helljumper2

Хочется запросить возможность настройки dns маршрутов не только в рамках политики доступа "Политика по умолчанию", но и для созданных самостоятельно. Мой кейс - есть политика по-умолчанию, в которую попадают все новые клиенты автоматом. Они идут через провайдера напрямую. Есть дополнительно созданная политика, в которой настроено подключение через туннель, туда идут только вручную выбранные устройства. При этом есть список доменов, на которых желательно использовать прямое подключение провайдера, вместо туннеля, даже на устройствах из отдельной политики доступа. Сейчас на 5.0.10 я такое могу реализовать только инвертировав схему - чтобы в политике по-умолчанию были устройства с выходом через туннель. Тогда маршруты dns для них будут работать. Но тогда в нее будут попадать все новые клиенты сети, а это нежелательно. Может получится добавить в планы?

Хорошо. С 4.3.6.2 до 4.3.6.3 конечно же. Kn-1810 и kn-1811. Настройка автоапдейт выключена, канал обновлений - основной.

Я так понимаю, вопрос полностью решается и без обновления - либо отключением внешнего управления, либо установкой адекватного сильного пароля.

Правильным решением будет срочно добавить в настройку обновлений пункт «авто установка критически важных обновлений безопасности», который позволил бы отключить это сомнительное поведение тем кто имеет причины на ручной апдейт строго. У меня две ультры сегодня обновились с 4.6.2 до 4.6.3 , при выключенном автообновлении. Был неприятный сюрприз и неожиданные два обрыва связи в неподходящее время. Осадочек так себе конечно.. Усугубляет еще отсутствие уведомлений и официальных коммуникаций, то что втихую всё сделано. Ведь про про переход на netcraze например рассылки же были. В моей модели угроз например, риск эксплуатации уязвимости при определенных настройках и условиях - стоит ниже чем риск скомпрометированной прошивки в источниках обновлений. Таких примеров хватает на моей памяти.

Кстати, cloudflare умеет и так: что является неплохим компромиссом, что-то похожее умеет делать и Adguard DNS. Поэтому повторюсь, уровень privacy тут легко может регулироваться за счет правильного выбора резолвера, лишь бы роутер обращаясь к нему отправлял нужную информацию. Для максимально враждебного окружения - чтобы это была отключаемая настройка в конфигураторе.

Это вопрос выбора резолвера, ставьте в настройках какой кому нравится - privacy или обычный. К тому же через cloudflare (мимо роутера) ответы таки приходят верные, соответствующие региону, возможно просто за счет большого количества точек присутствия. Не означает что роутер должен иметь свою политику и мнение по этому вопросу, кроме как через наличие настройки в конфигураторе и описания в документации. Ваше личное мнение по данному вопросу тоже извините, но не должно учитываться дальше вашего персонального оборудования. Есть стандарты, технологии - оборудование должно поддерживать их и уметь с ними работать. Задача предоставить пользователю возможности и пояснения, и дать делать выбор самостоятельно.

Поддержка ECS сегодня ожидается по-умолчанию, а его отсутствие ломает логику geo dns сервисов, дающих привязку ip адреса к региону, как это например умеет делать AWS Route 53. В идеале по-умолчанию это должно присутствовать и быть включенным, а не наоборот. У меня такой кейс - я игнорирую dns-ы провайдера, настроены несколько DoT серверов cloudflare и google. Если я запрашиваю домен использующий geo dns на aws route53 - то от кинетика я получаю "глобальный ответ". Если я запрашиваю из терминала на ноуте теже самые DoT серверы и этот домен - то получаю правильный, региональный адрес. Используется самая свежая на данный момент версия 4.6.3 на кинетике ультра. Соответственно, делаю вывод что это именно роутер не отправляет ECS в dns запросах к DoT серверам. Только для особо параноидальных сценариев можно было бы добавить настройку отключения пересылки подсети в dns запросах, хотя тут можно использовать и специальный резолвер, как например quad9 в дефолтном исполнении 9.9.9.9. Просьба - обратить внимание, и починить эту историю.

А я поддержу добавление поддержки ECS (EDNS Client Subnet), его наличие уже ожидается по-умолчанию, а его отсутствие ломает логику geo dns сервисов, дающих привязку ip адреса к региону, как это например умеет делать AWS Route 53. В идеале по-умолчанию это должно присутствовать и быть включенным, а не наоборот. Только для особо параноидальных сценариев, можно было бы добавить настройку отключения пересылки подсети в dns запросах, хотя тут как раз логика использование специального dns резолвера подходит лучше, как тот quad9 в дефолтном исполнении 9.9.9.9 убирает ecs для приватности. У меня такой кейс - я игнорирую dns-ы провайдера, настроены несколько DoT серверов cloudflare и google. Если я запрашиваю домен использующий geo dns на aws route53 - то от кинетика я получаю "глобальный ответ". Если я запрашиваю из терминала на ноуте теже самые DoT серверы и этот домен - то получаю правильный, региональный адрес. Используется самая свежая на данный момент версия 4.6.3 на кинетике ультра. Соответственно, делаю вывод что это именно роутер не отправляет ECS в dns запросах к DoT серверам. Поэтому просьба - обратить внимание, и починить эту историю, это совсем не какой-то особый редкий случай.