Маршрутизация DNS

nomadfromx · 13 апреля

Добрый день!

Заметил, что на 5.0.8 KN-1812 очень плохо работает маршрутизация. У меня сейчас 14 списков: в среднем по 20 записей в каждом (только в одном - максимум 175 доменов). При этом "родная" маршрутизация не справляется - постоянно идут ошибки из-за нее. Например, задал список с 2ip.ru и 2ip.io. Если отключить половину списков, то всё работает ОК. Если включить все - то отваливается что-то (например, 2ip.ru - маршрутизируется, а 2ip.io - уже нет. Или наоборот. А иногда и оба могут отвалиться).

В связи с этим возникло два вопроса:

1. кто-то уже ставил 5.1 beta, там также всё плохо?
2. если да и надежды на улучшение нет, то что посоветуете, что хорошо работает и удобно использовать (entware)?

Илья Картавенко · 13 апреля

5 минут назад, nomadfromx сказал:

Добрый день!

Заметил, что на 5.0.8 KN-1812 очень плохо работает маршрутизация. У меня сейчас 14 списков: в среднем по 20 записей в каждом (только в одном - максимум 175 доменов). При этом "родная" маршрутизация не справляется - постоянно идут ошибки из-за нее. Например, задал список с 2ip.ru и 2ip.io. Если отключить половину списков, то всё работает ОК. Если включить все - то отваливается что-то (например, 2ip.ru - маршрутизируется, а 2ip.io - уже нет. Или наоборот. А иногда и оба могут отвалиться).

В связи с этим возникло два вопроса:

1. кто-то уже ставил 5.1 beta, там также всё плохо?
2. если да и надежды на улучшение нет, то что посоветуете, что хорошо работает и удобно использовать (entware)?

Надежда есть всегда, разработчики работают. У меня 5.1 маршрутизация работает. Работают все списки.

romka · 13 апреля

KN-3010_draft_5.00.C.6.0-2

раздел Маршрутизация

первая вкладка - IPv4-маршруты

работает, прописал туда госуслуги т.е. 213.59.253.7

а третья - Маршруты DNS

работает рэндомно, какие то списки работают (youtube), а многие нет

то есть вписал туда тот же госуслуги т.е. 213.59.253.7

и он там не работает ....

vldkamsin · Воскресенье в 16:31

Аналогично.
Keenetic Viva, 5.0.8.
Маршруты DNS работают рандомно.

cadet78 · Воскресенье в 18:29

модели от carrier до gig-hopper и прочих - везде на 5.0.8 маршрутизация по DNS рандомная, в основном не работает. стабильность прошивки - полная печаль, sstp сервера также глючат. особенно печально всё на старых гигах 1010. 4.6.3 была намного стабильнее.

nomadfromx · Воскресенье в 19:41

А это верно, что на 5.1 alpha - стабильно DNS маршрутизация?

Илья Картавенко · Воскресенье в 19:42

Только что, nomadfromx сказал:

А это верно, что на 5.1 alpha - стабильно DNS маршрутизация?

У меня, да, правда уже бета 3

cadet78 · вчера в 05:28

я что-ли не так что-то делал. по сторонним инструкциям делал маршрутизацию по доменным именам. DNSoverTLS стоит везде, у всех клиентов политика доступа либо определенная, либо по умолчанию для сегмента, нигде нет политики доступа по умолчанию. Для сегмента же выбирается либо прямой доступ, либо какой-то определенный. В инструкции кинетиков, чтобы маршрутизация по доменным именам работала нужна политика доступа по умолчанию. Попробовал политику по умолчанию - не помогло.

Изменено вчера в 05:32 пользователем cadet78
провел дополнительное тестирование

hoaxisr · вчера в 05:51

20 минут назад, cadet78 сказал:

что-ли не так что-то делал. по сторонним инструкциям делал маршрутизацию по доменным именам. DNSoverTLS стоит везде, у всех клиентов политика доступа либо определенная, либо по умолчанию для сегмента, нигде нет политики доступа по умолчанию. Для сегмента же выбирается либо прямой доступ, либо какой-то определенный. В инструкции кинетиков, чтобы маршрутизация по доменным именам работала нужна политика доступа по умолчанию. Попробовал политику по умолчанию - не помогло.

Вы прям сделали ровно противоположность тому, что требуется.

Есть база знаний Кинетик. Там все весьма четко расписано, что нужно сделать, чтобы получить результат.

1. Все клиенты использует роутер как DNS. Не используют "безопасные", "приватные", не используют подобное в браузере. Только роутер

2. Находятся в политике доступа по умолчанию.

cadet78 · вчера в 17:51

11 часов назад, hoaxisr сказал:

Вы прям сделали ровно противоположность тому, что требуется.

Есть база знаний Кинетик. Там все весьма четко расписано, что нужно сделать, чтобы получить результат.

1. Все клиенты использует роутер как DNS. Не используют "безопасные", "приватные", не используют подобное в браузере. Только роутер

2. Находятся в политике доступа по умолчанию.

Сделал ровно то же, что делал ранее по маршрутизации. раньше забивал адрес или сети в IPv4-маршруты, выбирал интерфейс через что ходить - и работало (и сейчас работает). С 5й версии ОС вместо цифр забиваю доменные имена в маршруты DNS - в основном не работает. Там логика поменялась?

hoaxisr · вчера в 17:54

2 минуты назад, cadet78 сказал:

Сделал ровно то же, что делал ранее по маршрутизации. раньше забивал адрес или сети в IPv4-маршруты, выбирал интерфейс через что ходить - и работало (и сейчас работает). С 5й версии ОС вместо цифр забиваю доменные имена в маршруты DNS - в основном не работает. Там логика поменялась?

В смысле менялась? Она изначально для DNS маршрутов была такой. Официальная документация по DNS маршрутам

Советую прочесть внимательно документацию и сделать как там написано. Будет плюс/минус работать.

Кинетиковод · вчера в 18:03

9 минут назад, cadet78 сказал:

С 5й версии ОС вместо цифр забиваю доменные имена в маршруты DNS - в основном не работает.

Оно в основном и не работает. Хотите чтобы работало, ставьте МТ или HR, ваш роутер это позволяет.

keenet07 · 23 часа назад

Да вроде неплохо работает. Там есть особенность, если домен открывается первый раз, то может с первого раза страница не загрузиться. Не успевает просто всё подготовиться для этого. Обновляешь страницу и всё загружается. Всё. Дальше, если роутер не перезагружать, то всегда этот домен сразу открывается. Поэтому прогружаете сразу всё с чем работаете, по возможности, а потом без затыков пользуетесь.

Каких-то экзотических случаев, чтоб домен был прописан, но ни в какую не загружался, у меня не встречалось.

Если у вас что-то не работает, давайте конкретные примеры.

Изменено 23 часа назад пользователем keenet07

VVS · 23 часа назад

1 час назад, Кинетиковод сказал:

Оно в основном и не работает.

5.1 Alpha 7 - оно прекрасно работает.

Илья Картавенко · 23 часа назад

Только что, VVS сказал:

5.1 Alpha 7 - оно прекрасно работает.

И на бета 0.3 тоже

hoaxisr · 23 часа назад

16 минут назад, keenet07 сказал:

Да вроде неплохо работает. Там есть особенность, если домен открывается первый раз, то может с первого раза страница не загрузиться. Не успевает просто всё подготовиться для этого. Обновляешь страницу и всё загружается. Всё. Дальше, если роутер не перезагружать, то всегда этот домен сразу открывается. Поэтому прогружаете сразу всё с чем работаете, по возможности, а потом без затыков пользуетесь.

Каких-то экзотических случаев, чтоб домен был прописан, но ни в какую не загружался, у меня не встречалось.

Если у вас что-то не работает, давайте конкретные примеры.

Не работает заявленный режим fallback между интерфейсами.
Не работает (или скорее работает с серьезными "затупами") высоконагруженные по DNS сервисы (типа shorts на известном видеохостинге) и reals (в другом не менее известном)

Рандомно, периодически пропускается наполнение IP для FQDN группы и поэтому летишь в провайдера и ожидаемо получаешь бяку.

Кинетиковод · 22 часа назад

18 минут назад, hoaxisr сказал:

Не работает заявленный режим fallback между интерфейсами.
Не работает (или скорее работает с серьезными "затупами") высоконагруженные по DNS сервисы (типа shorts на известном видеохостинге) и reals (в другом не менее известном)

Рандомно, периодически пропускается наполнение IP для FQDN группы и поэтому летишь в провайдера и ожидаемо получаешь бяку

Ога. Тут ещё многие любители стока помимо доменов для "улучшения работы" добавляют CIDR и потом всем рассказывают, как у них всё замечательно работает. То что CIDR это не доменная маршрутизация никого не интересует.

Устраивать очередную битву на тему стокового маршрутизатора не вижу смысла. Тут всё просто, если тебя устраивает сток, то пользуйся им. Если работа стока совсем не радует, то ставь стороннее решение. В данном случае пользователь недоволен работой стока и я ему предложил альтернативные решения. Хоть это уже обсуждалось тысячу раз, но прибывают новые пользователи, которые не в теме и задают они одни и те же вопросы, приходится повторять.

Denis P · 22 часа назад

33 минуты назад, Кинетиковод сказал:

То что CIDR это не доменная маршрутизация никого не интересует

Вы бы хоть посмотрели как оно работает изнутри, перед тем как делать подобные выводы.

Вся проблема маршрутизации именно доменов не в маршрутах как таковых (которые по факту ими и не являются), а в резолве и последующем наполнении ipset'ов. При указании cidr'a запись в ipset добавляется точно так же, но набор не меняется и не дополняется без участия пользователя.

tldr
dns-proxy слишком медленно резолвит адреса и наполняет ipset'ы

Изменено 22 часа назад пользователем Denis P

Кинетиковод · 21 час назад

7 минут назад, Denis P сказал:

Вся проблема маршрутизации именно доменов не в маршрутах как таковых (которые по факту ими и не являются), а в резолве и последующем наполнении ipset'ов.

Очевидно при резолве куча ненужный подсетей не добавляется. Плюс набор доменов для разных сервисов не будет меняться так же часто, как могут меняться CIDR. В этом и есть плюс именно доменной маршрутизации. А накидать вместо доменов кучу подсетей можно, но это такой себе костыль. Почему в стоке глючит именно доменная маршрутизация это отдельный вопрос, но замена доменов на CIDR это не решение проблемы, в этом случае можно домены вообще не добавлять и это уже не будет именно доменной маршрутизацией. Если вы в маршрутизатор накидали CIDR и рассказываете всем, что у вас доменная маршрутизация работает отлично, то что тут можно сказать? Человек использующий только домены думает, что он наверное делает что-то не так, ведь у других же всё работает.

Настоящая, исключительно доменная маршрутизация прекрасно работает в сторонних маршрутизаторах. МТ и HR на сегодня самые актуальные, другие маршрутизаторы можно считать морально устаревшими, хоть и у стариков есть свои плюсы.

Denis P · 21 час назад

4 минуты назад, Кинетиковод сказал:

Очевидно при резолве куча ненужный подсетей не добавляется. Плюс набор доменов для разных сервисов не будет меняться так же часто, как могут меняться CIDR. В этом и есть плюс именно доменной маршрутизации. А накидать вместо доменов кучу подсетей можно, но это такой себе костыль. Почему в стоке глючит именно доменная маршрутизация это отдельный вопрос, но замена доменов на CIDR это не решение проблемы, в этом случае можно домены вообще не добавлять и это уже не будет именно доменной маршрутизацией. Если вы в маршрутизатор накидали CIDR и рассказываете всем, что у вас доменная маршрутизация работает отлично, то что тут можно сказать? Человек использующий только домены думает, что он наверное делает что-то не так, ведь у других же всё работает.

Настоящая, исключительно доменная маршрутизация прекрасно работает в сторонних маршрутизаторах. МТ и HR на сегодня самые актуальные, другие маршрутизаторы можно считать морально устаревшими, хоть и у стариков есть свои плюсы.

Есть стойкое ощущение что вы просто проигнорировали вышенаписанное. Нет ни одного упоминания того что CIDR правильнее и лучше.
Текст был только о принципе работы и почему при указании CIDR и fqdn в одном и том же модуле может наблюдаться разное поведение.

Кинетиковод · 20 часов назад

31 минуту назад, Denis P сказал:

Текст был только о принципе работы и почему при указании CIDR и fqdn в одном и том же модуле может наблюдаться разное поведение.

Так это понятно. Я лишь говорил о том, что не стоит всем рассказывать о прекрасной работе доменной маршрутизации, если у вас помимо доменов добавлены ещё и CIDR, как многие делают. Вы же заявили, что один фиг домены преобразуются в адреса, что тут CIDR, что там CIDR. Понятно что и тут и там CIDR, но если использовать только домены, то добавление адресов будет более деликатным, нежели пробивание CIDR портянки гвоздями. Очевидно это разные подходы в маршрутизации и говорить о стабильной работе доменной маршрутизации используя CIDR портянку некорректно.

Denis P · 20 часов назад

12 минут назад, Кинетиковод сказал:

Очевидно это разные подходы в маршрутизации

и снова вы пришли к неверному выводу, перечитайте пожалуйста мои сообщения.
Если вам сложно верить "на слово" берем entware и смотрим ipset'ы в названиях которых есть _NDM_OGDN_
а дальше в iptables упоминания этих же наборов и/или в цепочку _NDM_DNSRT_PREROUTING_MANGLE . Откроете для себя много нового.

cadet78 · 14 часов назад

10 часов назад, hoaxisr сказал:

В смысле менялась? Она изначально для DNS маршрутов была такой. Официальная документация по DNS маршрутам

Советую прочесть внимательно документацию и сделать как там написано. Будет плюс/минус работать.

Тяжело пробиваться за инструкциями к форуму.. Всё время перекидывает на начальную англоязычную страницу. Ладно победил с помощью соседского вайфая. Далее прочитал. Да, делал всё ровно по инструкции. Смущает фраза - указать DNS роутера. Ну указан он в настройках сетевого на компе по дефолту, других DNS в нём нет. В браузерах также поотключал не по одному разу DoT. В инструкции написано, что в роутере надо тоже поотключать DoT, а политика доступа у устройства должна быть по умолчанию. DoT не отключал, просто включил DNS от провайдера. Вот те действия, которые не привели к нужному результату. При этом ничего этого для нормальной работы ipv4-маршрутизации не требовалось ранее, она работала при любых DNS в роутере и в браузере и при любой политике. Остаётся неясным вопрос - что делать с DNS в роутере для работы маршрутизации по доменам, формулировка с инструкции непонятна ("выключить всё" - это не инструкция).

keenet07 · 11 часов назад

3 часа назад, cadet78 сказал:

В инструкции написано, что в роутере надо тоже поотключать DoT, а политика доступа у устройства должна быть по умолчанию. DoT не отключал, просто включил DNS от провайдера. Вот те действия, которые не привели к нужному результату. При этом ничего этого для нормальной работы ipv4-маршрутизации не требовалось ранее, она работала при любых DNS в роутере и в браузере и при любой политике. Остаётся неясным вопрос - что делать с DNS в роутере для работы маршрутизации по доменам, формулировка с инструкции непонятна ("выключить всё" - это не инструкция).

На роутере его отключать как раз таки не нужно, это поможет получить достоверные IP адреса. Только на клиентах, там где он мог присутствовать.

IPv4 работает совсем по-другому. Там не требуется знать на какие домены вы пытаетесь зайти. А здесь нужно именно это, поэтому необходимо чтоб запрос домена прошел через роутер.

Проверьте, что все ваши клиенты на руотере находятся в политике по умолчанию, а не в каких-то созданных специально для них. Это так же ключевой момент.

Ну и учитывайте что первый заход на ресурс может не сработать. Несколько раз пытайтесь зайти на нужный сайт, пока роутер не сделает всё что ему требуется. Можно из другого браузера попытаться сделать вторую попытку. Не забывайте про DNS кэш.

Изменено 11 часов назад пользователем keenet07

Войти

Маршрутизация DNS

Вопрос

nomadfromx

23 ответа на этот вопрос

Рекомендуемые сообщения

Илья Картавенко

romka

vldkamsin

cadet78

nomadfromx

Илья Картавенко

cadet78

hoaxisr

cadet78

hoaxisr

Кинетиковод

keenet07

VVS

Илья Картавенко

hoaxisr

Кинетиковод

Denis P

Кинетиковод

Denis P

Кинетиковод

Denis P

cadet78

keenet07

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация