[Организовать пропуск транзитного днс]

Заранее извините, но подниму. Вдруг у кого идеи какие появились. 

Можно с другой стороны подойти, пропуск транзитного днс не от локальных хостов, а к определенным днс. 

Пробовал с iptables- вообще не вариант. Таблицы передергиваются часто, правила просто не успевают за ними

[3.9 a1 / Приоритет подключений попал]

Ничего кроме "основного" нет

[Организовать пропуск транзитного днс]

Всем привет,

В контентном фильтре включен NextDns, каждому хосту можно назначить профиль, среди которых есть "No filtering". 

До 3.8.2 назначение хосту "No filtering" - пропускал транзитный днс, а в 3.8.2 - это поправили и теперь "No filtering" фактически форсит системный профиль хосту. 

собственно вопрос, есть ли какие либо варианты пропустить транзитный doh/dot днс не отключая nextdns?

[3.8 b2 No filtering]

3.8.1 - Режим No filtering, в контентном фильтре дропает днс запросы.

Все что старше 3.8 Alpha 8 - не работает

[3.8 b2 No filtering]

В 3.8.0 все также не работает, откат на альфу 8, и все снова работает

[3.8 a8 / Интернет фильтр / DNS]

15 часов назад, sergeyk сказал:

Для одного роутера это много. Может ещё есть ретрансляторы?

Других ретрансляторов нет. 

[3.8 a8 / Интернет фильтр / DNS]

internet checker включен, но не так же часто, у меня доходит до 40 запросов в минуту

[3.8 a8 / Интернет фильтр / DNS]

Keenetic Peak, 3.8 a8, пингчек отключен

Системному профилю назначен профиль облачного Adguard DNS

Всем устройствам сегмента назначен NextDNS

Сегодня залез в личный кабинет Adguardb и увидел 46 тысяч запросов меньше чем за 2 для, 99% из них это google.com, facebook.com, yahoo.com, ya.ru. Это вообще норм?

И второй вопрос: периодически через системный профиль утекают запросы, как с этим бороться?

На скрине это последний час, и на первой и последней строчке как раз утекшие запросы

 

 

[3.8 b2 No filtering]

Настроен профиль nextdns для сегмента, в этом сегменте еть хосты у которых настроен doh. Если этим хостам выставить "No filtering", то ничего не резолвится, хотя по идее должно, по крайней мере на последней альфе все так и работает.

[3.8.1 Интернет-фильтры. Не добавляются адреса DoH в "пользовательский профиль" и доступ к https://1.1.1.1/]

40 минут назад, Le ecureuil сказал:

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Первый пункт проверим, спасибо.

ИМХО, такое поведение должно быть настраиваемым. Опять же имхо, у меня на мобильных устройствах настроен DoT, какой смысл мне дропать свои же устройства. Ну и например, поставили роутер в кафе или гостишке, блокировать DoT/DoH и навязывать свой днс, это уже чуть-ли ни mitm

[3.8 Alpha 1 / name server is disregarded while Internet Filter is active.]

Дек 25 18:21:39 ndm
Dns::Manager: name server 1.1.1.1 is disregarded while NextDNS is active.
Дек 25 18:21:39 ndm
Dns::Secure::ManagerDot: DNS-over-TLS name servers cleared.
Дек 25 18:21:39 ndm
Dns::Secure::ManagerDot: DNS-over-TLS name server "9.9.9.9" is disregarded while Internet Filter is active.
Дек 25 18:21:39 ndm
Dns::Secure::ManagerDoh: DNS-over-HTTPS name server "https://dns.quad9.net/dns-query" is disregarded while Internet Filter is active

После включения контентного фильтра, при изменении в системном профиле днс серверов, появляются в логе вот такие сообщения. Почему игнорируются? Если установленные вручную игнорируются, то какие используются?

[3.7.0 pace2_s1_process_packet() = 5]

Peak. Включение классификации

 

Дек 4 13:48:13

 

ntce-pace2

pace2_s1_process_packet() = 5 (hlen 88 size 88. 

Дек 4 13:48:13

 

ntce-pace2

pace2_s1_process_packet() = 5 (hlen 80 size 80. 

Дек 4 13:48:13

 

ntce-pace2

Core::Syslog: last message repeated 2 times.

Дек 4 13:48:15

 

ntce-pace2

pace2_s1_process_packet() = 5 (hlen 84 size 84. 

Дек 4 13:48:15

 

ntce-pace2

pace2_s1_process_packet() = 5 (hlen 88 size 88. 

Дек 4 13:48:15

 

ntce-pace2

pace2_s1_process_packet() = 5 (hlen 80 size 80. 

Дек 4 13:48:15

 

ntce-pace2

Core::Syslog: last message repeated 2 times.

Дек 4 13:48:17

 

ntce-pace2

pace2_s1_process_packet() = 5 (hlen 88 size 88. 

Дек 4 13:48:17

 

ntce-pace2

pace2_s1_process_packet() = 5 (hlen 80 size 80.

[SSTP-сервер и клиент]

В 26.11.2021 в 16:42, Mamay сказал:

Пишите в профильную ветку. 

После обновления до 3.7.0 можно уже писать сюда?

Ничего не изменилось, постоянный дисконект.

[Постоянно рвется SSTP-туннель: failed to get interface statistics]

3.7 b8

sstp постоянно рвется, что не так?

Core::Syslog: the system log has been cleared.
Ноя 26 16:24:08 ppp-sstp
sstp0:xxxx: failed to get interface statistics
Ноя 26 16:24:08 ndm
SstpServer::Manager: user xxxx" from "xx.xx.xx.xx" disconnected.

[SSTP-сервер и клиент]

3.7 b8

sstp постоянно рвется, что не так?

Core::Syslog: the system log has been cleared.
Ноя 26 16:24:08 ppp-sstp
sstp0:xxxx: failed to get interface statistics
Ноя 26 16:24:08 ndm
SstpServer::Manager: user xxxx" from "xx.xx.xx.xx" disconnected.

[3.7 b7 Service: "Ntce::Manager": unexpectedly stopped]

Каждую минуту. keenetic peak

Ноя 18 20:40:46

 

ndm

Ntce::Manager: cleanup stale data.

Ноя 18 20:40:49

 

ntce-pace2

starting "0.17".

Ноя 18 20:40:49

 

ntce-pace2

using "libc" memory allocator.

Ноя 18 20:40:49

 

ntce-pace2

using huge memory model.

Ноя 18 20:40:50

 

ntce-pace2

R&S PACE2 API version: "351".

Ноя 18 20:40:50

 

ntce-pace2

R&S PACE2 build: "21.11.05".

Ноя 18 20:40:50

 

ntce-pace2

now running as nobody:nobody.

Ноя 18 20:40:50

 

ntce-pace2

ready for processing.

Ноя 18 20:40:50

 

ntce-pace2

pace2_s1_process_packet() = 5.

Ноя 18 20:40:50

 

ntce-pace2

unable to proceed, exit.

Ноя 18 20:40:50

 

ntce-pace2

stopped.

Ноя 18 20:40:50

 

ndm

Service: "Ntce::Manager": unexpectedly stopped.

[Service: "Ntce::Manager": unexpectedly stopped.]

Подтверждаю, каждую минуту 

Окт 29 15:09:30 ndm
Service: "Ntce::Manager": unexpectedly stopped.
Окт 29 15:09:30 ndm
Ntce::Manager: cleanup stale data.
Окт 29 15:09:33 ntce-pace2
starting "0.16".
Окт 29 15:09:33 ntce-pace2
using "libc" memory allocator.
Окт 29 15:09:33 ntce-pace2
using huge memory model.
Окт 29 15:09:33 ntce-pace2
R&S PACE2 API version: "346".
Окт 29 15:09:33 ntce-pace2
R&S PACE2 build: "21.10.08".
Окт 29 15:09:33 ntce-pace2
now running as nobody:nobody.
Окт 29 15:09:33 ntce-pace2
ready for processing.
Окт 29 15:09:33 ntce-pace2
unable to proceed, exit.
Окт 29 15:09:33 ntce-pace2
stopped.
Окт 29 15:09:33 ndm
Service: "Ntce::Manager": unexpectedly stopped.

 

[Изменение настроек без запроса на подтверждение изменений]

Открыл Приложения > SFTP, свайпнул по экрану 'назад', случайно задев "По умолчанию 22", а потом удивлялся почему пропал удаленный доступ. Порт поменялся на 22, не предупредив типа "Поменялись настройки. сохранить Да/Нет". 

[ENTWARE для Keenetic Peak]

Не понятно что снова попробовать. Обновления для ndmq вроде нет, так и осталось 

Error: unknown option ""

[Правило переадресации портов]

На роутере настроено "TCP/UDP", в приложении это же правило видно как "TCP/UDP (все порты) и ICMP"

[Поддержка NextDNS CLI]

Или интегрировать как  один из интернет-фильтр'ов

[Тест скорости интернета в раздел "Диагностика" интернет-центра Keenetic]

https://github.com/richb-hanover/OpenWrtScripts

https://github.com/openwrt/packages/tree/master/net/speedtest-netperf/files

вполне адекватные скрипты для теста скорости

 

[ENTWARE для Keenetic Peak]

А с ndmq никаких проблем не наблюдается? А то при установке Entware таймзоны не встали и 'ndmq -p' выдает  у меня выдает Error: unknown option ""

[Тест скорости интернета в раздел "Диагностика" интернет-центра Keenetic]

На пике и  можно прикрутить Speedtest CLI от ookla. 

[Порт накрылся, или ?]

Отчасти, а может и полностью ситуация прояснилась. Если перезагрузить роутер по питанию с вставленным кабелем в синий порт, то после загрузки каждые две минуты падает линк. Если сначала подключить питание, а после загрузки подключить кабель в wan порт, то падений линка не будет. 100% -я повторяемость. Причем не только на ультре но и на свежем пике