Утечка DNS на 2.11

[fgsfds]

Есть Keenetic Lite II с прошивкой 2.11.C.0.0-2.

Есть три подключения: IPoE, PPPoE и L2TP/IPsec. Третье соединяется через второе, а второе - через первое, соответственно. PPPoE - единственное подключение для выхода в интернет, два других в качестве маршрута по умолчанию не используются (no ip global). Для PPPoE отключено использование DNS провайдера (ipcp no name-servers) и прописаны адреса Google DNS.

Насколько я понимаю, при такой конфигурации должны использоваться только DNS Google, но роутер определенно соединяется с DNS провайдера (возможно, что не всегда) на подключении IPoE. Это сразу заметно, потому что DNS провайдера выдает для некоторых доменных имен заведомо ложные IP-адреса, с которыми нельзя соединиться.

Я знаю, что можно отключить использование DNS провайдера и для подключения IPoE (ip dhcp client no name-servers), но это подключение вообще не должно было использоваться для выхода в интернет. Проблема появилась сразу после обновления до 2.11.C.0.0-2, на 2.10.C.2.0-4 ничего подобного замечено не было.

[Le ecureuil]

4 часа назад, fgsfds сказал:

Есть Keenetic Lite II с прошивкой 2.11.C.0.0-2.

Есть три подключения: IPoE, PPPoE и L2TP/IPsec. Третье соединяется через второе, а второе - через первое, соответственно. PPPoE - единственное подключение для выхода в интернет, два других в качестве маршрута по умолчанию не используются (no ip global). Для PPPoE отключено использование DNS провайдера (ipcp no name-servers) и прописаны адреса Google DNS.

Насколько я понимаю, при такой конфигурации должны использоваться только DNS Google, но роутер определенно соединяется с DNS провайдера (возможно, что не всегда) на подключении IPoE. Это сразу заметно, потому что DNS провайдера выдает для некоторых доменных имен заведомо ложные IP-адреса, с которыми нельзя соединиться.

Я знаю, что можно отключить использование DNS провайдера и для подключения IPoE (ip dhcp client no name-servers), но это подключение вообще не должно было использоваться для выхода в интернет. Проблема появилась сразу после обновления до 2.11.C.0.0-2, на 2.10.C.2.0-4 ничего подобного замечено не было.

Да, поведение DNS proxy было изменено. Если не хотите утечки DNS - отключение получение всех ненужных вам DNS-серверов.

[fgsfds]

А можно подробнее про изменения узнать? По каким приоритетам теперь DNS-сервер выбирается?

[fgsfds]

Хм. Видимо, нельзя узнать.

[Le ecureuil]

В 3/9/2018 в 02:00, fgsfds сказал:

А можно подробнее про изменения узнать? По каким приоритетам теперь DNS-сервер выбирается?

Разработчика DNS proxy на этом форуме нет.

[fgsfds]

В 19.03.2018 в 15:44, Le ecureuil сказал:

Разработчика DNS proxy на этом форуме нет.

Т.е. без общения непосредственно с разработчиком узнать об изменениях в работе DNS Proxy в новой прошивке нельзя никак? Какой у вас, однако, полезный форум.

Есть, конечно, еще и официальная техподдержка, вот только в случае с Keenetic Lite II этот вариант неприменим.

[Le ecureuil]

6 часов назад, fgsfds сказал:

Т.е. без общения непосредственно с разработчиком узнать об изменениях в работе DNS Proxy в новой прошивке нельзя никак? Какой у вас, однако, полезный форум.

Есть, конечно, еще и официальная техподдержка, вот только в случае с Keenetic Lite II этот вариант неприменим.

Да, глубинные сведения о каждом из компонентов знает в основном разработчик этого компонента. Меня бесполезно спрашивать что-то про Web, например, я кроме как "зафиксировать вопиющую неисправность" все равно ничего не смогу сделать и сказать.

[fgsfds]

Получается, что данный вопрос нерешаем? В 2.10 все было просто и понятно: использовались DNS-серверы из того соединения, которое являлось маршрутом по умолчанию. В 2.11 что-то поменяли, но забыли написать в changelog, и теперь пользователю об этих изменениях не узнать никак?

[r13]

3 часа назад, fgsfds сказал:

Получается, что данный вопрос нерешаем? В 2.10 все было просто и понятно: использовались DNS-серверы из того соединения, которое являлось маршрутом по умолчанию. В 2.11 что-то поменяли, но забыли написать в changelog, и теперь пользователю об этих изменениях не узнать никак?

Решение было предложено во 2м посте

[Le ecureuil]

Если оно раньше случайно работало, как вам казалось правильно, а потом сделали по-другому, и у вас что-то сломалось - это значит что изначально у вас было неправильно.

Никто никогда не гарантировал, что если вы не удалите все ненужные DNS, то к ним не будет запросов. Просто "везло", и эти DNS отвечали хуже или еще почему-то они не принимали участие в работе.

Единственное правильное решение на абсолютно всех версиях прошивок - отключить автополучение ненужных DNS. Остальное - это везение.

[fgsfds]

Хорошо, остановимся на том, что такая работа DNS proxy в 2.10 и ниже была багом.

Но я не могу согласиться с тем, что мне просто "везло" - предыдущая конфигурация работала 10 месяцев на прошивках 2.07-2.10, и утечки не были замечены ни разу.

 

22 часа назад, r13 сказал:

Решение было предложено во 2м посте

Вопрос был о том, по каким приоритетам выбирается DNS-сервер, а не о том, как избежать утечки DNS на новой прошивке.

Изменено 23 марта, 2018 пользователем fgsfds

[r13]

 

 

Изменено 23 марта, 2018 пользователем r13

[fgsfds]

3 часа назад, r13 сказал:

 

Спасибо, вот это мне и было нужно. Почему-то не попалась на глаза эта тема раньше.