Есть ли обновления от разработчиков NextDNS по NextDNS и iCloud Private Relay? Согласно форумам NextDNS они работали с Apple во время бета-тестирования над решением, но каков сейчас статус, спустя 4 месяца? Для меня NextDNS показывает Cloudflare или Akamai, когда включен Private Relay.
Private Relay по сути является VPN. VPN используют свои собственные DNS. Apple должна разрешить своему ‘VPN’ использовать сторонние DNS. Я не думаю, что это произойдет, так как Apple слишком подозрительна.
Это в основном зависит от Apple, а не от NextDNS. Cloudflare и Akamai — одни из крупнейших компаний в мире, NextDNS даже близко не сравнить. Так что я прогнозирую — это либо никогда, либо очень долго.
Это работает уже несколько месяцев и теперь также подтверждено, что оно работает вместе в обзоре продуктов Apple.
Из документации Apple PDF:
Настройки пользовательского DNS … Если пользователь настроил зашифрованные пользовательские DNS через профиль или приложение, указанный DNS-сервер будет использоваться вместо ODoH. Соединения Safari и все незащищенные HTTP-соединения также будут разрешать имена, используя указанный DNS-сервер, до маршрутизации через Private Relay.
Apple действительно сказала в видео и упомянула Nextdns, что они работают над этим.
Я понимаю, что вы говорите. Исходя из вашей ссылки и того, на что ссылается OP, проблема в том, что Apple использует только NextDNS для проверки, заблокирован ли домен, а затем разрешает его с помощью iPR (двойные запросы), эффективно обходя NextDNS.
Команда NextDNS заявила, что Apple не смогла реализовать правильную интеграцию вовремя. Так что проблема остается у Apple.
Это зависит не от NextDNS, а от Apple. Услуга Apple — полноценный VPN, который перекрывает настройки DNS. Apple должна настроить свой VPN так, чтобы он разрешал работу сторонних DNS, делая это надежным образом, чтобы злоумышленники не смогли его обойти.
Вы можете проверить это сами, установив любой VPN и проверив свой DNS-резолвер. Затем поменяйте его на NextDNS в приложении VPN, и всё — теперь это NextDNS.
Причина, по которой отображается Akamai или Cloudflare, — это использование их сетей для сервиса iPR (iCloud Private Relay).
Пока что невозможно иметь и то, и другое. Это либо NextDNS, либо IPR.
Согласно Apple, NextDNS не обходится, а используется вместо ODoH (“указанный DNS-сервер будет использоваться вместо ODoH … перед маршрутизацией через Private Relay”).
Это не идеально для NextDNS, потому что есть дублирование и недостающие функции, но я не заметил никаких проблем после тестирования бета-версий, время отклика хорошее (<19 мс).
Я тоже жду идеального решения, но пока что хочу отметить, что оно уже работает с некоторыми ограничениями, в основном это статус-иконка, которая не работает в NextDNS, и путаница у пользователей.
Пока что, у вас не может быть и того, и другого. Это либо NextDNS, либо IPR.
Это неправда. Они используются вместе в каскаде.
Из документации Apple PDF:
Настройки пользовательского DNS … Если пользователь настроил зашифрованные пользовательские DNS через профиль или приложение, указанный DNS-сервер будет использоваться вместо ODoH. Соединения Safari и все незащищенные HTTP-соединения также разрешат имена, используя указанный DNS-сервер, до маршрутизации через Private Relay.
Ага, значит блокировка все ещё происходит, несмотря на (предположительно) двойные запросы?
Это кажется уничтожает аспект приватности iPR, но по крайней мере блокировка работает.
В любом случае, я не использую iPR, так как приватность — ложная надежда, даже если бы он работал правильно.
Он говорит о бета-версии IPR, скорее всего, а не NextDNS.
Вы можете проверить это очень просто. Загрузите Apple Profile Generator и настройте любой DoH сервер, который хотите. Установите профиль, выберите его, и увидите, что IPR его перепроизводит каждый раз. NextDNS предлагает профиль, который не использует их приложение. Всё поведение одинаковое.
Этот профиль просто инструктирует iOS использовать набор DoH серверов. Всё зависит от iOS, будет ли оно придерживаться этого, а с включенным IPR этого не произойдет.
Это неправда. Они используются вместе в каскаде.
Это не неправда, это реальность. Возможно, это должно работать, но не работает.
Да, блокировка работает, только индикаторы статуса и некоторые другие функции, такие как перезаписи DNS, не работают.
Из всего, что я прочитал, это не уменьшает анонимность самого сервиса Private Relay. Ни Apple, ни партнер CDN не знают, кто вы и куда вы направляетесь одновременно. Apple все еще использует прокси для входа, потому что им нужно географически определить IP для исходного прокси, этого аспекта не уничтожить, но всё через NextDNS неправильное, возможно, вы имели в виду?
Что касается ваших опасений по поводу PR? Из того, что я читал (в основном Hacker News и некоторые специалисты по безопасности в Twitter), это приближается к Tor и гораздо лучше любого VPN из-за своей технической архитектуры.
Это неправда. Как указано в OP ссылка на комментарий NextDNS, они действительно работают вместе, только некоторые функции ещё не поддерживаются (например, статус и так далее). Также в PDF документации Apple есть раздел о зашифрованных пользовательских DNS и о том, как оно работает вместе с Private Relay.
Многие пользуются ими вместе уже несколько месяцев. Просто нужно отключить страницу блокировки в NextDNS для заблокированных доменов.
Извините, что не работает у вас, у меня и у десятков других пользователей всё работает. Я использовал их вместе уже несколько месяцев без проблем.
Прошу понять, что я пытаюсь помочь, и поэтому делюсь этой информацией, а не просто хочу опровергнуть. Возможно, это изменит вашу ситуацию — чтобы они работали вместе…
Как указано здесь командой NextDNS (4 месяца назад), NextDNS и Private Relay работают вместе с некоторыми ограничениями. NextDNS «работали с Apple над этим и договорились о лучшем решении, но не смогли реализовать его вовремя для релиза».
Какие ограничения? Цитата из NextDNS:
- Наш статус-страница не будет работать должным образом
- Блокировка вообще не будет работать, если включена функция блок-пейдж
- Перезаписи не будут работать, и, следовательно, безопасный поиск и режим ограниченного YouTube не будут применяться расширением
- Тесты утечки DNS покажут другого резолвера, отличного от NextDNS
Если вы не активно используете пользовательские перезаписи DNS, всё, что вам нужно сделать, — отключить функцию отображения блок-страницы, которая находится в настройках и выполняет следующую функцию:
Отобразить страницу блокировки, когда домен заблокирован. Это может немного увеличить время загрузки страницы и иногда появится предупреждение HTTPS. При отключении запросы, которые заблокированы, ответятся неопределенным адресом (0.0.0.0 или ::).
Это только косметическая страница блокировки, которая не необходима для блокировки. Когда эта функция отключена, NextDNS блокирует рекламу и трекеры, всё что вы настроили в своих вкладках по безопасности и конфиденциальности. Индикатор статуса NextDNS на вкладке настройки и некоторые их тестовые сайты тоже не работают (отображается DNS Private Relay).
Это создает путаницу у пользователей, поэтому NextDNS не рекомендует использовать их вместе, пока Apple не внедрит «лучшее решение».
Многие используют NextDNS для блокировки рекламы/трэкиров, а не для перезаписи DNS или страницы блокировки.
Если учесть эти ограничения, вот несколько способов проверить, работают ли они вместе:
- Используйте страницы тестирования DNS, например, от Perfect Privacy, ipx, или browserleaks, чтобы убедиться, что вы используете сервера NextDNS. Некоторые из них покажут и NextDNS, и используемый CDN-партнер Private Relay (Cloudflare, Akamai или Fastly).
- Посмотрите в логах NextDNS и откройте страницы в Safari. Вы увидите, что ваши списки блокировки все еще работают, и также есть записи доменов Apple Private Relay, таких как mask.apple-dns.net, как показано на экране. Это дублирование DNS-запросов, о котором говорил NextDNS и о котором идет речь в документации Apple как использование пользовательского DNS “перед маршрутизацией через Private Relay”.
- Попробуйте открыть любую страницу, которую ваш настройка блокирует.
Это подтверждено при использовании зашифрованных DNS, например, с приложением NextDNS или профилем (DoH). Не зашифрованный DNS будет заменен Private Relay:
Если пользователь настроил зашифрованные пользовательские DNS через профиль или приложение, указанный DNS-сервер будет использоваться вместо ODoH. Safari и все незащищенные HTTP-соединения также разрешат имена, используя указанный DNS-сервер, до маршрутизации через Private Relay.
Не зашифрованный DNS-сервер, предоставленный локальной сетью или вручную отредактированный в настройках (iOS) или в системных настройках (macOS), не будет использоваться для трафика iCloud Private Relay.
Я не говорю, что PR плох для приватности, но существует много способов слежки, которым без разницы, используете ли вы VPN.
Конечно, это полезный инструмент, но я бы лучше сосредоточился на блокировке контента и управлении cookie/хранилищем, а не беспокоился о своей конечной точке.
Есть одно исключение, которое я могу попробовать — иногда я использую Shadowsocks, чтобы обходить попытки моего провайдера ограничить скорость. Провайдер иногда замедляет Reddit, но YouTube работает очень быстро. Когда я включаю Shadowsocks, скорость мгновенно и значительно увеличивается.
Типичные VPN не помогают, пока работает только Shadowsocks. Если PR сможет бороться с этим, то он будет стоить того.
Так что, какие ограничения? Цитата из NextDNS:
Наш статус-страница не работает должным образом
Ага. Вот основной метод, по которому я пришел к выводу, что “это не работает”. Думаю, я должен был расширить это на тест блокировки или что-то в этом духе. Спасибо за разъяснение, поставлю вам за это золотой рейтинг, мой друг!
Спасибо за прочтение и надеюсь, что это скоро заработает у вас тоже 