snat Отключить SNAT всех DNS-запросов либо отключить встроенный DNS Keenetic, сохраняя возможность блокировки транзитных соединений

[coolak-fantom]

Здравствуйте!

 

Хочу разобраться, можно ли настроить Keenetic так, чтобы все устройства отображались со своими реальными IP в логах моего DNS-сервера (Control D), но при этом:

1. Не отключать встроенный DNS Keenetic, то есть оставить работу ndnproxy, но при этом убрать SNAT или иным способом добиться, чтобы реальные IP клиентов сохранялись. Идеально, если можно вообще обойтись без Entware — например, настроить Control D как основной DoH/DoT непосредственно в «Интернет Безопасности» Keenetic.

2. Если всё-таки не обойтись без Entware, возможно ли сохранить функцию «Transit requests blocked» (чтобы никто не мог использовать сторонние DNS-серверы) и одновременно направлять все DNS-запросы в мой Entware-сервис (ctrld скрипт, который рабоет вместо DNS-сервера Keenetic), не вдаваясь в ручную настройку iptables?

 

Буду очень благодарен за любую подсказку или готовые рецепты, как это сделать. Не хочется терять аппаратное ускорение, но и видеть реальный IP каждого клиента (а не IP роутера) в логах DNS — очень важно.

 

Спасибо!

[coolak-fantom]

P. S. Я на самом последнем тестовом билде 4.3 Alpha 12.

[Le ecureuil]

А как у вас реальные IP из локалки выйдут в интернет и дойдут до ControlD?