С 1.1.1.1 не работает encrypted dns ?

1.1.1.1 ну не такой уж и частный. Это кажись cloudflare . На андроиде наверно по любому идёт через днс оператора.

как провайдер это делает

Блокирует соединение с «запрещенными» ресурсами. То, что ты смог узнать их ip-адреса у 1.1.1.1, мало что даёт. С тем же успехом ты мог их руками в hosts прописать.

На андроиде наверно по любому идёт через днс оператора.

На Андроиде можно настроить т.н. частный DNS, имеется ввиду свой, через него пойдут все DNS запросы. У меня настроено one.one.one.one.

Блокирует соединение с «запрещенными» ресурсами.

Что это значит? Ты мне кажется не понимаешь. Блокировать IP они не могут, иначе заблокируют пол-интернета, т.к. на одном IP может быть тысяча сайтов.

Выражусь чисто умозрительно. Если запрос таки проходит через провайдера , у него может быть список ресурсов , и наверно не обязательно блокировать айпи , можно просто завернуть лыжи у твоего запроса. Ну это я так , просто придумал ))

Контроль DNS не особо нужен для того, чтобы осуществлять блокировки. Блокируют в основном по IP и по SNI.

иначе заблокируют пол-интернета, т.к. на одном IP может быть тысяча сайтов

Половина ip-адресов cloudflare в реестре запрещенных, это не мешает доступности миллионам сайтов на них т.к. провайдеры блокируют по домену-хосту/sni.

Блокируют в основном по IP и по SNI.

Ага, теперь понятно. Почитал про SNI - понял что всё плохо. SNI не шифруется, что даёт возможность провайдерам блокировать HTTPS соединения почти со 100% вероятностью (если захотят). Провайдер очевидно этого захотел, а мобильный оператор - нет. Поэтому это работает через мобильные данные, просто потому, что оператор забил.

Как оказалось, всё ещё хуже. Придумали Encrypted SNI, но у него свои недостатки, и сперва добавив его в Firefox, теперь его убрали и насколько я понимаю этого расширения протокола нет сейчас нигде в браузерах. Вместо него потом придумали ECH, который, как я понял, на серверах в данное время почти нигде не реализован.

Поэтому получается из-за этой мелкой фигни не получится чувствовать себя +/- защищённо, какие бы HTTPS-only настройки и Encrypted DNS вы бы не использовали. Выход только VPN/TOR 😠😠

ECH есть уже в Хроме и FF и даже как-то пытается работать. У меня получилось его обнаружить на тестовых сайтах, но как-то не стабильно — то есть, то нет.

Но это не средство обхода блокировок, не стоит на него надеться.

а как работают всякие smartdns или controld позволяющие изменить локацию и обойти геоограничения для нетфликов, хулу итд?

можно ли нечто подобное поднять самому? из того, что нашёл это netflix-proxy и ещё пара проектов, но всё очень сырое

блокировать HTTPS

нуу помнится когда-то обсуждали закон, который обязывал всех провайдеров предоставлять ключи шифрования хттпс, ессна только на территории рф, ну они ж не звери. там ещё прикол был с комнатой для сотрудников с высокоскоростным соединением.

чувствовать себя +/- защищённо

вот напомнило рекламу тампонов O.K. DDDD защищённым ты никогда не будешь: есть запрос провайдеру, он знает кому ты его посылаешь, значит провайдер знает ты смотришь вк с работы, либо смотришь запрещёнку… а защищённость впн зависит не от тебя, а только лишь от желания владельцев впн (ага паранойа). тор, возможно некоторая защита есть, но почему жаба в торе стала такой популярной? (если юзаешь тор то не ведись на «храбрый браузер»)

ХАХА, cloudflare 1.1.1.1. это же у нас излюбленный спецслужбами DoH с такого можно только виртаулку качнуть с SDN Yandex