Helby

в такой конфигурации проблема с доступностью доменов сохраняется, появляется утечка DNS с выдачей IP МТС после IP VPS. А что если поднять dnscrypt-proxy на VPS и указать WG серверу на него в качестве DNS, чтобы резолвить всё через туннель? Стоит пробовать?

Одно не противоречит другому. В системе указаны несколько DOH серверов, часть работает глобально и имеет приоритет над обычными глобальными, а часть, что с указанием домена, только с ним. Это подтверждает вывод dnscheck.tools и dnsleak.com. Серверов CF и Mullvad в нем у меня нет. Согласны с такой логикой?)

Win 11?

Additional server for specific domain переводится как дополнительный сервер для конкретного домена. В случае с DOT/DOH и конкретным доменом, резолвиться этот домен будет через самый быстрый сервер, отданный указанным резолвером, а не глобально в системе.

В конфигурации как на скрине в первом посте всё работает и работает шустро. Мой вопрос был в том, почему без жёсткой привязки домена к резолверу не работает? Но кажется ответ уже вырисовывается из топиков про тормоза DNS на 5.0.4.

Факт. В этом случае мне проще ПК закинуть в политику DIRECT (только прямой доступ) и скачать, что мне нужно, а потом закинуть его обратно в политику по умолчанию. Понимаю, что моё решение не лучший вариант. Для моих задач и потребностей пока подходит и ладно)

однако факт есть факт) и да и нет, в geo хорошо умеет рентген, но он нативно не поддерживается белый список я составлял самостоятельно для приложений которым важно быть "тут" с помощью Proxyman (iOS). Учитывая, что маршрутизация поддерживает wildcard, там основных доменов не так уже и много, всё остальное это уже поддомены. Поэтому список у меня получился сильно меньше предыдущего варианта с подсетями и прочими нюансами. Как итог, трафик туннеля у меня примерно в 2-2,5 раза меньше чем прямой. Соотвественно стриминги, Алисы и прочие штуки - все идут напрямую как и задумано) Также в статике у меня прописаны подсети для UDP трафика BF6, чтобы не качать обновления и, разумеется, не играть через туннель.

не имеет значения, попробуйте dot или doh и через nslookup посмотрите с клиента результат. всё работает.

я на прошлой неделе пришёл к тому, что теперь проще делать "белые" списки, которые бегают напрямую, до этого работал на КВАСе со списками в туннель. Теперь же у меня туннель это основное соединение, а всё, что суверенное идёт прямо. мобильные устройства в семье по WG подключаются к роутеру (белый IP) при выходе из радиуса домашней Wi-Fi сети и на них так же как и дома всё работает как старые добрые времена.

приеду домой и попробую следующее: удалю DOH сервера из конфигурации, DNS строго из туннеля WG (основное подключение в политике по умолчанию), провайдеру оставлю 8-ки чтобы суверенный интернет не пропадал в случае отвала туннеля, проверю на работоспособность и утечки.

понял, спасибо большое за ответ. IPvFoo давно использую, очень удобный инструмент)

https://support.keenetic.com/titan/kn-1811/en/22961-additional-dns-servers.html

DNS Conditional Forwarding 1. Через веб-интерфейс (современный способ) В актуальных версиях KeeneticOS эта функция встроена в настройки DNS: Перейдите в меню «Сетевые правила» → «Интернет-фильтр». Откройте вкладку «Настройка DNS». Нажмите «Добавить сервер». Введите IP-адрес нужного DNS-сервера. В поле «Домен» (может называться «Для доменов») введите имя домена, который должен обслуживаться этим сервером (например, company.local или example.com). Нажмите «Сохранить». Теперь запросы к этому домену (и его поддоменам) будут уходить только на указанный сервер

Ах вот оно что... А я думаю, что не так с DNS на 5.0.4... Мой бытовой сценарий ниже.

Отчасти проблема в этом, как мне думается.

Это как раз те проблемные домены, о которых я пишу. Прописав таким образом я создал связку (бинд), что эти домены резолвить строго через узазанные DNS. Без этого, через общий DNS для всех подключений и Политик, они не работают, хотя и резолвятся через nslookup c клиентов сети (LAN и Wi-Fi). Удаляя обычные DNS у подключения МТС я получаю в логах "unable to obtain addresses for dns.google, fallback to recursive DNS to resolve dns.google", о чём я тоже пишу в своём посте. Вот тут у ТС такая же проблема описана, но там был баг, неужели его снова "завезли" на 5.0.4? Опять же, я почему-то полагал, что DNS трафик при условии, что туннель является основным подключением, должен также ходить через туннель, но очевидно, что это не так в случае с WG/AWG.

Ребята, привет! Не могу понять закономерность работы. Прошу помочь советом. Вводные: Железо: Ultra KN-1811 на 5.0.4 Основное подключение в Политике по умолчанию: туннель WG Второе подключение (МТС): Ethernet Игнорирование DNS провайдера: да DNS-Маршруты: да, список напрямую, остальное в туннель DNS DOT: нет DNS DOH: да DNS к подключению МТС: да, Google и CF. Без заполнения DNS к подключению МТС система не сразу резолвит DOH, о чём в логах идут сообщения, что невозможно отрезолвить, пробуем откатиться к fallback DNS. Тут логика понятная. Как он их отрезолвит, если резолвить не через что с одной стороны. С другой стороны, несмотря на такие сообщения в логах, сайты открываются, кроме тех, что указаны на скрине с жесткой привязкой по доменам. Иногда случаются утечки DNS и тот же ChatGPT об этом сообщает отказом загружать страницу и IP провадера. dnscheck.tools в эти моменты показывает помимо IP адреса VPS непосредственно IP адрес МТС. Спустя пару-тройку минут после очередной ipconfig /flushdns IP адрес провайдера в dnscheck.tools пропадает и ChatGPT начинает работать. Утечка уходит. При этом домены без жесткой привязки к определённым резолверам (скрин) отказываться резолвиться и, как следствие, ресурсы не открываются. Не смотря на это, nslookup с клиентов проходит и возвращает IP адреса "проблемных" доменов. В конфигурации туннеля WG DNS не прописан, так как настроен DOH для всех интерфейсов. Прописывание DNS туннеля не меняет ситуацию. Количество дней без вопросов о DNS: 0. 😃 Заранее благодарен всем, кто откликнется помочь.