или DNS-over-HTTPS.
- DNSSEC - выполняет проверку подлинности DNS-запросов, использует криптографию с открытым ключом, позволяет минимизировать атаки, связанные с подменой адресов DNS.
- TLS 1.3 - последняя на данный момент версия протокола защиты транспортного уровня, служащего для защиты данных, передаваемых между узлами в интернете. Для обеспечения повышенной безопасности протокол использует симметричное и асимметричное шифрование.
- Encrypted SNI - специальная технология шифрования, в задачи которой входят предотвращение получения сторонними наблюдателями информации о соединении.
На данный момент, как пишут, в firifox работают 2-е из 4-х технологий: DNSSEC и TLS 1.3 , другие 2-е (Secure DNS и Encrypted SNI) не подключены, находятся на стадии эксперимента.
Но не давно я проверил, активировалась и технология Secure DNS и этого вполне достаточно и не нужно ничего мудрить.
Можно проверить ngrep, но проще проверить online на этом сайте www.cloudflare.com/ssl/encrypted-sni - у меня показывает 3-и первых.
Конечно, нужно иметь ввиду, что 100% гарантии нет, имеются сайты на которых это не действуют, но это не будет действовать и во всех других случаях, которые рекомендуют.

PS - не забываем, результат проверки online (действующих в браузере технологий) зависит от запретов uMatrix .... не прав, причина в другом.

vasek · # 30.11.2022 13:14

Продолжение экспериментов.
Влез в это немного поглубже и выяснил
1. Mozilla отказалась от поддержки ESNI (Encrypted Server Name Indication) в пользу ECH (Encrypted Client Hello)
(и стало понятно почему в about:config исчез параметр network.security.esni.enabled, что делает не возможным активацию ESNI).
2. Технология ECH в firefox по дефолту не активирована. Для ее активации нужно значения следующих параметров изменить на true и перезапустить firefox

network.dns.echconfig.enabled 
network.dns.use_https_rr_as_altsvc

3. Но есть нюанс - Cloudflare, как провайдер данного сервиса, эту технологию еще не включил (firefox идет с опережением) и поэтому эта технология пока формальна … не смотря на то, что на сайте проверки Cloudflare все 4-е технологии показаны действущими.
Результаты вывода ngrep без активации ECH и с активацией ECH подробно не сравнивал ... но решил оставить технологию ECH включеной.

PS - забыл отметить, что имеется Frefox ESR, в котором оставили подержку ESNI (есть в AUR) ... но особого смысла в этом не вижу.