Использовать ECS (EDNS Client Subnet) для запросов к добавленным DNS-over-TLS резолверам

[helljumper2]

Поддержка ECS сегодня ожидается по-умолчанию, а его отсутствие ломает логику geo dns сервисов, дающих привязку ip адреса к региону, как это например умеет делать AWS Route 53. В идеале по-умолчанию это должно присутствовать и быть включенным, а не наоборот.

У меня такой кейс - я игнорирую dns-ы провайдера, настроены несколько DoT серверов cloudflare и google. Если я запрашиваю домен использующий geo dns на aws route53 - то от кинетика я получаю "глобальный ответ". Если я запрашиваю из терминала на ноуте теже самые DoT серверы и этот домен - то получаю правильный, региональный адрес. Используется самая свежая на данный момент версия 4.6.3 на кинетике ультра. Соответственно, делаю вывод что это именно роутер не отправляет ECS в dns запросах к DoT серверам.

Только для особо параноидальных сценариев можно было бы добавить настройку отключения пересылки подсети в dns запросах, хотя тут можно использовать и специальный резолвер, как например quad9 в дефолтном исполнении 9.9.9.9.

Просьба - обратить внимание, и починить эту историю.

 

[Le ecureuil]

Cloudflare не поддерживает ECS, причем явно говорят что это "мешает privacy".

Я лично с ними согласен.

[helljumper2]

Это вопрос выбора резолвера, ставьте в настройках какой кому нравится - privacy или обычный. К тому же через cloudflare (мимо роутера) ответы таки приходят верные, соответствующие региону, возможно просто за счет большого количества точек присутствия.

Не означает что роутер должен иметь свою политику и мнение по этому вопросу, кроме как через наличие настройки в конфигураторе и описания в документации. Ваше личное мнение по данному вопросу тоже извините, но не должно учитываться дальше вашего персонального оборудования.

Есть стандарты, технологии - оборудование должно поддерживать их и уметь с ними работать. Задача предоставить пользователю возможности и пояснения, и дать делать выбор самостоятельно.

[helljumper2]

Кстати, cloudflare умеет и так:

Цитата

(Optional) Toggle the following settings:

• Enable EDNS client subnet sends a user's IP geolocation to authoritative DNS nameservers. EDNS Client Subnet (ECS) helps reduce latency by routing the user to the closest origin server. Cloudflare enables EDNS in a privacy preserving way by not sending the user's exact IP address but rather the first /24 range of the larger range that contains their IP address. This /24 range will share the same geographic location as the user's exact IP address.

что является неплохим компромиссом, что-то похожее умеет делать и Adguard DNS.

Поэтому повторюсь, уровень privacy тут легко может регулироваться за счет правильного выбора резолвера, лишь бы роутер обращаясь к нему отправлял нужную информацию. Для максимально враждебного окружения - чтобы это была отключаемая настройка в конфигураторе.

Edited October 3, 2025 by helljumper2

[Le ecureuil]

14 минут назад, helljumper2 сказал:

Кстати, cloudflare умеет и так:

что является неплохим компромиссом, что-то похожее умеет делать и Adguard DNS.

Поэтому повторюсь, уровень privacy тут легко может регулироваться за счет правильного выбора резолвера, лишь бы роутер обращаясь к нему отправлял нужную информацию. Для максимально враждебного окружения - чтобы это была отключаемая настройка в конфигураторе.

Не всегда роутер знает свое местоположение и даже примерный реальный адрес.

Вот например выдали ему что-то из CGNAT или из RFC1918 private, что он должен подставить в ECS?

[Le ecureuil]

2 часа назад, helljumper2 сказал:

Ваше личное мнение по данному вопросу тоже извините, но не должно учитываться дальше вашего персонального оборудования.

 

Еще как является - поскольку этот форум не является официальной поддержкой или официальной книгой обращений, то на этом форуме только мое личное мнение и желание что-то делать играет роль (в темах про DNS как минимум).

[Le ecureuil]

Кстати, авторы RFC тоже думают что ECS должен быть выключен по-умолчанию:

https://datatracker.ietf.org/doc/html/rfc7871#section-2

Цитата

 We recommend that the feature be turned off by default in all
   nameserver software, and that operators only enable it explicitly in
   those circumstances where it provides a clear benefit for their
   clients.  We also encourage the deployment of means to allow users to
   make use of the opt-out provided.  Finally, we recommend that others
   avoid techniques that may introduce additional metadata in future
   work, as it may damage user trust.

 

[hoaxisr]

1 час назад, Le ecureuil сказал:

Еще как является - поскольку этот форум не является официальной поддержкой или официальной книгой обращений, то на этом форуме только мое личное мнение и желание что-то делать играет роль.

А можно я задам вопрос, по теме ECS DNS - поскольку сейчас имеется функционал доменных списков, возможно ли рассчитывать на появление в будущем возможности назначать этим спискам специфичный DNS сервер и указывать определённый IP (ECS DNS) для того, чтобы резолвить IP из CDN ближе к точке выхода интерфейса, через который этот доменный список маршрутизируется? Ведь это улучшит пользовательский опыт? 

[Le ecureuil]

9 минут назад, hoaxisr сказал:

А можно я задам вопрос, по теме ECS DNS - поскольку сейчас имеется функционал доменных списков, возможно ли рассчитывать на появление в будущем возможности назначать этим спискам специфичный DNS сервер и указывать определённый IP (ECS DNS) для того, чтобы резолвить IP из CDN ближе к точке выхода интерфейса, через который этот доменный список маршрутизируется? Ведь это улучшит пользовательский опыт? 

Пока это все в стадии продумывания. Сейчас на самом деле в общем случае даже выходной IP конкретного запроса узнать - та еще задача, поскольку может быть десяток WAN, пара политик, и хосты перемешаны между политиками с разными WAN, также могут быть DNS-серверы лежащие внутри периметров сетей предприятия со спецдоменами, также на некоторые хосты могут быть явно повешены профили или фильтры, а также на WAN-интерфейсе может быть непубличный адрес. Вот как только в этом всем комплексе настроек будет понятно как использовать ECS, то можно обсуждать его внедрение. Делать же чтобы это работало "по-тупому": в основной политике без фильтров только на основном WAN очень не хочется, это точно не улучшит пользовательский опыт.

[hoaxisr]

22 минуты назад, Le ecureuil сказал:

Пока это все в стадии продумывания. Сейчас на самом деле в общем случае даже выходной IP конкретного запроса узнать - та еще задача, поскольку может быть десяток WAN, пара политик, и хосты перемешаны между политиками с разными WAN, также могут быть DNS-серверы лежащие внутри периметров сетей предприятия со спецдоменами, также на некоторые хосты могут быть явно повешены профили или фильтры, а также на WAN-интерфейсе может быть непубличный адрес. Вот как только в этом всем комплексе настроек будет понятно как использовать ECS, то можно обсуждать его внедрение. Делать же чтобы это работало "по-тупому": в основной политике без фильтров только на основном WAN очень не хочется, это точно не улучшит пользовательский опыт.

100%. 

Спасибо, что дали развернутый ответ.

Возможно наиболее простым на первоначальном этапе будет не автоматизировать эту историю. Поскольку часть кейсов использования это когда пользователь точно знает IP точки выхода своего интерфейса и может просто указывать его руками. 

Насколько я понимаю сейчас идет этап построения концепции как будет работать DNS резолв на роутере и отлично, что вы смотрите в сторону расширения возможностей для настройки. Будем ждать реализации