Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Утечка DNS при использовании "Маршруты DNS"

Сергей Грищенко

Ответ от Сергей Грищенко,

 Поделиться

Вопрос

Сергей Грищенко Продвинутый пользователь

Сергей Грищенко

Опубликовано
Опубликовано (изменено)

Здравствуйте! Заметил утечку DNS при использовании "Маршруты DNS".

У меня:

  • Netcraze ultra 1812
  • VPN wireguard
  • Версия 5.0 Beta 3

Для проверки добавил домены ниже в Маршруты DNS:

и проверил через эти же сервисы, показывает РФ DNS и мой IP РФ, хотя VPN был зарубежный.

По хорошему должен весь трафик и DNS идти через VPN, как это происходит при обычном подключении.

Временно решил эту проблему через DoH и DoT, принудительно указав их только для VPN, однако они работают и для сайтов без VPN. Не ясно ошибка это или нет, но хотелось бы что бы DoH и DoT работали только для VPN как я указал.

 

Изменено пользователем Сергей Грищенко

11 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Denis P Старожил

Denis P

Опубликовано
Опубликовано
11 минут назад, Сергей Грищенко сказал:

По хорошему должен весь трафик и DNS идти через VPN, как это происходит при обычном подключении.

Кому должен?

  • 0
avn Старожил

avn

Опубликовано
Опубликовано (изменено)
31 минуту назад, Сергей Грищенко сказал:

Здравствуйте! Заметил утечку DNS при использовании "Маршруты DNS".

У меня:

  • Netcraze ultra 1812
  • VPN wireguard
  • Версия 5.0 Beta 3

Для проверки добавил адреса ниже в Маршруты DNS:

и проверил через их сервисы, показывает РФ, хотя VPN был зарубежный.

По хорошему должен весь трафик и DNS идти через VPN, как это происходит при обычном подключении.

Временно решил эту проблему через DoH и DoT, принудительно указав их только для VPN, однако они работают и для сайтов без VPN. Не ясно ошибка это или нет, но хотелось бы что бы DoH и DoT работали только для VPN как я указал.

 

 

  

https://browserleaks.com/dns
https://dnsleaktest.com/

Для DNS-маршрутизации это не верный формат, надо указывать только домены.

Изменено пользователем avn
  • 0
Сергей Грищенко Продвинутый пользователь

Сергей Грищенко

Опубликовано
  • Автор
Опубликовано (изменено)
26 минут назад, Denis P сказал:

Кому должен?

Вопрос не совсем ясен, рассказать почему при VPN подключении не нужно светить DNS вне VPN?

Если домен отправляется через VPN (split-tunnel/правило маршрутизации), то DNS-запросы к этому домену обязаны уходить тем же путём — через интерфейс VPN; резолвинг и передача данных должны совпадать. Иначе это DNS-утечка: запрос уходит к провайдерскому резолверу, сайты видят РФ, возможны блокировки/неправильный геоконтент и потеря приватности. Поэтому говорить «кому должен» некорректно — корректная конфигурация VPN предполагает отсутствие DNS-утечек: либо полный туннель, либо закреплённые маршруты/привязка DoH/DoT к интерфейсу VPN.

Изменено пользователем Сергей Грищенко
  • 0
avn Старожил

avn

Опубликовано
Опубликовано
Только что, Сергей Грищенко сказал:

тут опечатка, указывал домены

Тут не опечатка, а огромный минус. Из вопроса не понятно, какие домены вы указывали. 

  • 0
avn Старожил

avn

Опубликовано
Опубликовано (изменено)
44 минуты назад, Сергей Грищенко сказал:

По хорошему должен весь трафик и DNS идти через VPN, как это происходит при обычном подключении.

 

 

По поему скромному мнению, не должен. dns - траффик - это не траффик клиента (forward), а траффик роутера (output).

Изменено пользователем avn
  • Лайк 2
  • 0
keenet07 Старожил

keenet07

Опубликовано
Опубликовано (изменено)
2 часа назад, Сергей Грищенко сказал:

Временно решил эту проблему через DoH и DoT, принудительно указав их только для VPN, однако они работают и для сайтов без VPN. Не ясно ошибка это или нет, но хотелось бы что бы DoH и DoT работали только для VPN как я указал.

Если в системе указаны DOH/DOT то всё резолвится через них. Исключение это простые DNS сервера внесенные для конкретных доменов. Они будут резолвиться так как укажите. Может быть это решит вашу задачу.

11.JPG.57d298da5a64008beff0990601709376.JPG

 

Для домена provider.ru и всех его поддоменов будет использоваться обычный 8.8.8.8 DNS сервер.

Вместо него можете указать DNS своего провайдера.

Изменено пользователем keenet07
  • 0
keenet07 Старожил

keenet07

Опубликовано
Опубликовано
2 часа назад, Сергей Грищенко сказал:

По хорошему должен весь трафик и DNS идти через VPN, как это происходит при обычном подключении.

Нет. не всем так нужно. А какому-то и совсем даже не нужно. 

Но если вам нужно и если вы используете публичные резолверы сделайте для них маршрут который пустит DNS трафик через VPN когда он активен.

  • 0
Сергей Грищенко Продвинутый пользователь

Сергей Грищенко

Опубликовано
  • Автор
Опубликовано
19 часов назад, keenet07 сказал:

Но если вам нужно и если вы используете публичные резолверы сделайте для них маршрут который пустит DNS трафик через VPN когда он активен.

Буду благодарен если расскажите как, у меня к сожалению так и не вышло разделить vpn dns и dns от провайдера.

  • 0
Gonzik Продвинутый пользователь

Gonzik

Опубликовано
Опубликовано (изменено)
5 часов назад, Сергей Грищенко сказал:

Буду благодарен если расскажите как, у меня к сожалению так и не вышло разделить vpn dns и dns от провайдера.

В разделе настроек интернет соединения поставьте галочку "Игнорировать DNS интернет-провайдера".

В разделе "Интернет-фильтры" - "Настройка DNS" добавьте себе необходимые простые DNS-сервера для различных интерфейсов.

Если надо для неВПН соединений именно днс провайдера, ну и пропишите его себе для интерфейса соединения провайдера.

Цитата

При включении протокола DoT/DoH все DNS-запросы будут направляться на указанный при настройке адрес сервера. Полученные ранее DNS-серверы от вашего интернет-провайдера и прописанные вручную DNS-серверы использоваться не будут.

Если включен один из интернет-фильтров AdGuard DNSЯндекс.DNS или SkyDNS, то все DNS-запросы будут направляться на указанный адрес сервиса с назначенным профилем зарегистрированному устройству в домашней сети. При назначении профиля Без фильтрации все запросы будут направляться через включенные протоколы DoT/DoH.

 

Изменено пользователем Gonzik

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   1 пользователь онлайн

×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю