dns-proxy Странное поведение DNS и WG

[jinndi]

9 минут назад, Helby сказал:

Additional server for specific domain переводится как дополнительный сервер для конкретного домена. В случае с DOT/DOH и конкретным доменом, резолвиться этот домен будет через самый быстрый сервер, отданный указанным резолвером, а не глобально в системе. 

Цитата

При включении протокола DoT/DoH все входящие DNS-запросы будут отправляться на адрес сервера, указанный при настройке. DNS-серверы, полученные от вашего интернет-провайдера и/или зарегистрированные вручную DNS-серверы, использоваться не будут.

 

[Helby]

9 minutes ago, jinndi said:

 

Одно не противоречит другому. В системе указаны несколько DOH серверов, часть работает глобально и имеет приоритет над обычными глобальными, а часть, что с указанием домена, только с ним. Это подтверждает вывод dnscheck.tools и dnsleak.com. Серверов CF и Mullvad в нем у меня нет. 
 

Согласны с такой логикой?)

[jinndi]

54 минуты назад, Helby сказал:

Одно не противоречит другому. В системе указаны несколько DOH серверов, часть работает глобально и имеет приоритет над обычными глобальными, а часть, что с указанием домена, только с ним. Это подтверждает вывод dnscheck.tools и dnsleak.com. Серверов CF и Mullvad в нем у меня нет. 
 

Согласны с такой логикой?)

Ну окей, но это не очевидно, учитывая, что в документации об этом нет информации и есть ограничение в 8 DoT/DoH серверов.
К тому же, то, что жестко прописано, переключается в случае недоступности DNS на другие, то есть это просто задание приоритета, а не жесткая привязка - утечки DNS возможны.
Кроме того, это не надежное решение для вашего случая с GPT, так как обращения идут ко множеству других доменов и IP.  @zubzer0 правильно это отметил.

[Helby]

2 hours ago, Helby said:

приеду домой и попробую следующее:

1. удалю DOH сервера из конфигурации,
2. DNS строго из туннеля WG (основное подключение в политике по умолчанию),
3. провайдеру оставлю 8-ки чтобы суверенный интернет не пропадал в случае отвала туннеля,
4. проверю на работоспособность и утечки.

в такой конфигурации проблема с доступностью доменов сохраняется, появляется утечка DNS с выдачей IP МТС после IP VPS.

А что если поднять dnscrypt-proxy на VPS и указать WG серверу на него в качестве DNS, чтобы резолвить всё через туннель? Стоит пробовать?

[jinndi]

3 минуты назад, Helby сказал:

в такой конфигурации проблема с доступностью доменов сохраняется, появляется утечка DNS с выдачей IP МТС после IP VPS.

А что если поднять dnscrypt-proxy на VPS и указать WG серверу на него в качестве DNS, чтобы резолвить всё через туннель? Стоит пробовать?

придется отказаться от Dot/Doh на роутере чтобы резолвил днс вг сервер, к тому же я пробовал прописывать на сервере днс - это не работало, попробуй браузер на крайний случай отельный или профиль сделай и пропиши в нем днс нужный в настройках

[Dimenshn]

В 25.02.2026 в 20:31, zubzer0 сказал:

ставить добавочно сторонний днс (напр. adguardhome-go) куданибудь на 153 порт в котором будут прописаны необходимые правила.

Это похоже тоже может не всегда работать)

У меня такая связка стоит. Только профиль с ADH не системный.

Сейчас добавил один сайт в DNS маршрутизацию, который похоже за Cloudflare и поэтому разные DNS сервера выдают разные IP адреса.

Вижу по журналу ADH, что выдаются те же адреса, которые получает мозилла и по которым соответственно сайт фактически грузится.

А потом проверяю в роутере "show object-group fqdn". А там сохранились совсем другие IP. То есть похоже, что для заполнения адресов для маршрутизации дёргаются другие сервера (наверное системный профиль). В итоге ничего и не срабатывает. Чудеса)