5.0 Alpha 9: некорректная работа dns-proxy route object-group

[dimon27254]

@Le ecureuil

1. После запуска Кинетика у меня почему-то автоматически не включается динамическая DNS маршрутизация. Приходится вручную вводить команду dns-proxy route object-group ..., чтобы перезаписать имеющуюся настройку. После этого маршрутизация "оживает".

2. Доступ к доменам, маршрутизируемым средствами dns-proxy route object-group, работает не всегда корректно - периодчески наблюдаю то долгую загрузку сайтов, то недогрузку контента на них, то ошибки подключения. При этом, ping и traceroute проходят нормально, и в них я вижу шлюзом свой VPN-сервер.

Спойлер

Проверял на KN-1012.

Edited July 28, 2025 by dimon27254

[Le ecureuil]

1. Посмотрю.

2. Есть вероятность, что не успевает наполнится ipset, и тут мало что можно будет сделать, кроме как "предпрогрев" (который, кстати, все дружно высказали как бестолковый, только зря молотящий).

[dimon27254]

13 минут назад, Le ecureuil сказал:

Есть вероятность, что не успевает наполнится ipset, и тут мало что можно будет сделать, кроме как "предпрогрев" (который, кстати, все дружно высказали как бестолковый, только зря молотящий).

Дело в том, что при использовании этого же object-group в opkg, где я собственным скриптом маршрутизирую трафик, все загружается сразу и без задержек.

[Denis P]

12 часов назад, Le ecureuil сказал:

1. Посмотрю.

2. Есть вероятность, что не успевает наполнится ipset, и тут мало что можно будет сделать, кроме как "предпрогрев" (который, кстати, все дружно высказали как бестолковый, только зря молотящий).

по поводу п1, вот пример правил при котором всё работает отлично, возможно оно не совсем вписывается в логику правил netfilter заложенную вами, но тем не менее

-A PREROUTING -m set --match-set _NDM_OGDN_4_@test dst -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0xffffaac/0xffffffff
-A PREROUTING -m set --match-set _NDM_OGDN_4_@test dst -m conntrack --ctstate RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff

а с тем что появилось в 5а9

-A _NDM_DNSRT_PREROUTING_MANGLE -m set --match-set _NDM_OGDN_4_@test dst --return-nomatch ! --update-counters -j MARK --set-xmark 0xffffaac/0xffffffff

и

104:    from all fwmark 0xffffaac lookup 14

нормально маршрутизируется только часть пакетов, mtr tracert и ко показывают красивую картинку, но остальное почти не работает.
т.е проблема явно с метками, а не самой маршрутизацией как таковой

насчет п2

"предпрогрев" бессмысленный и вот почему - для большого количества сценариев интересны поддомены, а эту проблему он не решает вообще никак.



 

Edited July 28, 2025 by Denis P

[Le ecureuil]

Всем спасибо за репорты, в следующей версии должно быть все нормально.

[Denis P]

В 29.07.2025 в 17:06, Le ecureuil сказал:

Всем спасибо за репорты, в следующей версии должно быть все нормально.

спасибо, в A10 всё отлично

[dimon27254]

В 29.07.2025 в 21:06, Le ecureuil сказал:

Всем спасибо за репорты, в следующей версии должно быть все нормально

Подтверждаю, все ошибки исправлены. Спасибо!

[Хаос]

А это, разве так и должно быть? 

[Le ecureuil]

2 часа назад, Хаос сказал:

А это, разве так и должно быть? 

Покажите полный self-test.

[Denis P]

@Le ecureuil радость длилась недолго, начали вылезать ошибки

предположу что из-за включенного интернет фильтра AdGuard (на других устройствах интернет фильтр активирован не был и ошибок тоже нет)

Dns::Route::ResolveQueue: system failed [0xcffd0046].

но и после его отключения продолжают сыпаться

self-test в следующем сообщении

Edited August 4, 2025 by Denis P

[pegakmop]

3 минуты назад, Denis P сказал:

радость длилась недолго, начали вылезать ошибки, предположу что из-за включенного интернет фильтра AGH

Скорее всего, потому что у меня начисто стоит маршрутизация и никаких проблем на данный момент и сбоев не было(с 5.9 на 5.10 обновлялся через сброс до заводских настроек, после установки ничего не настраивал только закинул маршрутизацию объект груп по доменам и больше ничего, не знаю пригодится ли тебе данный фидбэк или кому либо из пользователей)

 

 

я так понимаю тут включал? И какой включал? Ща проверим на ошибки вдруг смогу повторить 

Edited August 4, 2025 by pegakmop
Уточняю хочу попробовать повторить ошибку

[Denis P]

снова повторилось и снова же с активированным Интернет фильтром, ошибки начинают появляться не сразу, в журнале это хорошо видно, но каких-то других событий, которые этому предшествуют нет, новый self-test в следующем сообщении, даже частично был включен dns-proxy debug

p/s на самом деле происходит и при использовании opkg object-group fqdn и на 4.3.5 в комплекте с интернет фильтрами
 

[Le ecureuil]

В 03.08.2025 в 12:41, Хаос сказал:

А это, разве так и должно быть? 

Спасибо за репорт, будет исправлено в следующей версии.

[Le ecureuil]

18 часов назад, Denis P сказал:

@Le ecureuil радость длилась недолго, начали вылезать ошибки

предположу что из-за включенного интернет фильтра AdGuard (на других устройствах интернет фильтр активирован не был и ошибок тоже нет)

Dns::Route::ResolveQueue: system failed [0xcffd0046].

но и после его отключения продолжают сыпаться

self-test в следующем сообщении

Есть какая-то проблема с ipset похоже, добавлю побольше отладочной информации чтобы было понятнее.

[pegakmop]

19 часов назад, Le ecureuil сказал:

Спасибо за репорт, будет исправлено в следующей версии.

Посмотрите в соседней теме не знаю ошибка или не реализовано show потому и не стал сюда репортить

 

Edited August 6, 2025 by pegakmop
Добавил ссылку

[Denis P]

В 05.08.2025 в 14:59, Le ecureuil сказал:

Есть какая-то проблема с ipset похоже, добавлю побольше отладочной информации чтобы было понятнее.

небольшой upd
именно в сочетании с "интернет фильтрами" воспроизводится, но не сразу, а только через какое-то время вплоть до 10-12 часов
лечится отключением и включением снова opkg object-group fqdn или соответственно dns-proxy route (в зависимости от того что используем) 
убираем фильтры - ставим любые днсы, хоть plaintext хоть dot/doh - всё ок, работает нормально 24/7

Edited August 7, 2025 by Denis P

[keshun]

Еще вопрос. Так и задумано, что нельзя удалить домен? 5.0 A11

[Denis P]

16 минут назад, keshun сказал:

Еще вопрос. Так и задумано, что нельзя удалить домен? 5.0 A11

исключить можно ip адрес, о чем вам ошибка и сообщает, а удалить домен это через no include

Edited August 9, 2025 by Denis P

[Denis P]

@Le ecureuil 
на A11 даже отключение dns-proxy route не помогает и ошибки продолжают сыпаться и судя по дебагу он идут попытки разрешить адреса из списка, явно что-то где-то работает не так как задумано, self как обычно в следующем сообщении
и опять же всему виной "интернет фильтры" без них всё хорошо
"починить" теперь можно только если полностью снести OG

Edited August 10, 2025 by Denis P

[keshun]

В 09.08.2025 в 23:05, Denis P сказал:

исключить можно ip адрес, о чем вам ошибка и сообщает, а удалить домен это через no include

А если надо исключить домен 3,4,5 и т.д. уровня, у которого n-количество адресов?

[Denis P]

@Le ecureuil я так понимаю в А12 были изменения какие-то в этой части, больше воспроизвести не получается

[avn]

В 11.08.2025 в 14:02, keshun сказал:

А если надо исключить домен 3,4,5 и т.д. уровня, у которого n-количество адресов?

Мы не знаем эти n адресов. Их исключить невозможно. Исключения только по ip адресу. И это правильно.

Спойлер

Пояснение/ Пусть есть пул адресов для сайта a.b.c.ru, который нам (конечным пользователям неизвестен)

1.10.34.1
1.10.34.2
1.10.34.3
1.10.34.4
1.10.34.5
1.10.34.6
1.10.34.7
1.10.34.8
.. еще 100 штук

Клиент домашней сети запрашивает страницу a.b.c.ru. DNS-сервер роутера идет на вышестоящие днс-сервера и вышестоящий сервер ДНС (google,cf,yandex, и т.д.) отдает один произвольный адрес из пула, например (1.10.34.5). Этот адрес на роутере попадает в ipset (1.10.34.5) и начинает работать маршрутизация с этим ipset.

Если надо исключить сайт, a.b.c.ru - то надо знать все ip-адреса. А это невозможно, потому-что вышестоящий сервер ДНС - возращает один произвольный адрес (упрощенно). И даже если мы сделаем 100 запросов на вышестоящие днс-сервера, в ответ мы можем получать один и тот же ответ.

 

 

Edited August 20, 2025 by avn

[keshun]

15 часов назад, avn сказал:

  Показать контент

ояснение/ Пусть есть пул адресов для сайта a.b.c.ru, который нам (конечным пользователям неизвестен)

1.10.34.1
1.10.34.2
1.10.34.3
1.10.34.4
1.10.34.5
1.10.34.6
1.10.34.7
1.10.34.8
.. еще 100 штук

Клиент домашней сети запрашивает страницу a.b.c.ru. DNS-сервер роутера идет на вышестоящие днс-сервера и вышестоящий сервер ДНС (google,cf,yandex, и т.д.) отдает один произвольный адрес из пула, например (1.10.34.5). Этот адрес на роутере попадает в ipset (1.10.34.5) и начинает работать маршрутизация с этим ipset.

Если надо исключить сайт, a.b.c.ru - то надо знать все ip-адреса. А это невозможно, потому-что вышестоящий сервер ДНС - возращает один произвольный адрес (упрощенно). И даже если мы сделаем 100 запросов на вышестоящие днс-сервера, в ответ мы можем получать один и тот же ответ.

 

 

Все правильно, для этого  и надо исключение по имени, чтобы при запросе конкретного имени, ответ от вышестоящего DNS сервера шел в основную таблицу маршрутизации, а не в туннель.

Edited August 21, 2025 by keshun

[Le ecureuil]

1 час назад, keshun сказал:

Все правильно, для этого  и надо исключение по имени, чтобы при запросе конкретного имени, ответ от вышестоящего DNS сервера шел в основную таблицу маршрутизации, а не в туннель.

В следующей версии 5.0 будет возможность задавать domain в exclude.

Он будет менее приоритетным отнсительно include, то есть исключить будет можно только какой-то из поддоменов, который уже есть в include.

Сделать наоборот, то есть исключить домен, а потом включить его поддомены - невозможно.

[Le ecureuil]

В 04.08.2025 в 20:37, Denis P сказал:

@Le ecureuil радость длилась недолго, начали вылезать ошибки

предположу что из-за включенного интернет фильтра AdGuard (на других устройствах интернет фильтр активирован не был и ошибок тоже нет)

Dns::Route::ResolveQueue: system failed [0xcffd0046].

но и после его отключения продолжают сыпаться

self-test в следующем сообщении

Спасибо за репорт, в следующем выпуске 5.0 будет исправлено.

Это из-за того, что фильтры отдают DNS-ответы с нулевыми адресами (букально 0.0.0.0), а в IPset нельзя добавлять такие адреса.