Jump to content
  • 0

3.8 alpha 1, dns-proxy: white hole


Question

Posted

Посоветовали написать сюда.

Прошивка 3.8a1, но это касается и всех предыдущих (релизных и отладочных) прошивок.

Схема такова:

DNS1 (xx:xx:xx:xx:xx:xx)<-->Keenetic1<-->Internet<-->Keenetic2<-->DNS2(yy:yy:yy:yy:yy:yy)

xx:xx:xx:xx:xx:xx - зоны domain1.ru (master), domain2.ru (slave)

yy:yy:yy:yy:yy:yy - зоны domain1.ru (slave), domain2.ru (master)

Хост xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy находится на "солокейшен" в "Домашней сети" (живет в ней, но к ней не относится (своего рода DMZ, но за NAT), выполняет роль web/mail/dns standalone сервера (естественно порты 53TCP/UDP, а так же остальные необходимые, прокинуты на него)

'dns-proxy intercept enable' у меня не используется

но dns-proxy все-равно лезет в трафик предназначенный хосту xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy (в секции dns-proxy, показанной ниже его нет), в итоге не работает синхронизация зон - долго не понимал в чём дело, пока не увидел в логах DNS-сервера, что в TSIG прилетает мусор и виновником сего торжества оказывается компонент dns-proxy, он подменяет оригинальный TSIG от/к удаленного(ому) DNS-сервера(у), чем-то своим.

Вот секция моего конфига:
dns-proxy
rebind-protect auto
tls upstream 1.1.1.1 853 sni cloudflare-dns.com
tls upstream 1.0.0.1 853 sni cloudflare-dns.com
https upstream https://dns.quad9.net/dns-query dnsm
https upstream https://ordns.he.net/dns-query dnsm
filter assign host preset aa:aa:aa:aa:aa:aa adguard-default
filter assign host preset bb:bb:bb:bb:bb:bb adguard-default
filter assign interface preset Guest cleanbrowsing-security
filter engine public
!

Хотелось бы что-нибудь такое: filter assign host preset xx:xx:xx:xx:xx:xx no-filter
Чтобы и остальные хосты фильтровались (особенно интересует детский фильтр) и DNS-сервер исключался из фильтрации полностью.

 

1 answer to this question

Recommended Posts

  • 0
Posted

Вот о чем речь.

У сегмента 'Домашняя сеть', по умолчанию установлен Системный профиль, в Системном профиле указаны только DNS провайдеров (2 WAN), у хоста установлено использование только системного профиля.

Но TSIG все равно изменяется! TSIG перестаёт изменяться только тогда, когда снята галка с компонента "Cloud-based Content Filtering and Ad Blocking", т.е. при удалении компонента.

2022-01-01 (3).png

2022-01-01 (4).png

2022-01-01 (5).png

2022-01-01 (6).png

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.