Блокируется внешний входящий DNS-трафик, но нужно с ним работать

[REVERSE]

Здравствуйте!

Хочу запустить у себя за кинетиком авторитативный DNS-сервер, но столкнулся с проблемой - никакие пакеты на 53 порты не доходят, и даже не записываются с помощью захвата пакетов.

Но, кажется, я нашёл причину, эти пакеты, по-видимому, блокируются с помощью iptables:

Chain _NDM_IP_PROTECT (1 references)
 pkts bytes target     prot opt in     out     source               destination
   83  6008 _NDM_IP_PUBLIC  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   82  5956 _NDM_SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?

[rustrict]

2 часа назад, REVERSE сказал:

Но, кажется, я нашёл причину, эти пакеты, по-видимому, блокируются с помощью iptables:

Chain _NDM_IP_PROTECT (1 references)
 pkts bytes target     prot opt in     out     source               destination
   83  6008 _NDM_IP_PUBLIC  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   82  5956 _NDM_SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

Эти правила нужны для работы с DNS-прокси роутера в сегменте с security-level protected.

2 часа назад, REVERSE сказал:

Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?

Можно в вебе на странице переадресации портов.

[REVERSE]

22 минуты назад, rustrict сказал:

Эти правила нужны для работы с DNS-прокси роутера в сегменте с security-level protected.

Можно в вебе на странице переадресации портов.

Да, я ведь уже давно пользуюсь сервером и кинетиком, давно пробросил все порты.

Только именно с ДНС это не работает.

[keenet07]

3 часа назад, REVERSE сказал:

Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?

Пробовали в межсетевом экране дополнительно разрешить этот трафик?

[REVERSE]

25 минут назад, keenet07 сказал:

Пробовали в межсетевом экране дополнительно разрешить этот трафик?

Да, пробовал. Сейчас повторил всю процедуру (источник - соединение с провайдером, выход - сервер в сети, порт 53 udp, потом ещё так же для tcp 53).

Никак не повлияло.

[rustrict]

41 минуту назад, REVERSE сказал:

Только именно с ДНС это не работает.

3.4 Beta 2 (незарегистрированный хост в protected-сегменте):

~ # ndmc -c "sh run" | grep static
ip static udp GigabitEthernet1 53 10.1.30.43 !DNS-test
~ # tcpdump -v -i br1 port 53
tcpdump: listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes
20:17:50.718700 IP (tos 0x0, ttl 56, id 43324, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
20:17:55.717505 IP (tos 0x0, ttl 56, id 44463, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
20:18:00.717818 IP (tos 0x0, ttl 56, id 45527, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel

Не стал поднимать сервер, но, я думаю, что проблем бы не возникло.

С зарегистрированным устройством (в ip static не IP, а MAC целевого хоста) в private-сегменте аналогично.

[keenet07]

15 минут назад, REVERSE сказал:

Да, пробовал. Сейчас повторил всю процедуру (источник - соединение с провайдером, выход - сервер в сети, порт 53 udp, потом ещё так же для tcp 53).

Никак не повлияло.

Это похоже на Переадресацию. По идее она и сама открывает доступ к порту в МЭ.

Но вы попробуйте на всякий случай дополнительно создать именно в Межсетевом экране для интерфейса интернета правило:  разрешить, вход - любое, выход - ip выданный провайдером или любое, исх. порт - любой, порт назначения 53, протокол UDP/TCP.

Может сработает.

Изменено 2 мая, 2020 пользователем keenet07

[REVERSE]

# ndmc -c "sh run" | grep static
ip static udp GigabitEthernet1 53 52:54:00:c3:xx:yy !DNS
ip static tcp GigabitEthernet1 53 52:54:00:c3:xx:yy !DNS TCP

# tcpdump -v -i br1 port 53
tcpdump: listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Во время сбора дампа пытался с VPS резолвить домен через внешний айпи Кинетика.

Интересно, может ли это быть связано с тем, что сам Кинетик не знает о настоящем внешнем IP? Мне провайдер поставил Микротик, и сказал прописать статический адрес WLAN 192.168.88.2. И все перенаправления работают нормально. И HTTP/HTTPS/OpenVPN по UDP и TCP, и даже WireGuard. Только вот с ДНС такая беда.

[keenet07]

2 минуты назад, REVERSE сказал:

Интересно, может ли это быть связано с тем, что сам Кинетик не знает о настоящем внешнем IP? Мне провайдер поставил Микротик, и сказал прописать статический адрес WLAN 192.168.88.2.

Т.е. у вас перед Кинетиком ещё и Микротик стоит? Это уже двойное перенаправление делать нужно. И на микротике и на кинетике. 

[REVERSE]

1 минуту назад, keenet07 сказал:

Т.е. у вас перед Кинетиком ещё и Микротик стоит? Это уже двойное перенаправление делать нужно. И на микротике и на кинетике. 

Так ведь провайдер там два года назад пробросил весь трафик на мой адрес за микротиком. И работают, повторюсь, все порты кроме ДНС.

[keenet07]

2 минуты назад, REVERSE сказал:

Так ведь провайдер там два года назад пробросил весь трафик на мой адрес за микротиком. И работают, повторюсь, все порты кроме ДНС.

Ну проверьте схему с каким-нибудь мобильным интернетом, если будет работать значит причина где-то у провайдера.

[REVERSE]

Так, я догадался, что надо было не br1 сниффать, а br0.

19:52:46.561727 IP (tos 0x0, ttl 128, id 55068, offset 0, flags [none], proto UDP (17), length 61)
    192.168.44.191.62130 > 192.168.44.1.domain: 16349+ A? ssl.gstatic.com. (33)
19:52:46.585896 IP (tos 0x0, ttl 64, id 38138, offset 0, flags [DF], proto UDP (17), length 77)
    192.168.44.1.domain > 192.168.44.191.62130: 16349 1/0/0 ssl.gstatic.com. A 172.217.17.131 (49)
19:52:47.180772 IP (tos 0x0, ttl 61, id 8656, offset 0, flags [none], proto UDP (17), length 81)
    10.0.0.1.domain > 192.168.44.120.52673: 15495 1/0/0 user5.newtrack.info. A 185.85.123.21 (53)
19:52:47.318005 IP (tos 0x0, ttl 61, id 8745, offset 0, flags [none], proto UDP (17), length 121)
    10.0.0.1.domain > 192.168.44.120.52673: 20622 0/1/0 (93)
19:52:51.176592 IP (tos 0x0, ttl 64, id 61511, offset 0, flags [none], proto UDP (17), length 96)
    192.168.44.120.28923 > asn-ns2.rspamd.com.domain: 21987% [1au] A? 7-FkkdxTWwUZa-SzM1KKNq.uribl.rspamd.com. (68)
19:52:51.195449 IP (tos 0x0, ttl 53, id 6191, offset 0, flags [DF], proto UDP (17), length 137)
    asn-ns2.rspamd.com.domain > 192.168.44.120.28923: 21987 NXDomain*- 0/1/0 (109)
^C
103 packets captured
136 packets received by filter
29 packets dropped by kernel

Как видно, трафик нормально сниффится и бегает. Но какие-то 29 пакетов дропнуты.

[REVERSE]

Просниффил ещё на eth3, который 192.168.88.2 - статик к микротику. Тоже трафик летает, но в нём нет внешнего айпишника VPS, с которого я пробую резолвить домен.

И теперь даже больше дропнутого:

105 packets captured
174 packets received by filter
68 packets dropped by kernel

 

[keenet07]

5 минут назад, REVERSE сказал:

Так, я догадался, что надо было не br1 сниффать, а br0.

19:52:46.561727 IP (tos 0x0, ttl 128, id 55068, offset 0, flags [none], proto UDP (17), length 61)
    192.168.44.191.62130 > 192.168.44.1.domain: 16349+ A? ssl.gstatic.com. (33)
19:52:46.585896 IP (tos 0x0, ttl 64, id 38138, offset 0, flags [DF], proto UDP (17), length 77)
    192.168.44.1.domain > 192.168.44.191.62130: 16349 1/0/0 ssl.gstatic.com. A 172.217.17.131 (49)
19:52:47.180772 IP (tos 0x0, ttl 61, id 8656, offset 0, flags [none], proto UDP (17), length 81)
    10.0.0.1.domain > 192.168.44.120.52673: 15495 1/0/0 user5.newtrack.info. A 185.85.123.21 (53)
19:52:47.318005 IP (tos 0x0, ttl 61, id 8745, offset 0, flags [none], proto UDP (17), length 121)
    10.0.0.1.domain > 192.168.44.120.52673: 20622 0/1/0 (93)
19:52:51.176592 IP (tos 0x0, ttl 64, id 61511, offset 0, flags [none], proto UDP (17), length 96)
    192.168.44.120.28923 > asn-ns2.rspamd.com.domain: 21987% [1au] A? 7-FkkdxTWwUZa-SzM1KKNq.uribl.rspamd.com. (68)
19:52:51.195449 IP (tos 0x0, ttl 53, id 6191, offset 0, flags [DF], proto UDP (17), length 137)
    asn-ns2.rspamd.com.domain > 192.168.44.120.28923: 21987 NXDomain*- 0/1/0 (109)
^C
103 packets captured
136 packets received by filter
29 packets dropped by kernel

Как видно, трафик нормально сниффится и бегает. Но какие-то 29 пакетов дропнуты.

В логе Кинетика не появилось ничего красного с блокировкой какого-либо DNS трафика? Прошивка у вас какая? 

[REVERSE]

3 минуты назад, keenet07 сказал:

В логе Кинетика не появилось ничего красного с блокировкой какого-либо DNS трафика? Прошивка у вас какая? 

Проверил - ничего красного, всё вроде нормально. Прошивка 3.3.16, на KN-1810 если что.

[rustrict]

40 минут назад, REVERSE сказал:

Просниффил ещё на eth3, который 192.168.88.2 - статик к микротику. Тоже трафик летает, но в нём нет внешнего айпишника VPS, с которого я пробую резолвить домен.

Дёргайте провайдера насчёт настроек их оборудования.