Страница 2 из 3
децентрализованный альтернативный DNS
Добавлено: 28 фев 2023, 12:19
Olej
Olej писал(а): ↑28 фев 2023, 12:00
Заполните форму с CSR
Как оказалось,
технически это не так просто сделать (инструкция слишком скудная):
Certificate Signing Request
Download Subject Alternative Name (SAN) example
1. Получите файл req_san_example.conf (лучше его сохранить под другим именем) ...
2. Редактируем (что интуитивно совсем не так просто понять) ... примерно так:
Код: Выделить всё
olej@R420:~/2023/own.WORK/DNS/OpenNIC$ cat req_san_example.conf
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = UA
ST = UA
L = Kharkov
O = Postmet
OU = POSTMET
CN = linux-ru.lib
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = linux-ru.lib
DNS.2 = www.linux-ru.lib
DNS.3 = *.linux-ru.lib
(Как видите, абревиатуры там не совсем очевидные ... редактируем 7 строк)
3. Генерация (команду-пример редактируем в 2-х полях):
Код: Выделить всё
olej@R420:~/2023/own.WORK/DNS/OpenNIC$ openssl req -new -out linux-ru.lib.csr -newkey rsa:2048 -nodes -sha256 -keyout linux-ru.lib.key -config req_san_example.conf
........+......+......+.......+........+............+......+.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*........+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*...+................+...+..+......+.......+...........+.+...+...+.........+........+...+............+......+.+...+......+............+..+..........+............+......+..+......+.+.....+.+..+......+.......+..............+...+......+....+..+.+...+...........+....+...........+....+......+...+...+.....+...+.+...+.....+......+...................+...+..+.............+.....+.........+...+.+..+....+.........+..+...+............+...................+.....+.........+.+.....+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
......+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.+......+.+......+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*................+..+.........+.......+...+.........+...........+.+......+.....+...+......+...+.......+.....+...+.+.....+.+...........+...+.+...+...........+.+..........................+...+.....................+.+...+..+.......+...........+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
-----
В результате получаем:
Код: Выделить всё
olej@R420:~/2023/own.WORK/DNS/OpenNIC$ ls -l linux-ru.lib.*
-rw-rw-r-- 1 olej olej 1151 фев 28 08:25 linux-ru.lib.csr
-rw------- 1 olej olej 1704 фев 28 08:25 linux-ru.lib.key
4. Заполняем поля на странице (у меня это успешно получилось ... раза с 10-го - каждый раз всё заполняем заново):
- Снимок экрана от 2023-02-28 11-12-43.png (115.95 КБ) 715 просмотров
В форму (Paste request...) копируем
содержимое файла linux-ru.lib.csr
Send request ... до тех пор пока не получим сообщение об успешности, типа такого:
You certificate signing request succesfully received!
Name: Oleg Tsiliuric
Email:
o.tsiliuric@yandex.ru
Company: private
Secured domain: linux-ru.lib
Certificate Signing Request:
...
Client IP: 193.28.177.124
Req ID: e52b5cd74af750de
Req DateTime: 2023-02-28T06:50:31
Please wait, we are validate request every hour
INFO: Data CSR successfully write.
INFO: Data client successfully write.
5. Через минут 20 или 60
- на указанный мэйл приходит письмо с
содержимым сертификата в тексте:
Aproved.
-----BEGIN CERTIFICATE-----
MIIEBzCCAu+gAwIBAgICAPIwDQYJKoZIhvcNAQELBQAwYDEoMCYGA1UEChMfbHZt
LnBvc3RtZXQuY29tIFNlY3VyaXR5IERvbWFpbjETMBEGA1UECxMKcGtpLXRvbWNh
dDEfMB0GA1UEAxMWQ0EgU2lnbmluZyBDZXJ0aWZpY2F0ZTAeFw0yMzAyMjgwNzMw
MTNaFw0yOTA4MTcxMTIwMzJaMGcxCzAJBgNVBAYTAlVBMQswCQYDVQQIDAJVQTEQ
MA4GA1UEBwwHS2hhcmtvdjEQMA4GA1UECgwHUG9zdG1ldDEQMA4GA1UECwwHUE9T
...
децентрализованный альтернативный DNS
Добавлено: 08 мар 2023, 11:44
Olej
Olej писал(а): ↑26 фев 2023, 23:29
И по итогу:
Но
разрешается имя linux-ru.lib через шлюз альтернативных зон
OpenNIC DNS.
P.S. Есть несколько других способов - через блокчейн EmerCoin ... но это менее традиционно и сложнее, хотя и с некоторыми
преимуществами.
Для того чтобы шло разрешение имён Интернета (как общих, так и альтернативных) - нужно использовать в качестве IP DSN серверов сервера OpenNIC.
И прописать в Linux сервера OpenNIC можно в
кэширующий DNS systemd (там детально описаны настройки):
Код: Выделить всё
olej@R420:~$ resolvectl status
Global
Protocols: +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 94.247.43.254
DNS Servers: 94.16.114.254 94.247.43.254 51.254.162.59 194.36.144.87
Fallback DNS Servers: 192.168.1.3 1.1.1.1 8.8.4.4
Link 2 (eno1)
Current Scopes: LLMNR/IPv4
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Link 3 (eno2)
Current Scopes: LLMNR/IPv4
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
В итоге:
Код: Выделить всё
olej@R420:~$ nslookup linux-ru.ru
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: linux-ru.ru
Address: 90.156.230.27
Код: Выделить всё
olej@R420:~$ nslookup linux-ru.lib
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: linux-ru.lib
Address: 90.156.230.27
децентрализованный альтернативный DNS
Добавлено: 04 апр 2023, 11:55
Olej
На сервере (форума) запущена сеть
Yggdrasil.
В связи с чем у сервера появился
дополнительный адрес IPv6:
Код: Выделить всё
olej@277938:~$ ip a s dev tun0
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 53049 qdisc pfifo_fast state UNKNOWN group default qlen 500
link/none
inet6 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771/7 scope global
valid_lft forever preferred_lft forever
inet6 fe80::d86f:9577:d828:cb4d/64 scope link stable-privacy
valid_lft forever preferred_lft forever
Поэтому нужно организовать DNS (альтернативное) разрешение адреса IPv6, а для этого организовать и дополнительные
субдомен для доступа в пространстве IPv6 (Yggdrasil) - это всё делаем в кошельке крипты Emercoin.
децентрализованный альтернативный DNS
Добавлено: 04 апр 2023, 12:01
Olej
Olej писал(а): ↑04 апр 2023, 11:55
Поэтому нужно организовать DNS (альтернативное) разрешение адреса IPv6, а для этого организовать и дополнительные субдомен для доступа в пространстве IPv6 (Yggdrasil) - это всё делаем в кошельке крипты Emercoin.
Поехали...
Редактируем существующую запись относительно IPv4: dns:linux-ru.lib - меняем значение из A=90.156.230.27 на A=90.156.230.27|SD=ygg, что означает что объявляется
субдомен с таким именем: ygg.linux-ru.lib
- Снимок экрана от 2023-04-04 11-24-01.png (53.61 КБ) 653 просмотра
Через некоторое (небольшое) время значение обновлено - изменение зафиксировалось по блокчейну:
- Снимок экрана от 2023-04-04 11-27-12.png (49.08 КБ) 653 просмотра
децентрализованный альтернативный DNS
Добавлено: 04 апр 2023, 12:03
Olej
Olej писал(а): ↑04 апр 2023, 12:01
объявляется субдомен с таким именем: ygg.linux-ru.lib
Теперь для этого субдомена
добавляем ещё одну запись типа AAAA (IPv6):
- Снимок экрана от 2023-04-04 11-30-07.png (55.03 КБ) 652 просмотра
Опять же, через некоторое время:
- Снимок экрана от 2023-04-04 11-31-46.png (52.58 КБ) 652 просмотра
децентрализованный альтернативный DNS
Добавлено: 04 апр 2023, 12:12
Olej
Проверяю ... из хоста LAN:
Код: Выделить всё
olej@R420:~$ host linux-ru.lib
linux-ru.lib has address 90.156.230.27
Код: Выделить всё
olej@R420:~$ host ygg.linux-ru.lib
ygg.linux-ru.lib has IPv6 address 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771
И для сравнения - "родной" URL форума:
Код: Выделить всё
olej@R420:~$ host linux-ru.ru
linux-ru.ru has address 90.156.230.27
linux-ru.ru mail is handled by 10 mx2.timeweb.ru.
linux-ru.ru mail is handled by 10 mx1.timeweb.ru.
Код: Выделить всё
olej@R420:~$ ping -c3 ygg.linux-ru.lib
PING ygg.linux-ru.lib(221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 (221:58c9:9a6:99be:f3d:c1ac:2b5b:9771)) 56 data bytes
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 (221:58c9:9a6:99be:f3d:c1ac:2b5b:9771): icmp_seq=1 ttl=64 time=136 ms
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 (221:58c9:9a6:99be:f3d:c1ac:2b5b:9771): icmp_seq=2 ttl=64 time=137 ms
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771: icmp_seq=3 ttl=64 time=136 ms
--- ygg.linux-ru.lib ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 20288ms
rtt min/avg/max/mdev = 135.558/135.926/136.653/0.514 ms
децентрализованный альтернативный DNS
Добавлено: 07 апр 2023, 23:50
Olej
Olej писал(а): ↑04 апр 2023, 12:12
Проверяю ... из хоста LAN:
Обратим внимание ...
Работа с форумом по этому альтерантивному имени (linux-ru.ru) будет происходить нормально
только если в рабочем браузере
отключены любые дополнения-расширения VPN и proxy
Почему?
Да потому что разрешение этого имени (linux-ru.ru) в IPv4 происходит только через
OpenNIC DNS (или, если совсем точно, через локальный
кэширующий DNS systemd, сконфигурированный приоритетно на OpenNIC DNS)
Но т.к. у нас есть возможность
собственного SOCKS proxy, то можно и его кэширующий DNS systemd сконфигурировать на использование OpenNIC DNS ... и тогда мы получаем свой исключительный прокси, который работает с
альтернативными доменами - даже по запросам клиентов, не знающим ничего про альтернативные доменнные имена
Нужно обязательно попробовать.
децентрализованный альтернативный DNS
Добавлено: 08 апр 2023, 18:50
Olej
Olej писал(а): ↑07 апр 2023, 23:50
Но т.к. у нас есть возможность собственного SOCKS proxy, то можно и его кэширующий DNS systemd сконфигурировать на использование OpenNIC DNS ... и тогда мы получаем свой исключительный прокси, который работает с альтернативными доменами - даже по запросам клиентов, не знающим ничего про альтернативные доменнные имена
Нужно обязательно попробовать.
Сделал.
Не сработало.
Надо разбираться.
децентрализованный альтернативный DNS EmerCoin
Добавлено: 26 май 2023, 20:23
Olej
Olej писал(а): ↑23 фев 2023, 20:13
Эта тема переползла вот отсюда: OpenNIC DNS и EmerCoin
Это было всё разрешение через сервера OpenNIC DNS.
Но доменные имена EmerCoin можно разрешать и непосредсвенно через локальный кошелёк EmerCoin -
Интеграция в обычное дерево DNS:
Во-первых, нужно активировать RFC1034 сервер DNS в Emercoin по задав два необязательных параметра в emercoin.conf конфигурационном файле, emcdns и emcdnsport :
Код: Выделить всё
emcdns=1 # Запускать DNS сервер. По умолчанию 0 (отключен)
emcdnsport=NNN # Порт для DNS, по умолчанию 5335
Чтобы интегрировать DNS-сервер Emercoin в обычное DNS-дерево, вы можете использовать полнофункциональный DNS или кэширующий DNS.
децентрализованный альтернативный DNS EmerCoin
Добавлено: 26 май 2023, 20:27
Olej
Olej писал(а): ↑26 май 2023, 20:23
непосредсвенно через локальный кошелёк EmerCoin
Проверяем:
Код: Выделить всё
olej@R420:~/sdc3/emercoin.0.7$ grep \# emercoin.conf
emcdns=1 # Запускать DNS сервер
emcdnsport=5335 # Порт для DNS, по умолчанию 5353
emercoin.conf - в том каталоге где находится блокчейн:
Код: Выделить всё
olej@R420:~/sdc3/emercoin.0.7$ ls -l wallet.dat
-rw------- 1 olej olej 757760 мая 26 20:23 wallet.dat
После запуска:
Код: Выделить всё
olej@R420:~/2023/EmerCoin$ sudo netstat -tunlp | grep emer
udp6 0 0 :::5335 :::* 249071/./emercoin-v
Код: Выделить всё
olej@R420:~/2023/EmerCoin$ host -p 5335 linux-ru.lib 127.0.0.1
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#5335
Aliases:
linux-ru.lib has address 90.156.230.27
Код: Выделить всё
olej@R420:~/2023/EmerCoin$ dig flibusta.lib @127.0.0.1 -p 5335
; <<>> DiG 9.18.12-0ubuntu0.22.04.1-Ubuntu <<>> flibusta.lib @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6538
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;flibusta.lib. IN A
;; ANSWER SECTION:
flibusta.lib. 3600 IN A 179.43.150.83
;; Query time: 16 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1) (UDP)
;; WHEN: Fri May 26 19:41:17 EEST 2023
;; MSG SIZE rcvd: 57
Все EmerDNS благополучно разрешаются!
При этом:
- это быстро, локально...
- провайдер (как минимум) не видит наши обращения за DNS