keenet07

Так это смотря что и где блокировать. Можно заблокировать только внутренние запросы или ответы админки ещё до ухода в туннель. Нужно только выявить правильный интерфейс, адрес и порт.

А дополнительно заблокировать правилом доступ к админке в Межсетевом экране разве нельзя в этой схеме? Но наличие такой галочки поддержу.

Да. Пока только там это работает. )

Блокировка по IP не выше по эффективности чем по домену и по адресу в пакетах. Пиратский сайт просто меняет либо IP, либо хостера и продолжает работать на том же доменном имени. И народ не теряется в поисках нового сайта или зеркала. Иногда просто переадрессацию ставят на главной странице.

@Himmler Пробовали через официальную тех.поддержку вопрос решить? Тут явно требуется больше сведений чем вы дали в первом сообщении. https://help.keenetic.com/hc/ru снизу.

Если временно отключить KeenDNS ситуация не меняется? Вы случайно ничего лишнего в брандмауэре не заблокировали? Возможно роутер не может обновить сертификат. Но я не утверждаю.

Если кто не понял, то сейчас все прямые запросы к произвольным DNS серверам спокойно проходят в открытом виде, даже если вы настроили DoT/DoH на роутере. То что я предлагаю даст возможность перенаправить эти не подконтрольные DNS запросы либо на выбранные вами открытые DNS сервера, либо на выбранные вами DoT/DoH сервера в зашифрованном виде. Кстати, помимо того, что через эту уязвимость могут незаметно переслать какие-то ваши данные, ничто не помешает через этот не очевидный канал установить прямой сеанс управления троянцем на вашем ПК в интерактивном режиме. Возможно через эти запросы переслать и бинарный код преобразованный в ASCII код. Таким образом троянец послужит загрузчиком другого вредоноса с требуемым функционалом. И никакая сетевая защита ничего не покажет. Простой Брандмауэр ничего не заблокирует. Можно конечно заблокировать всю сетевую активность для новых неизвестных программ запускающихся на ПК. Но для этого нужен хороший файрвол с подобной возможностью. В общем далеко не каждый такой себе ставит и правильно конфигурирует. Давайте закроем эту брешь ещё на уровне роутера. В первую очередь эта фишка нужна простым пользователям. Как говорится включил и забыл. Одним уязвимым местом станет меньше. Профи конечно могут и самостоятельно настроить соответствующим образом iptables.

Просьба реализовать возможность перенаправления транзитных для DNS роутера запросов на собственные DNS роутера. Под транзитными я понимаю прямые запросы с клиентов к произвольным DNS серверам на 53 порту. Например такой "nslookup ya.ru 8.8.8.8". Такой запрос пройдёт в открытом виде независимо от настроенного на работу с DOT/DOH DNS сервером. Данная функция должна легко включаться и при необходимости отключаться. Реализовать можно как отдельный фильтр в Интернет-фильтрах. Многие программы используют в разных целях такие прямые обращения к DNS, тем самым засвечивая такие запросы и открывая их для атаки "человек посредине". Так же некоторые трояны пользуются тем, что выход на 53 порту к DNS практически всегда разрешён на файрволе и через такие обращения могут передавать на свой подставной DNS сервер любую текстовую информацию, например ваши логины и пароли от учетных записей. Данная функция конечно не защитит вас полностью от подобных утечек. Но во всяком случае ваши данные не попадут в руки тех кто на них нацелился. Данная тема так же имела обсуждение здесь В общем всех не равнодушных прошу проголосовать за данную тему стрелочкой вверх в заголовке топика.

В общем поковырялся сам. Снял дамп. Увидел что все запросы со всех этих DNS идут только на dns-family.adguard.com dns.adguard.com Т.е. служебный трафик AdGuard. Но вопрос остается открытым. Для чего он всё время обновляет информацию по этим адресам даже когда везде выбрано "Без фильтрации"? А он это делает часто. Можно ли так оптимизировать код, чтоб лишних действий просто так не выполнялось? И соответственно эти UDP 53 в Активных соединениях не светились зря. Пусть обновляет только тогда когда активирован фильтр хотя бы на одном из устройств.

Вы понимаете что ваш выбор из списка предполагает работу только с одним из выбранных серверов? А когда заполнен весь список разными серверами, то они работают все. Только автоматом выбирается самый скоростной. И это могут быть не только гугл и клодфлэйр, но ещё и множество других.

Сейчас нет возможности. Могу сказать, что сразу при активизации фильтра AdGuard и при первом же DNS запросе из локалки открывается целая связка DNS серверов. Которые у меня даже не прописаны нигде. Источник Адрес назначения Служба :59401 145.100.185.15 UDP/53 :59401 1.1.1.1 UDP/53 :59401 8.8.8.8 UDP/53 :59401 185.49.141.37 UDP/53 :59401 176.103.130.130 UDP/53 Это похоже на то что делает bootstrap для работы DOH? И вопрос делает ли он такое обращение всегда когда активен просто на всякий случай? Без учета выбран ли какой-то реальный фильтр и без учета активирован ли DOH? Если да, тогда всё понятно. Если не должен так делать, тогда нужно исправить.

@Le ecureuil А что по моему вопросу повыше? Настройки у меня такие: available: yes port: 53 doh-supported: no doh-available: yes dot-supported: yes dot-available: yes Но вижу активность с 53.

На счёт включения и выключения с галочки согласен. А на счёт нередактируемых предустановок серверов нет.

Установлен и настроен DOT. DOH не установлен. Активировал фильтр AdGuard DNS и выбрал в нем "без фильтрации", просто чтобы завернуть все прямые обращения к DNS по 53 на DOT. В Активных соединениях в Диагностике вижу различные исходящие обращения на 53 порт. Откуда они берутся? Что это такое? Без AdGuard такого не было. Если бы у меня был установлен DOH, подумал бы на bootstrap. А так кто там ещё напрямую пролазит? Сам AdGuard тоже для чего то использует bootstrap? Зачем он ему DOH всё-равно не установлен? Как вылечить?

Точно. Скорее всего. ) Я сам только на DOT у меня этого не требуется. )

Такого быть не должно. Вероятно вы смотрите не тот интерфейс в Активных соединениях. Когда активирован DOH других запросов инициированных роутером по 53 быть не должно. Поэтому могу предположить, что это у вас либо интерфейс ПК за натом, либо мобильника которые отправляют прямые обращения на гугл DNS в открытом виде. Чтобы такого не происходило нужно установить Интернет-фильтр AdGuard и он будет заворачивать все запросы на DNS роутера.

В меню Диагностика - Активные соединения найдите ваш интерфейс выхода в интернет и там должны быть коннекты на 8.8.8.8 (или другой гугловский ip) порт 443. Никаких соединений на 53 порт.

UDP-прокси вам не подойдет? Он ретранслирует мультикаст каналы по http

Ну с чем вы спорите? Вам лично не нужна такая информация. А многим нужна. Кто-то привык жить и не замечать того что вокруг происходит. А кто-то обращает внимание на всё. То что это где-то в логе есть который хранится всего около суток вообще никого не интересует. Кто будет каждый день заглядывать в этот лог? Или какие-то syslog ставить. Я ни разу по этому логу не видел подобного события. Хотя и не факт что их не было. Что я буду делать с этой информацией? Буду видеть, что кто-то проявляет какой-то интерес к моему устройству. С каких адресов. Буду видеть, что устройство благополучно банит эти адреса и MACи и пресекает попытки. Буду видеть текущие забаненые адреса и если задано, то и время до разбана. Смогу оттуда же вручную разбанить возможно ошибочно добавленный адрес либо все сразу. Буду вовремя обо всё информирован.

Хорошо. Я понимаю, что полноценного фаервола и IDS из роутера пока скорее всего не выйдет. Отбросим это. Но вторую часть просьбы вполне можно реализовать. Не называть это громкими словами "Форпост безопасности". Выделить страничку где будут фиксироваться сообщения о попытках ввода неверного пароля в админку, к WiFi и к другим сервисам роутера. Чтоб тут же была гибкая настройка политики для этих событий. Допустим какое-то вол-во попыток за какое-то время зарегистрировать, как попытку перебора. И выбор действий. Просто уведомить, либо бан IP на выбранный срок, либо бан MAC если это исходит из WIFI или локалки. Возможность как-то просигнализировать об этом админу. Либо алерт, либо mail, мигание светодиода. Добавить сюда политику изменения паролей. Например, чтоб напоминала периодически менять установленные пароли. (опционально) Так же было бы интересно отдельно фиксировать MACи всех устройств попадающих в зону действия вайфая и так, чтоб с датой и временем. Полезно было бы. Реализовать запуск определенных сценариев, например переконфигурацию маршрутизатора по какому-либо сценарию, как только появляется определенный MAC в зоне действия сети. Тут вообще фантазия не знает границ чего можно придумать. По уже знакомым макам можно будет понимать кто к вам и когда приходил. (это вообще можно в отдельное предложение вынести)

А почему 10.1.0.2? Это же наверное адрес клиента. Вам нужно через адрес сервера пустить. Он наверное у вас 10.1.0.1? Ну вообще попробуйте оба варианта по отдельности.

Так же не забудьте добавить входящие разрешающие правила в Межсетевом экране. Т.к. скорее всего входящие в сторону клиента закрыты в целях безопасности.

Как вариант. Если вообще подключится через подсеть OpenVPN. Может быть потребуется Aliace прописывать. ))

А что-нибудь вроде ip nat <интерфейс OpenVPN клиента> не сработает для включения NAT?

Туннель в туннеле чтоли? )