альтернативный DNS EmerCoin

[Olej]

Заполните форму с CSR

Как оказалось, технически это не так просто сделать (инструкция слишком скудная):
Certificate Signing Request

Download Subject Alternative Name (SAN) example

1. Получите файл req_san_example.conf (лучше его сохранить под другим именем) ...
2. Редактируем (что интуитивно совсем не так просто понять) ... примерно так:

Код: Выделить всё

olej@R420:~/2023/own.WORK/DNS/OpenNIC$ cat req_san_example.conf 
[req]
	distinguished_name = req_distinguished_name
	req_extensions = v3_req
	prompt = no
	[req_distinguished_name]
	C = UA
	ST = UA
	L = Kharkov
	O = Postmet
	OU = POSTMET
	CN = linux-ru.lib
	[v3_req]
	keyUsage = keyEncipherment, dataEncipherment
	extendedKeyUsage = serverAuth
	subjectAltName = @alt_names
	[alt_names]
	DNS.1 = linux-ru.lib
	DNS.2 = www.linux-ru.lib
	DNS.3 = *.linux-ru.lib

(Как видите, абревиатуры там не совсем очевидные ... редактируем 7 строк)
3. Генерация (команду-пример редактируем в 2-х полях):

Код: Выделить всё

olej@R420:~/2023/own.WORK/DNS/OpenNIC$ openssl req -new -out linux-ru.lib.csr -newkey rsa:2048 -nodes -sha256 -keyout linux-ru.lib.key -config req_san_example.conf
........+......+......+.......+........+............+......+.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*........+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*...+................+...+..+......+.......+...........+.+...+...+.........+........+...+............+......+.+...+......+............+..+..........+............+......+..+......+.+.....+.+..+......+.......+..............+...+......+....+..+.+...+...........+....+...........+....+......+...+...+.....+...+.+...+.....+......+...................+...+..+.............+.....+.........+...+.+..+....+.........+..+...+............+...................+.....+.........+.+.....+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
......+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.+......+.+......+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*................+..+.........+.......+...+.........+...........+.+......+.....+...+......+...+.......+.....+...+.+.....+.+...........+...+.+...+...........+.+..........................+...+.....................+.+...+..+.......+...........+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
-----

В результате получаем:

Код: Выделить всё

olej@R420:~/2023/own.WORK/DNS/OpenNIC$ ls -l linux-ru.lib.*
-rw-rw-r-- 1 olej olej 1151 фев 28 08:25 linux-ru.lib.csr
-rw------- 1 olej olej 1704 фев 28 08:25 linux-ru.lib.key

4. Заполняем поля на странице (у меня это успешно получилось ... раза с 10-го - каждый раз всё заполняем заново):

Снимок экрана от 2023-02-28 11-12-43.png (115.95 КБ) 307 просмотров

В форму (Paste request...) копируем содержимое файла linux-ru.lib.csr
Send request ... до тех пор пока не получим сообщение об успешности, типа такого:

You certificate signing request succesfully received!
Name: Oleg Tsiliuric
Email: o.tsiliuric@yandex.ru
Company: private
Secured domain: linux-ru.lib
Certificate Signing Request:
...
Client IP: 193.28.177.124
Req ID: e52b5cd74af750de
Req DateTime: 2023-02-28T06:50:31
Please wait, we are validate request every hour

INFO: Data CSR successfully write.
INFO: Data client successfully write.

5. Через минут 20 или 60 - на указанный мэйл приходит письмо с содержимым сертификата в тексте:

Aproved.

-----BEGIN CERTIFICATE-----
MIIEBzCCAu+gAwIBAgICAPIwDQYJKoZIhvcNAQELBQAwYDEoMCYGA1UEChMfbHZt
LnBvc3RtZXQuY29tIFNlY3VyaXR5IERvbWFpbjETMBEGA1UECxMKcGtpLXRvbWNh
dDEfMB0GA1UEAxMWQ0EgU2lnbmluZyBDZXJ0aWZpY2F0ZTAeFw0yMzAyMjgwNzMw
MTNaFw0yOTA4MTcxMTIwMzJaMGcxCzAJBgNVBAYTAlVBMQswCQYDVQQIDAJVQTEQ
MA4GA1UEBwwHS2hhcmtvdjEQMA4GA1UECgwHUG9zdG1ldDEQMA4GA1UECwwHUE9T
...

[Olej]

И по итогу:

Но разрешается имя linux-ru.lib через шлюз альтернативных зон OpenNIC DNS.
P.S. Есть несколько других способов - через блокчейн EmerCoin ... но это менее традиционно и сложнее, хотя и с некоторыми преимуществами.

Для того чтобы шло разрешение имён Интернета (как общих, так и альтернативных) - нужно использовать в качестве IP DSN серверов сервера OpenNIC.
И прописать в Linux сервера OpenNIC можно в кэширующий DNS systemd (там детально описаны настройки):

Код: Выделить всё

olej@R420:~$ resolvectl status
Global
           Protocols: +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
    resolv.conf mode: stub
  Current DNS Server: 94.247.43.254
         DNS Servers: 94.16.114.254 94.247.43.254 51.254.162.59 194.36.144.87
Fallback DNS Servers: 192.168.1.3 1.1.1.1 8.8.4.4

Link 2 (eno1)
Current Scopes: LLMNR/IPv4
     Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

Link 3 (eno2)
Current Scopes: LLMNR/IPv4
     Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

В итоге:

Код: Выделить всё

olej@R420:~$ nslookup linux-ru.ru
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	linux-ru.ru
Address: 90.156.230.27

Код: Выделить всё

olej@R420:~$ nslookup linux-ru.lib
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	linux-ru.lib
Address: 90.156.230.27

[Olej]

На сервере (форума) запущена сеть Yggdrasil.
В связи с чем у сервера появился дополнительный адрес IPv6:

Код: Выделить всё

olej@277938:~$ ip a s dev tun0
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 53049 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none 
    inet6 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771/7 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::d86f:9577:d828:cb4d/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

Поэтому нужно организовать DNS (альтернативное) разрешение адреса IPv6, а для этого организовать и дополнительные субдомен для доступа в пространстве IPv6 (Yggdrasil) - это всё делаем в кошельке крипты Emercoin.

[Olej]

Поэтому нужно организовать DNS (альтернативное) разрешение адреса IPv6, а для этого организовать и дополнительные субдомен для доступа в пространстве IPv6 (Yggdrasil) - это всё делаем в кошельке крипты Emercoin.

Поехали...
Редактируем существующую запись относительно IPv4: dns:linux-ru.lib - меняем значение из A=90.156.230.27 на A=90.156.230.27|SD=ygg, что означает что объявляется субдомен с таким именем: ygg.linux-ru.lib

Снимок экрана от 2023-04-04 11-24-01.png (53.61 КБ) 245 просмотров

Через некоторое (небольшое) время значение обновлено - изменение зафиксировалось по блокчейну:

Снимок экрана от 2023-04-04 11-27-12.png (49.08 КБ) 245 просмотров

[Olej]

объявляется субдомен с таким именем: ygg.linux-ru.lib

Теперь для этого субдомена добавляем ещё одну запись типа AAAA (IPv6):

Снимок экрана от 2023-04-04 11-30-07.png (55.03 КБ) 244 просмотра

Опять же, через некоторое время:

Снимок экрана от 2023-04-04 11-31-46.png (52.58 КБ) 244 просмотра

[Olej]

Проверяю ... из хоста LAN:

Код: Выделить всё

olej@R420:~$ host linux-ru.lib
linux-ru.lib has address 90.156.230.27

Код: Выделить всё

olej@R420:~$ host ygg.linux-ru.lib
ygg.linux-ru.lib has IPv6 address 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771

И для сравнения - "родной" URL форума:

Код: Выделить всё

olej@R420:~$ host linux-ru.ru
linux-ru.ru has address 90.156.230.27
linux-ru.ru mail is handled by 10 mx2.timeweb.ru.
linux-ru.ru mail is handled by 10 mx1.timeweb.ru.

Код: Выделить всё

olej@R420:~$ ping -c3 ygg.linux-ru.lib
PING ygg.linux-ru.lib(221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 (221:58c9:9a6:99be:f3d:c1ac:2b5b:9771)) 56 data bytes
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 (221:58c9:9a6:99be:f3d:c1ac:2b5b:9771): icmp_seq=1 ttl=64 time=136 ms
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 (221:58c9:9a6:99be:f3d:c1ac:2b5b:9771): icmp_seq=2 ttl=64 time=137 ms
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771: icmp_seq=3 ttl=64 time=136 ms

--- ygg.linux-ru.lib ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 20288ms
rtt min/avg/max/mdev = 135.558/135.926/136.653/0.514 ms

[Olej]

Проверяю ... из хоста LAN:

Обратим внимание ...

Работа с форумом по этому альтерантивному имени (linux-ru.ru) будет происходить нормально только если в рабочем браузере отключены любые дополнения-расширения VPN и proxy
Почему?
Да потому что разрешение этого имени (linux-ru.ru) в IPv4 происходит только через OpenNIC DNS (или, если совсем точно, через локальный кэширующий DNS systemd, сконфигурированный приоритетно на OpenNIC DNS)

Но т.к. у нас есть возможность собственного SOCKS proxy, то можно и его кэширующий DNS systemd сконфигурировать на использование OpenNIC DNS ... и тогда мы получаем свой исключительный прокси, который работает с альтернативными доменами - даже по запросам клиентов, не знающим ничего про альтернативные доменнные имена
Нужно обязательно попробовать.

[Olej]

Но т.к. у нас есть возможность собственного SOCKS proxy, то можно и его кэширующий DNS systemd сконфигурировать на использование OpenNIC DNS ... и тогда мы получаем свой исключительный прокси, который работает с альтернативными доменами - даже по запросам клиентов, не знающим ничего про альтернативные доменнные имена
Нужно обязательно попробовать.

Сделал.
Не сработало.
Надо разбираться.

[Olej]

Эта тема переползла вот отсюда: OpenNIC DNS и EmerCoin

Это было всё разрешение через сервера OpenNIC DNS.
Но доменные имена EmerCoin можно разрешать и непосредсвенно через локальный кошелёк EmerCoin - Интеграция в обычное дерево DNS:

Во-первых, нужно активировать RFC1034 сервер DNS в Emercoin по задав два необязательных параметра в emercoin.conf конфигурационном файле, emcdns и emcdnsport :

Код: Выделить всё

emcdns=1 # Запускать DNS сервер. По умолчанию 0 (отключен)
emcdnsport=NNN # Порт для DNS, по умолчанию 5335

Чтобы интегрировать DNS-сервер Emercoin в обычное DNS-дерево, вы можете использовать полнофункциональный DNS или кэширующий DNS.

[Olej]

непосредсвенно через локальный кошелёк EmerCoin

Проверяем:

Код: Выделить всё

olej@R420:~/sdc3/emercoin.0.7$ grep \# emercoin.conf 
emcdns=1        # Запускать DNS сервер
emcdnsport=5335 # Порт для DNS, по умолчанию 5353

emercoin.conf - в том каталоге где находится блокчейн:

Код: Выделить всё

olej@R420:~/sdc3/emercoin.0.7$ ls -l wallet.dat 
-rw------- 1 olej olej 757760 мая 26 20:23 wallet.dat

После запуска:

Код: Выделить всё

olej@R420:~/2023/EmerCoin$ sudo netstat -tunlp | grep emer
udp6       0      0 :::5335                 :::*                                249071/./emercoin-v 

Код: Выделить всё

olej@R420:~/2023/EmerCoin$ host -p 5335 linux-ru.lib 127.0.0.1 
Using domain server:
Name: 127.0.0.1
Address: 127.0.0.1#5335
Aliases: 

linux-ru.lib has address 90.156.230.27

Код: Выделить всё

olej@R420:~/2023/EmerCoin$ dig flibusta.lib @127.0.0.1 -p 5335

; <<>> DiG 9.18.12-0ubuntu0.22.04.1-Ubuntu <<>> flibusta.lib @127.0.0.1 -p 5335
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6538
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;flibusta.lib.			IN	A

;; ANSWER SECTION:
flibusta.lib.		3600	IN	A	179.43.150.83

;; Query time: 16 msec
;; SERVER: 127.0.0.1#5335(127.0.0.1) (UDP)
;; WHEN: Fri May 26 19:41:17 EEST 2023
;; MSG SIZE  rcvd: 57

Все EmerDNS благополучно разрешаются!
При этом:
- это быстро, локально...
- провайдер (как минимум) не видит наши обращения за DNS