Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)

[Oleg Nekrylov]

Предлагаю добавить режим passthrough для переадресованных портов 53 (TCP/UDP) в dns-proxy.

dns-proxy всегда вмешивается в работу DNS-сервера, стоящего за Keenetic, в частности из-за этого не работает синхронизация зон (портит даже содержимое TSIG).

На текущий момент, единственный выход, это только удаление компонента "Фильтрация контента и блокировка рекламы при помощи облачных сервисов" (Интернет-фильтр) - установка режима фильтрации в "Интернет-фильтре" в положение "выключен" не помогает.

[Le ecureuil]

Для этого мы в 3.9 специально добавили в профили галку выключения перехвата. Если у вас есть фильтр, но не нужен перехват - снимите ее в системном профиле и будет все как хочется.

[Oleg Nekrylov]

Прошивка 3.9a7

Установлено, но не работает, всё равно трафик перехватывается

Приходиться удалять компонент.

Изменено 3 сентября, 2022 пользователем Oleg Nekrylov

[Oleg Nekrylov]

Попробовал синхронизировать зоны через Wireguard и IPSec (ну раз не работает через переадресацию портов, решил попробовать синхронизировать зоны через Site-to-Site VPN) - dns-proxy перехватывает трафик и тут.

[keenet07]

В 03.09.2022 в 02:16, Le ecureuil сказал:

Для этого мы в 3.9 специально добавили в профили галку выключения перехвата. Если у вас есть фильтр, но не нужен перехват - снимите ее в системном профиле и будет все как хочется.

Получается, если никакой фильтр не выбран (Режим фильтрации: выключен), при этом в Системном профиле прописаны только DoT сервера. Данная галочка (Транзит запросов) в системном профиле никакого влияния не оказывает? У меня при любом её положении транзитные запросы всегда проходят. Смотрел в Активных соединениях, при обращении к сторонним ДНС серверам они всегда проходят транзитом и нет обращения к моим DoT серверам с интерфейса интернет. Адреса соответственно резолвятся сторонним ДНС. Хотел отключением транзита, чтоб такие запросы пошли через DoT прописанный в сист. профиле. Так нельзя?

 

PS. Попробовал включить контентный фильтр выбрав работу через системный профиль, но по моему всё также сторонние проскакивают транзитом. Не заруливаются на DoT при любом положении галочки Транзита.

Изменено 6 сентября, 2022 пользователем keenet07

[Le ecureuil]

В 05.09.2022 в 00:12, Oleg Nekrylov сказал:

Попробовал синхронизировать зоны через Wireguard и IPSec (ну раз не работает через переадресацию портов, решил попробовать синхронизировать зоны через Site-to-Site VPN) - dns-proxy перехватывает трафик и тут.

Да, теперь понятнее - это из-за того, что хост в политике находится.
Задача на исправление такого поведения есть, пока же только вывод в основную поможет.

[Oleg Nekrylov]

43 минуты назад, Le ecureuil сказал:

это из-за того, что хост в политике находится.

Даже если хост переместить в политику "по умолчанию", то всё равно ничего не меняется.

Политика Server включает в себя только проводные сегменты (WAN + SFP), Wireless ISP - это резервный канал (iPhone)

[Oleg Nekrylov]

Ура!

Прошивка 3.9b2 - заработало: зоны оттрансферились и напрямую и с TSIG!

DNS были настроены и каждый час сыпали мне в телеграм ошибки. И вдруг, буквально час назад, ошибки исчезли. Заглянул в DNS-slave - зоны наконец-то оттрансферены, заглянул Keenetic'и, а у них прошивки обновились и в changelog есть упоминание [NDM-2403].

Вы даже представить себе не можете мою радость - эта проблема, сломала мне все мозги начиная с Zyxel Keenetic Ultra (ku_ra). Это ж сколько лет (почти десяток) прошло!

Изменено 7 ноября, 2022 пользователем Oleg Nekrylov

[Oleg Nekrylov]

Прошивка 3.9.2 - сломали 🙁 Опять не работает (KN-2710, KN-1810, KN-1910)

[keenet07]

Чтоб транзит заработал нужно либо интерфейс перезагрузить, либо устройство полностью.

[Oleg Nekrylov]

2 часа назад, keenet07 сказал:

Чтоб транзит заработал нужно либо интерфейс перезагрузить, либо устройство полностью.

Делал. И перегружал и конфиг перезаливал - без толку, в tsig опять мусор.