dns-proxy Странное поведение DNS и WG

[Helby]

Ребята, привет!

Не могу понять закономерность работы. Прошу помочь советом.

Вводные:

• Железо: Ultra KN-1811 на 5.0.4
• Основное подключение в Политике по умолчанию: туннель WG
• Второе подключение (МТС): Ethernet
• Игнорирование DNS провайдера: да
• DNS-Маршруты: да, список напрямую, остальное в туннель
• DNS DOT: нет
• DNS DOH: да
• DNS к подключению МТС: да, Google и CF.

Без заполнения DNS к подключению МТС система не сразу резолвит DOH, о чём в логах идут сообщения, что невозможно отрезолвить, пробуем откатиться к fallback DNS. Тут логика понятная. Как он их отрезолвит, если резолвить не через что с одной стороны.
С другой стороны, несмотря на такие сообщения в логах, сайты открываются, кроме тех, что указаны на скрине с жесткой привязкой по доменам.

Иногда случаются утечки DNS и тот же ChatGPT об этом сообщает отказом загружать страницу и IP провадера.
dnscheck.tools в эти моменты показывает помимо IP адреса VPS непосредственно IP адрес МТС. Спустя пару-тройку минут после очередной ipconfig /flushdns IP адрес провайдера в dnscheck.tools пропадает и ChatGPT начинает работать. Утечка уходит. При этом домены без жесткой привязки к определённым резолверам (скрин) отказываться резолвиться и, как следствие, ресурсы не открываются. Не смотря на это, nslookup с клиентов проходит и возвращает IP адреса "проблемных" доменов.

В конфигурации туннеля WG DNS не прописан, так как настроен DOH для всех интерфейсов. Прописывание DNS туннеля не меняет ситуацию.

Количество дней без вопросов о DNS: 0. 😃

Заранее благодарен всем, кто откликнется помочь.

 

Изменено Среда в 13:35 пользователем Helby

[jinndi]

Сложная логика. Удали попробуй обычные днс к МТС, и что за домены к DOH припысаны после адреса к https днс серверу? это тоже не нужно

[Helby]

11 minutes ago, jinndi said:

Сложная логика. Удали попробуй обычные днс к МТС, и что за домены к DOH припысаны после адреса к https днс серверу? это тоже не нужно

Это как раз те проблемные домены, о которых я пишу.

Прописав таким образом я создал связку (бинд), что эти домены резолвить строго через узазанные DNS. Без этого, через общий DNS для всех подключений и Политик, они не работают, хотя и резолвятся через nslookup c клиентов сети (LAN и Wi-Fi).

Удаляя обычные DNS у подключения МТС я получаю в логах "unable to obtain addresses for dns.google, fallback to recursive DNS to resolve dns.google", о чём я тоже пишу в своём посте.

Вот тут у ТС такая же проблема описана, но там был баг, неужели его снова "завезли" на 5.0.4?

 

Опять же, я почему-то полагал, что DNS трафик при условии, что туннель является основным подключением, должен также ходить через туннель, но очевидно, что это не так в случае с WG/AWG.

Изменено Среда в 14:44 пользователем Helby

[Helby]

Отчасти проблема в этом, как мне думается.

 

[jinndi]

1 час назад, Helby сказал:

Прописав таким образом я создал связку (бинд), что эти домены резолвить строго через узазанные DNS

откуда такая информация, не знал честно

[Helby]

5 minutes ago, jinndi said:

откуда такая информация, не знал честно

DNS Conditional Forwarding

1. Через веб-интерфейс (современный способ)

В актуальных версиях KeeneticOS эта функция встроена в настройки DNS: 

1. Перейдите в меню «Сетевые правила» → «Интернет-фильтр».
2. Откройте вкладку «Настройка DNS».
3. Нажмите «Добавить сервер».
4. Введите IP-адрес нужного DNS-сервера.
5. В поле «Домен» (может называться «Для доменов») введите имя домена, который должен обслуживаться этим сервером (например, company.local или example.com).
6. Нажмите «Сохранить». Теперь запросы к этому домену (и его поддоменам) будут уходить только на указанный сервер

[jinndi]

11 минут назад, Helby сказал:

DNS Conditional Forwarding

1. Через веб-интерфейс (современный способ)

В актуальных версиях KeeneticOS эта функция встроена в настройки DNS: 

1. Перейдите в меню «Сетевые правила» → «Интернет-фильтр».
2. Откройте вкладку «Настройка DNS».
3. Нажмите «Добавить сервер».
4. Введите IP-адрес нужного DNS-сервера.
5. В поле «Домен» (может называться «Для доменов») введите имя домена, который должен обслуживаться этим сервером (например, company.local или example.com).
6. Нажмите «Сохранить». Теперь запросы к этому домену (и его поддоменам) будут уходить только на указанный сервер

спасибо, а источник информации если можно дайте, что-то не могу найти про дот дох это

[zubzer0]

Helby, увы встроенный DNS сервер в Keenetic слабо годится для резольва отдельных доменов через конкретные сервера.
решение, только такое, ставить добавочно сторонний днс (напр. adguardhome-go) куданибудь на 153 порт в котором будут прописаны необходимые правила.

а в настройках роутера указать только 192.168.1.1:153
в правила маршрутизации жестко прописать ip через тунель.
например 8.8.8.8 оставить штатно, а для 8.8.4.4 направлять в тунель. 

p.s. помните, что у сайтов, есть и доп.домены. узнать какие поможет расширение для браузера IPvFoo, и лучше использовать домены 2го уровня по типу - example.com

Изменено Среда в 16:35 пользователем zubzer0

[Helby]

11 minutes ago, jinndi said:

спасибо, а источник информации если можно дайте, что-то не могу найти про дот дох это

https://support.keenetic.com/titan/kn-1811/en/22961-additional-dns-servers.html

[Helby]

2 minutes ago, zubzer0 said:

Helby, увы встроенный DNS сервер в Keenetic слабо годится для резольва отдельных доменов через конкретные сервера.
решение, только такое, ставить добавочно сторонний днс (напр. adguardhome-go) куданибудь на 153 порт в котором будут прописаны необходимые правила.

а в настройках роутера указать только 192.168.1.1:153
в правила маршрутизации жестко прописать ip через тунель.
например 8.8.8.8 оставить штатно, а для 8.8.4.4 направлять в тунель. 

p.s. помните, что у сайтов, есть и доп.домены. узнать какие поможет расширение для браузера IPvFoo, и лучше использовать домены 2го уровня по типу - example.com

понял, спасибо большое за ответ.

IPvFoo давно использую, очень удобный инструмент)

[jinndi]

4 минуты назад, Helby сказал:

https://support.keenetic.com/titan/kn-1811/en/22961-additional-dns-servers.html

там про сервер "по умолчанию"

[Helby]

приеду домой и попробую следующее:

1. удалю DOH сервера из конфигурации,
2. DNS строго из туннеля WG (основное подключение в политике по умолчанию),
3. провайдеру оставлю 8-ки чтобы суверенный интернет не пропадал в случае отвала туннеля,
4. проверю на работоспособность и утечки.

[Helby]

1 minute ago, jinndi said:

там про сервер "по умолчанию"

[jinndi]

1 минуту назад, Helby сказал:

ну да, не дот и дох а обычный

[Helby]

1 minute ago, zubzer0 said:

к примеру, я использую такой конфиг в AGH, где 1.1.1.1 и 8.8.8.8 бегают как есть, а 8.8.4.4 и 1.0.0.1 бегают через тунель.

 

tls://1.1.1.1
tls://8.8.8.8
h3://8.8.4.4/dns-query
quic://ipv4-anycast.dns1.nextdns.io
[/ggpht.cn/ggpht.com/google.com/google.ru/googleapis.com/googleusercontent.com/googlevideo.com/gstatic.com/gvt1.com/gvt2.com/withyoutube.com/youtu.be/youtube-nocookie.com/youtube.com/youtube.ru/youtubeeducation.com/youtubefanfest.com/youtubegaming.com/youtubekids.com/youtubemobilesupport.com/yt.be/ytimg.com/goo.gl/g.co/gmail.com/]1.0.0.1 2606:4700:4700::1111

 

я на прошлой неделе пришёл к тому, что теперь проще делать "белые" списки, которые бегают напрямую, до этого работал на КВАСе со списками в туннель. Теперь же у меня туннель это основное соединение, а всё, что суверенное идёт прямо. мобильные устройства в семье по WG подключаются к роутеру (белый IP) при выходе из радиуса домашней Wi-Fi сети и на них так же как и дома всё работает как старые добрые времена.

[Helby]

2 minutes ago, jinndi said:

ну да, не дот и дох а обычный

не имеет значения, попробуйте dot или doh и через nslookup посмотрите с клиента результат. всё работает.

[jinndi]

Только что, jinndi сказал:

ну да, не дот и дох а обычный

поле "домен" в дот и дох днс настройках существует как я думаю если TLS домен не совпадает с SNI доменом сервера подключения

[zubzer0]

9 минут назад, Helby сказал:

я на прошлой неделе пришёл к тому, что теперь проще делать "белые" списки, которые бегают напрямую, до этого работал на КВАСе со списками в туннель. Теперь же у меня туннель это основное соединение, а всё, что суверенное идёт прямо. мобильные устройства в семье по WG подключаются к роутеру (белый IP) при выходе из радиуса домашней Wi-Fi сети и на них так же как и дома всё работает как старые добрые времена.

белые списки сложнее делать. нужно sing-box с фильтром региона . 
иначе всякий торрент трафик может бегать совсем не там где надо. или p2p игрушки тоже...
а оборачивать 10тыс. строчек масок ip адресов ру-провайдеров, никакие роутеры не справиться. 

но при использовании sing-box вы попрощаетесь с TLS1.3 (SNI)

Изменено Среда в 16:54 пользователем zubzer0

[jinndi]

7 минут назад, zubzer0 сказал:

но при использовании sing-box вы попрощаетесь с tls1.3 (SNI)

почему? есть протоколы которые только и через него и работают

[Helby]

1 minute ago, jinndi said:

поле "домен" в дот и дох днс настройках существует как я думаю если TLS домен не совпадает с SNI доменом сервера подключения

однако факт есть факт)

 

1 minute ago, zubzer0 said:

белые списки сложнее делать. нужно sing-box с фильтром региона 

и да и нет, в geo хорошо умеет рентген, но он нативно не поддерживается

 

белый список я составлял самостоятельно для приложений которым важно быть "тут" с помощью Proxyman (iOS).

Учитывая, что маршрутизация поддерживает wildcard, там основных доменов не так уже и много, всё остальное это уже поддомены. Поэтому список у меня получился сильно меньше предыдущего варианта с подсетями и прочими нюансами.

Как итог, трафик туннеля у меня примерно в 2-2,5 раза меньше чем прямой. Соотвественно стриминги, Алисы и прочие штуки - все идут напрямую как и задумано)

Также в статике у меня прописаны подсети для UDP трафика BF6, чтобы не качать обновления и, разумеется, не играть через туннель.

[zubzer0]

1 минуту назад, jinndi сказал:

почему? есть протоколы которые только и через него и работают

увы, взять регион из перехвата SNI вроде как нельзя. 
хотя глянул ченжлог, вроде там какие-то разработки ведутся ... 

[Helby]

11 minutes ago, zubzer0 said:

иначе всякий торрент трафик может бегать совсем не там где надо. или p2p игрушки тоже...

Факт. В этом случае мне проще ПК закинуть в политику DIRECT (только прямой доступ) и скачать, что мне нужно, а потом закинуть его обратно в политику по умолчанию. Понимаю, что моё решение не лучший вариант. Для моих задач и потребностей пока подходит и ладно)

[jinndi]

5 минут назад, Helby сказал:

однако факт есть факт)

тогда почему не работает?

[jinndi]

1 минуту назад, Helby сказал:

Факт. В этом случае мне проще ПК закинуть в политику DIRECT (только прямой доступ) и скачать, что мне нужно, а потом закинуть его обратно в политику по умолчанию. Понимаю, что моё решение не лучший вариант. Для моих задач и потребностей пока подходит и ладно)

там по типу протокола можно маршрутизировать после снифинга , но это ладно от темы отклонились

[Helby]

Just now, jinndi said:

тогда почему не работает?

В конфигурации как на скрине в первом посте всё работает и работает шустро.

Мой вопрос был в том, почему без жёсткой привязки домена к резолверу не работает? Но кажется ответ уже вырисовывается из топиков про тормоза DNS на 5.0.4. 

[Helby]

2 hours ago, Helby said:

Это как раз те проблемные домены, о которых я пишу.

Прописав таким образом я создал связку (бинд), что эти домены резолвить строго через узазанные DNS. Без этого, через общий DNS для всех подключений и Политик, они не работают, хотя и резолвятся через nslookup c клиентов сети (LAN и Wi-Fi).

 

[jinndi]

1 минуту назад, Helby сказал:

Прописав таким образом я создал связку (бинд), что эти домены резолвить строго через узазанные DNS.

но в документации сказано что будет использваться самый быстрый днс сервер по умолчанию и не написано про поле "домен" для DoT/DoH ничего

[zubzer0]

16 минут назад, Helby сказал:

nslookup

кстати, еще немного оффтопика. в тестах "медленного DNS" я как-то поймал странный баг у винды.
встроенная тулза nslookup игнорировала метрику интерфейса, и получалось, что через неё приходили одни ip с одного интерфейса, а всё остальное в ОС согласно метрики получало другие ip с правильного интерфейса. это странное поведение nslookup разрешилось только после перезагрузки ОС. 

Изменено Среда в 17:24 пользователем zubzer0

[Helby]

17 minutes ago, jinndi said:

но в документации сказано что будет использваться самый быстрый днс сервер по умолчанию и не написано про поле "домен" для DoT/DoH ничего

Additional server for specific domain переводится как дополнительный сервер для конкретного домена. В случае с DOT/DOH и конкретным доменом, резолвиться этот домен будет через самый быстрый сервер, отданный указанным резолвером, а не глобально в системе. 

[Helby]

16 minutes ago, zubzer0 said:

кстати, еще немного оффтопика. в тестах "медленного DNS" я как-то поймал странный баг у винды.
встроенная тулза nslookup игнорировала метрику интерфейса, и получалось, что через неё приходили одни ip с одного интерфейса, а всё остальное в ОС согласно метрики получало другие ip с правильного интерфейса. это странное поведение nslookup разрешилось только после перезагрузки ОС. 

Win 11?