Сергей Грищенко

Буду благодарен если расскажите как, у меня к сожалению так и не вышло разделить vpn dns и dns от провайдера.

Я уже поправил первое сообщение

тут опечатка, указывал домены

Вопрос не совсем ясен, рассказать почему при VPN подключении не нужно светить DNS вне VPN? Если домен отправляется через VPN (split-tunnel/правило маршрутизации), то DNS-запросы к этому домену обязаны уходить тем же путём — через интерфейс VPN; резолвинг и передача данных должны совпадать. Иначе это DNS-утечка: запрос уходит к провайдерскому резолверу, сайты видят РФ, возможны блокировки/неправильный геоконтент и потеря приватности. Поэтому говорить «кому должен» некорректно — корректная конфигурация VPN предполагает отсутствие DNS-утечек: либо полный туннель, либо закреплённые маршруты/привязка DoH/DoT к интерфейсу VPN.

Здравствуйте! Заметил утечку DNS при использовании "Маршруты DNS". У меня: Netcraze ultra 1812 VPN wireguard Версия 5.0 Beta 3 Для проверки добавил домены ниже в Маршруты DNS: browserleaks.com dnsleaktest.com и проверил через эти же сервисы, показывает РФ DNS и мой IP РФ, хотя VPN был зарубежный. По хорошему должен весь трафик и DNS идти через VPN, как это происходит при обычном подключении. Временно решил эту проблему через DoH и DoT, принудительно указав их только для VPN, однако они работают и для сайтов без VPN. Не ясно ошибка это или нет, но хотелось бы что бы DoH и DoT работали только для VPN как я указал.

Всем кто использует данное решение, поддержите пожалуйста запрос на расширение количества серверов, сейчас в данном решении можно использовать максимум 64, хотелось бы увеличить это количество. Нужно перейти в тему и проголосовать.

@keenet07 @keshun @Denis P @Nkllganov53 проголосуйте повторно пожалуйста

Здравствуйте! Можно ли увеличить количество записей серверов в интернет-фильтре -> настройка DNS? Сейчас ограничено 64, что очень сильно мешает многим пользователям. Если добавить больше, то получаем ошибку Dns::Manager error[22544485]: server list limit exceeded, the maximum is 64 addresses. Данные записи используются много для чего, в том числе для решения которое использую я и многие Уже писал на почту, вроде как уже давно есть задача на реализацию NDM-3077. На мой взгляд можно было бы смело увеличить в 4 раза, до 256.

Не отказывали, уже даже есть номер задачи. Расширение списка адресов будет удобно для всех, ведь можно добавлять адреса не залезая в SSH. P.S. за вашу реализацию тоже проголосовал, идея тоже понравилась)

поднимаю тему)

@eralde @Test Pilot здравствуйте! Добавьте пожалуйста, очень актуально.

Проголосуйте за реализацию пожалуйста, всем кто использует данное решение это актуально

Возможно причина в блокировке wireguard? Установите бету кинетика и установите amneziawg на кинетик, всё будет работать. У меня сейчас как раз так работает, сервер в digitalocean

Можете показать что у вас вышло в итоге, пожалуйста?

добавьте в обход gtv1.com это не поможет, написал выше

Здравствуйте! Можно ли увеличить количество записей, сейчас ограничено 64? Нужно для реализации Поддержка дала номер NDM-3077, но прошло уже больше пол года 🫠

поддержка+

Тут вот ошибка мелкая, нужно /opt/etc/ndm/netfilter.d/010-bypass-table.sh А так огромное вам спасибо, ошибок в журнале больше нет, установил тоже на внутрянку памяти. По скорости работы разницы не заметил, возможно потому что роутер другой. Но однозначно рекомендую ваше решение 👍

Спасибо! Если кто будет тупить так же как и я, то вот пример рабочих настроек

Не выходит :(, по какой логике добавлять?

@Александр Рыжов здравствуйте! Подскажите пожалуйста, как можно сделать, что бы можно было указывать диапазон IP адресов? Я предположил, что раз не выходит в штатный-интернет фильтр, то нужно создать свой txt файл, с указанием диапазонов IP адресов, а дальше добавлять проверку в [ "$type" == "ip6tables" ] && exit [ "$table" != "mangle" ] && exit [ -z "$(ip link list | grep $VPN_NAME)" ] && exit [ -z "$(ipset --quiet list bypass)" ] && exit Верно ли я мыслю? Если подскажете как доработать, буду очень благодарен) P.S. нужно для приложений, которые редко используют домены и чаще IP адреса, например тот же телеграм

Да, у меня в логах точно так же.

Видимо да, во всяком случае могу точно подтвердить, что мой метод сработал и помог решить проблему.

Запрос ДНС идёт в ipset-dns. DNS прописан в /opt/etc/bypass.conf. Если делать обычный прямой конфиг wireguard клиент телефон -> wireguard сервер, то тогда да, ДНС будет внутри VPN. В случае с решением от ТС это так не работает, иначе роутеру не будут видны адреса и он не будет понимать какие нужно гнать под ВПН, а какие нет.

С сегодняшнего дня у меня начали перехватывать DNS (информация выше) и перестал работать VPN. Если вы столкнулись с этим, проверить можно очень легко, добавляем в обход 2ip.ru и смотрим, если его обойти удалось, а остальные сайт нет, значит вероятнее всего вы столкнулись с этим тоже или сделайте трассеровку, как я постом выше. Как обойти перехват DNS для данного решения, чтобы VPN вновь работал: 1. Устанавливаем и настраиваем по инструкции DOH и DOT. Список доступных DOH и DOT тут. 2. Заходим в консоль порт 222, смотрим под какими портами у нас DOH и DOT, вводим команду ~ # cat /tmp/ndnproxymain.stat Total incoming requests: 19 Proxy requests sent: 19 Cache hits ratio: 0.000 (0) Memory usage: 20.75K DNS Servers Ip Port R.Sent A.Rcvd NX.Rcvd Med.Resp Avg.Resp Rank 192.168.1.1 5354 0 0 0 0ms 0ms 2 192.168.1.1 5353 0 0 0 0ms 0ms 4 127.0.0.1 40500 0 0 0 0ms 0ms 5 127.0.0.1 40501 1 1 0 78ms 78ms 4 127.0.0.1 40502 0 0 0 0ms 0ms 3 127.0.0.1 40503 0 0 0 0ms 0ms 2 127.0.0.1 40508 0 0 0 0ms 0ms 3 127.0.0.1 40509 18 18 0 10ms 20ms 10 Всё что с портами 40500-405++ как раз doh или dot. Запоминаем любой порт. 3. Меняем DNS в ipset-dns ~ # nano /opt/etc/bypass.conf DNS=127.0.0.1:40509 Перезагружаем роутер и проверяем, у меня всё вновь работает. Дополнительно, как выбрать наиболее быстрый DOH и DOT. Меняем только порт, проверяем какой будет быстрее. while true; do dig google.com @127.0.0.1 -p 40509 | grep time; sleep 1; done P.S. DOH и DOT можно настроить на весь трафик, я так делать не стал, сделал только для обхода. Смотрите скрин.