3.9: не работает назначение системного профиля и разрешение транзитных DNS запросов

[keshun]

Не работает назначение системного профиля. При выборе "системный", запросы все равно идут через nextdns

[Rom]

Назначенные фильтры не сохраняются. При перезагрузке устройства они снова сбрасываются в дефолт.

[Eropywka]

фактически "Системный" стал = "Параметры сегмента".
А само значение "Параметры сегмента" отсутствует.

Предположу, что причиной может быть какая-то ошибка перевода, возможно и то и это по английски сейчас  system.
Ну или что-то поменяли в алгоритме фильтра. Но это маловероятно и не правильно.

Изменено 27 сентября, 2022 пользователем Eropywka

[4e.Guevara]

И все таки да - подтверждаю какие то косяки с фильтрацией. Тема подобная по профилям уже есть тут же, можно в одну свести, думаю. В общем по порядку - заметил, что бат не подгружает некоторые картинки в письмах. Ок, открыл письмо в браузере - та же ситуация. Смотрю, а айпишник не резолвится. Топаю на роутер. Там поднят NextDNS, но на машину с почтовиком стоит профиль "системный". В этом системном профиле отключаю все днс, оставляю 8.8.8.8. Делаю ipconfig /flushdns на всяк - нифига, не прогружаются картинки. Создаю на роутере еще один профиль в днс, прописываю туда тот же 8,8,8,8, назначаю его, делаю ipconfig /flushdns - поехало. Все прогрузилось. Ладно, снова возвращаю системный профиль, делаю ipconfig /flushdns - все, приехали. Ничего не грузится. Что там и как ходит - не понял до конца. 

Изменено 3 октября, 2022 пользователем 4e.Guevara

[4e.Guevara]

Решил проблему. Сохраните конфиг, откройте его редактором и смотрите в самом низу раздел dns-proxy. У меня в нем затесались записи filter assign от cloudflare и вообще никак не реагировали на то, что я там изменяю что то в интерфейсе. Удалил вручную, загрузил назад в роутер - стало все ходить правильно

[keshun]

В 12.10.2022 в 23:32, 4e.Guevara сказал:

Решил проблему. Сохраните конфиг, откройте его редактором и смотрите в самом низу раздел dns-proxy. У меня в нем затесались записи filter assign от cloudflare и вообще никак не реагировали на то, что я там изменяю что то в интерфейсе. Удалил вручную, загрузил назад в роутер - стало все ходить правильно

К сожалению не помогло? Тоже были хвосты от adguard, прибил их, но все равно вижу запросы с устройств (при установленном системном профиле) идут через фильтр.
 

[4e.Guevara]

26 минут назад, keshun сказал:

К сожалению не помогло? Тоже были хвосты от adguard, прибил их, но все равно вижу запросы с устройств (при установленном системном профиле) идут через фильтр.
 

Да, Вы правы. Тоже не досмотрел. Аналогично запросы идут через текущий NextDNS при системном профиле. И 0 реакции от разрабов.....

Изменено 14 октября, 2022 пользователем 4e.Guevara

[keshun]

На 3.9 Beta 1 ситуация не поменялась

[4e.Guevara]

Да, я в курсе

[4e.Guevara]

3.9 b2 - воз и ныне там!!!! Это уже какой то прикол

Скрытый текст

 

[Danko]

Цитата

• Опция Транзит запросов теперь работает корректно для всех доступных Профилей DNS. [NDM-2403]

Не работает на Системном профиле.

Прописываю в системе/браузере левые DNS ( к примеру https://dns.cloudflare.com/dns-query  )

Скрин.

1.) У всех трёх профилей транзитный траффик блокируется.

2) Выбираем для "Ноутбук S7", Системный профиль. Проверяем, сайты открываются, при тесте DNS, видим Cloudflare.

Если для устройства "Ноутбук S7" выбрать любой другой дополнительный профиль, далее проверить, cайты не открываются... блок работает.

[keenet07]

У меня вообще по прежнему транзитные DNS не блокируются при любых настройках. Прописал в настройках TCP/IP на ПК DNS 9.9.9.9 

На роутере в системном профиле прописаны DOT сервера 1.1.1.1 и 8.8.8.8 . Галочка транзита снята. Написано, что Транзитные запросы блокируются. Контентный фильтр - выключен.  Но по факту на ПК всё спокойно работает через 9.9.9.9, что подтверждается тестом на сайте www.dnsleaktest.com

Включаю контентный фильтр. Проверяю снова. Результат тот же. Ничего не блокируется. Запросы по прежнему идут через 9.9.9.9.

На всякий случай упомяну некоторые особенности: включена опция игнорирования DNS провайдера. И модуль DOH на роутере не установлен.

Так же проверил включенная или отключенная опция dns-proxy intercept enable никакого влияния на результат не оказывает. 

Прошивка 3.9b2

Изменено 8 ноября, 2022 пользователем keenet07

[keshun]

На 3.9 b2, все тоже самое, если профиль по умолчания выбран nextdns, то при выборе системного профиля для зарегистрированных устройств, запросы все равно идут через nextdns. При противоположной настройке все отрабатывает правильно

[hellonow]

@Danko в конфиге при этом есть filter profile intercept no enable ?

[4e.Guevara]

1 час назад, hellonow сказал:

в конфиге при этом есть filter profile intercept no enable ?

Это есть, если создать еще один профиль днс и там прописать свои. Тогда эта строка создается. А вот на системном профиле перехват включен. Я так понимаю, что бы работали профили контекстной фильтрации. В принципе, теперь, выходит, понятно, почему на системном профиле все равно бежит все через интернет-фильтр. Ну тогда нужно менять логику или описание. Получается, я выбираю системный профиль для какого-нибудь устройства, не подозревая, что там идет перехват и оно все равно его пускает через фильтр. Я же смотрю на этот системный профиль, где четко прописаны обычные днс

[Le ecureuil]

Так, тут сразу две проблемы смешалось.

Во-первых, для хостов неправильный термин: все же там не System, а Segment defined должно быть. Потому что хосты, для которых явно не заданы настройки всегда следуют за сегментом - это ожидаемо. Потому тут проблема только с переводом, а по сути работает.

Во-вторых: в ситуации когда запрещен транзит, но ничему ничего не назначено и правда был баг, при котором транзит все равно оставался разрешенным. Это исправлено и будет скоро выпущено.

[4e.Guevara]

26 минут назад, Le ecureuil сказал:

Во-первых, для хостов неправильный термин: все же там не System, а Segment defined должно быть.

В таком случае вопрос снят. Тогда будет явно понятно, что запросы будут идти как во всем профиле сегмента, который назначен выше. Только тогда все равно остается вопрос - как тогда будет называться системный профиль в настройках днс??? Там же днс общие, а не для какого то конкретного сегмента. Все равно - либо менять всю логику, либо я не знаю... 

Изменено 17 ноября, 2022 пользователем 4e.Guevara

[4e.Guevara]

Попытаюсь объяснить более расширенно. Есть у меня сегмент, домашний, которому, допустим, присвоена какая то контекстная фильтрация и меня это устраивает. Но нужно на некоторые устройства из этого сегмента сделать чистый доступ без каких либо фильтров. Что тогда, получается, делать? Создавать отдельный профиль в днс и руками брать прописывать все днс, которые выдает провайдер? А если у меня три входящих интернет-канала и провайдер меняет днс? Или взять тупо гугловские прописывать или как? А если эти гугловские какой то провайдер не пропускает?

Изменено 17 ноября, 2022 пользователем 4e.Guevara

[Le ecureuil]

6 часов назад, 4e.Guevara сказал:

Попытаюсь объяснить более расширенно. Есть у меня сегмент, домашний, которому, допустим, присвоена какая то контекстная фильтрация и меня это устраивает. Но нужно на некоторые устройства из этого сегмента сделать чистый доступ без каких либо фильтров. Что тогда, получается, делать? Создавать отдельный профиль в днс и руками брать прописывать все днс, которые выдает провайдер? А если у меня три входящих интернет-канала и провайдер меняет днс? Или взять тупо гугловские прописывать или как? А если эти гугловские какой то провайдер не пропускает?

Да, свой профиль. Его можно заполнить как пожелаете.
Честно, я не видел провайдеров которые не пропускают чужие DNS. Они их могут перехватывать и отвечать сами - таких сколько угодно, но вот которые прям 100% не пускают - я таких не видел. Потому пока все же проблему вижу надуманной.

[4e.Guevara]

3 часа назад, Le ecureuil сказал:

Потому пока все же проблему вижу надуманной.

Ладно, возможно и так, но не совсем. Я предлагаю все таки оставить какую то стандартную реализацию использования провайдеровских днс для назначения их на устройства по выбору без танцев с бубном. А если кому то там нужны транзитные днс или свои днс - без проблем, создаем еще один профиль и было бы очень хорошо, что бы в любой новый профиль втягивались все провайдеровские днс изначально, а уже далее была возможность править из ручками, если там что то не устраивает. Плюс это более логично, чем когда у тебя в профиле устройства будет выбор: свой профиль, Segment defined и потом опять же этот профиль фильтрации, который будет дублировать Segment defined и еще какие профили, что создал пользователь

 

P.S. Вот сразу и вопрос вдогонку по логике Вашей:

Скрытый текст

Как тогда будет присвоить какому то сегменту просто провайдеровские днс??? Как же тогда там может быть Segment defined? Тогда вообще нужно менять реализацию этих профилей

Изменено 17 ноября, 2022 пользователем 4e.Guevara

[Le ecureuil]

23 часа назад, 4e.Guevara сказал:

P.S. Вот сразу и вопрос вдогонку по логике Вашей:

  Показать содержимое

Как тогда будет присвоить какому то сегменту просто провайдеровские днс??? Как же тогда там может быть Segment defined? Тогда вообще нужно менять реализацию этих профилей

Просто "Системный" для сегмента будет означать провайдерские DNS. А для хостов в этом сегменте провайдерские будут доступны если для них выбран "Segment default".

[4e.Guevara]

1 час назад, Le ecureuil сказал:

Просто "Системный" для сегмента будет означать провайдерские DNS. А для хостов в этом сегменте провайдерские будут доступны если для них выбран "Segment default".

Ну я понял эту логику. Но если плясать от обратного - выбрать для сегмента фильтрацию, а для хоста тогда что указать, что бы были провайдеровские днс?))))) Или этот пункт, Segment default, добавится помимо Системный??? Я к чему веду - мне удобнее на весь сегмент повесить фильтр, а не использовать его буквально на пару устройствах. Но не наоборот - на весь сегмент ставить Системный, а потом на десяток устройств отдельно привязывать фильтрацию. Если это будет реализовано, а именно два профиля: Segment default (для того, что стоит в сегменте) и Системный (днс от провайдера независимо от того, что в сегменте) - будет чудно.

Изменено 18 ноября, 2022 пользователем 4e.Guevara

[snark]

А будет ли возможность редактировать список серверов которые перехватываются? Ибо позиция "мы без вас знаем что для вас лучше", весьма странная. 

[keshun]

Странная логика. Я хочу пустить все незарегистрированные устройства и большую часть домашних через DNS фильтр , а для 1,2,3,4 девайсов исключить фильтрацию. Долбить в настройки каждого устройства провайдерские DNS не есть комильфо.

[stakp]

42 минуты назад, keshun сказал:

 Долбить в настройки каждого устройства провайдерские DNS не есть комильфо.

В чём проблема создать отдельный профиль с провайдерскими ДНС и назначить его нужным девайсам?

[4e.Guevara]

8 часов назад, stakp сказал:

В чём проблема создать отдельный профиль с провайдерскими ДНС и назначить его нужным девайсам?

Ну, в принципе, гланды тоже можно через одно место вырезать. Зачем через горло??? Если есть готовые, выданные провайдером днс, какая логика их прописывать второй раз?????? А если он их поменяет, мне каждый день мониторить роутер или как? У меня висп поднят, там вообще часто днс пляшет... Гугловские я ставить не хочу.

Изменено 20 ноября, 2022 пользователем 4e.Guevara

[keenet07]

Да нет. Можно сделать для новых профилей так же как для системного, чтоб автоматом в него добавлялись DNS выданные провайдером и так же переключателем отключались, если они не нужны. Так они будут всегда актуальными, а не прописанными.

[keenet07]

Потестировал 3.9.0.

В общем, на системном профиле блокировку транзита сторонних серверов сделали. Работает. Без включения контентного фильтра.

Но вот обратное включение транзита, установкой соответствующей галочки на системном профиле не срабатывает. Запросы продолжают идти через сервера прописанные в системном профиле.

Если включить режим фильтрации в контентном фильтре, то транзит сторонних начинает работать, при условии что фильтр выбран системный. После чего можно снова полностью отключить режим фильтрации и эффект транзита сохранится. Т.е. сторонние запросы начинают проходить, как и ожидалось изначально. 

Наверное нужно ещё что-то подправить в логике вкл/откл транзита. 

Проверял несколько раз с помощью dnsleaktest

Изменено 25 ноября, 2022 пользователем keenet07

[4e.Guevara]

8 часов назад, keenet07 сказал:

Наверное нужно ещё что-то подправить в логике вкл/откл транзита. 

Наверное, по данной проблеме и конь не валялся. Как шло все при системном профиле (в котором черным по белому в отдельной вкладке прописаны провайдеровские днс, а не какие то либо фильтра) через контентный фильтр (если он включен на сегменте), так и идет. Получается, что у меня 3 разных конфигурации режима фильтрации (на каждый сегмент своя), у клиентов выбран один и тот же системный профиль, а оно каким то чудным образом идет как хочет. К чему тогда вообще этот системный профиль и выбор этого профиля у клиентов? Уберите его вообще вместе с вкладкой профилей. Будем прописывать руками днс для каждого клиента отдельно🤣

Название одно и то же, а работа совершенно разная. При чем в разных сценариях оно то так, работает, то иначе. И не говорите, что у меня странная логика. Если я заливаю в бак бензин, то это не означает, что как только я сменю двигатель на дизельный, то топливо резко само по себе превратится в соляру

Изменено 25 ноября, 2022 пользователем 4e.Guevara

[keshun]

Подтверждаю, ситуация не поменялась.

[keenet07]

Поправьте вот это:

Или отдельную тему создать, чтоб не потерялось?