Контент фильтрация, с любым профилем, не пропускает DoH и DoT запросы с клиента в домашней сети

[asdf123456]

Доброго времени суток всем!

Есть сложность. 

Настроил на своей локальной машине dnscrypt-proxy, использую yandex, cloudflare-security и google серверы DoH.

Долго не мог понять почему не работает, пока не отключил контент-фильтрацию, после чего стал получать ответы.

В чём может быть дело?

[keenet07]

2 часа назад, asdf123456 сказал:

В чём может быть дело?

В том что контентный фильтр перехватывает и не пропускает запросы на всякие левые DNS. В этом его функция.

Если нужно чтоб всё проходило настройте системные DOH/DOT и поставьте галочку Транзит трафика.

Изменено 9 мая пользователем keenet07

[asdf123456]

13 минут назад, keenet07 сказал:

В том что контентный фильтр перехватывает и не пропускает запросы на всякие левые DNS. В этом его функция.

Если нужно чтоб всё проходило настройте системные DOH/DOT и поставьте галочку Транзит трафика.

неа, не работает, обычные dns пропускает, doh и dot не пропускает

```
curl -vvv -X GET https://8.8.4.4/dns-query?dns=yv4BAAABAAAAAAABAAACAAEAACkQAAAAAAAAFAAMABBKuUIFT3o-rrxTahzMWeVp
Note: Unnecessary use of -X or --request, GET is already inferred.
09:19:44.507190 [0-x] == Info: [READ] client_reset, clear readers
09:19:44.507403 [0-0] == Info: [HTTPS-CONNECT] created with 1 ALPNs -> 0
09:19:44.507598 [0-0] == Info: [HTTPS-CONNECT] added
09:19:44.507758 [0-0] == Info: [HTTPS-CONNECT] connect, init
09:19:44.507962 [0-0] == Info:   Trying 8.8.4.4:443...
09:19:44.508215 [0-0] == Info: [HTTPS-CONNECT] connect -> 0, done=0
09:19:44.508388 [0-0] == Info: [HTTPS-CONNECT] adjust_pollset -> 1 socks
09:19:44.510456 [0-0] == Info: connect to 8.8.4.4 port 443 from 192.168.3.50 port 41334 failed: No route to host
09:19:44.510786 [0-0] == Info: Failed to connect to 8.8.4.4 port 443 after 3 ms: Could not connect to server
09:19:44.511064 [0-0] == Info: [HTTPS-CONNECT] connect, all failed
09:19:44.511230 [0-0] == Info: [HTTPS-CONNECT] connect -> 7, done=0
09:19:44.511434 [0-0] == Info: [WRITE] cw-out done
09:19:44.511560 [0-0] == Info: closing connection #0
09:19:44.511771 [0-0] == Info: [HTTPS-CONNECT] close
09:19:44.511961 [0-0] == Info: [SETUP] close
09:19:44.512124 [0-0] == Info: [SETUP] destroy
09:19:44.512290 [0-0] == Info: [HTTPS-CONNECT] destroy
curl: (7) Failed to connect to 8.8.4.4 port 443 after 3 ms: Could not connect to server
```

[asdf123456]

и почему это они левые? я допустим окажусь в каком-нибудь кафе, и не хочу использовать их dns, хочу свой, а тут такое, грустно

[keenet07]

33 минуты назад, asdf123456 сказал:

неа, не работает, обычные dns пропускает, doh и dot не пропускает

Либо вы что-то упустили, либо какой-то баг появился. 

Отключаете контентный фильтр. Забиваете в соседней вкладке системные DNS. Ставите там в активном профиле ДНС галочку Транзит трафика. И обязательно перезагружаете устройство. Без перезагрузки транзит не применяется.

34 минуты назад, asdf123456 сказал:

и почему это они левые? я допустим окажусь в каком-нибудь кафе, и не хочу использовать их dns, хочу свой, а тут такое, грустно

Потому что задача контентного фильтра пропустить все запросы через себя и не дать воспользоваться обходными путями. Т.е. добиться своей задачи - фильтрации DNS запросов. Если вам этого не требуется, зачем активировать контентный фильтр?

[asdf123456]

> Если вам этого не требуется, зачем активировать контентный фильтр?

всем кто подключается назначается dns кинетика, а мне это не нужно

ща перезагружу, но скорее всего транзит я давно включил, перезагрузки уже были

[asdf123456]

проверил

```

>nslookup ya.ru 8.8.4.4
Server:        8.8.4.4
Address:    8.8.4.4#53

Non-authoritative answer:
Name:    ya.ru
Address: 77.88.44.242
Name:    ya.ru
Address: 5.255.255.242
Name:    ya.ru
Address: 77.88.55.242
Name:    ya.ru
Address: 2a02:6b8::2:242

> curl -vvv -X GET https://8.8.4.4/dns-query?dns=yv4BAAABAAAAAAABAAACAAEAACkQAAAAAAAAFAAMABBKuUIFT3o-rrxTahzMWeVp
Note: Unnecessary use of -X or --request, GET is already inferred.
10:07:41.587408 [0-x] == Info: [READ] client_reset, clear readers
10:07:41.587618 [0-0] == Info: [HTTPS-CONNECT] created with 1 ALPNs -> 0
10:07:41.587800 [0-0] == Info: [HTTPS-CONNECT] added
10:07:41.587947 [0-0] == Info: [HTTPS-CONNECT] connect, init
10:07:41.588141 [0-0] == Info:   Trying 8.8.4.4:443...
10:07:41.588378 [0-0] == Info: [HTTPS-CONNECT] connect -> 0, done=0
10:07:41.588597 [0-0] == Info: [HTTPS-CONNECT] adjust_pollset -> 1 socks
10:07:41.591952 [0-0] == Info: connect to 8.8.4.4 port 443 from 192.168.3.50 port 59608 failed: No route to host
10:07:41.592291 [0-0] == Info: Failed to connect to 8.8.4.4 port 443 after 4 ms: Could not connect to server
10:07:41.592752 [0-0] == Info: [HTTPS-CONNECT] connect, all failed
10:07:41.592959 [0-0] == Info: [HTTPS-CONNECT] connect -> 7, done=0
10:07:41.593190 [0-0] == Info: [WRITE] cw-out done
10:07:41.593380 [0-0] == Info: closing connection #0
10:07:41.593546 [0-0] == Info: [HTTPS-CONNECT] close
10:07:41.593697 [0-0] == Info: [SETUP] close
10:07:41.593851 [0-0] == Info: [SETUP] destroy
10:07:41.593997 [0-0] == Info: [HTTPS-CONNECT] destroy
curl: (7) Failed to connect to 8.8.4.4 port 443 after 4 ms: Could not connect to server

```

 

не работает, похоже на баг

[asdf123456]

@keenet07

может какой то воркораунд придумать? который ничего не ломает, но ход на некоторые серверы по некоторому порту открывает?

 

[keenet07]

3 часа назад, asdf123456 сказал:

@keenet07

может какой то воркораунд придумать? который ничего не ломает, но ход на некоторые серверы по некоторому порту открывает?

 

Попробуйте запутать систему через перенаправление портов.

Адреса сделайте левые и порты не стандартные.

[Le ecureuil]

В 09.05.2025 в 07:00, asdf123456 сказал:

Доброго времени суток всем!

Есть сложность. 

Настроил на своей локальной машине dnscrypt-proxy, использую yandex, cloudflare-security и google серверы DoH.

Долго не мог понять почему не работает, пока не отключил контент-фильтрацию, после чего стал получать ответы.

В чём может быть дело?

Это сделано специально, чтобы никто через зашифрованные DNS не смог обойти фильтрацию.