[Как настроить приоритет DNS серверов или указать запасной DNS?]

Добрый день! 

У меня поднят локальный DNS сервер (self-hosted adguard) на условной малинке. В настройках DNS кинетика прописан адрес малинки. Проблема: когда малинка выключается (бывает) - дома отваливается весь интернет по понятной причине.

Очевидное решение: прописать дополнительный гугловый DNS сервер в настройках кинетика. Но из-за алгоритма кинетика "кто первый ответил - того ответ и берем" - адреса ВСЕГДА резолвит DNS от гугла. Это логично, потому что домашний сервер сначала сверяет запрос по базам adguard, а потом все равно идет на гугловый DNS за ответом, в то время как гугл-DNS отвечает сразу, без проверок. Но мне нужны ответы именно от домашнего DNS-сервера, хоть они и на несколько мс медленнее. 

Менее очевидное решение: завести второе ethernet соединение (виртуальное) по тому же кабелю, с аналогичными настройками, но другим DNS сервером. Как только падает малинка - основное соединение отваливается и кинетик поднимает бэкапное, с гугловым DNS. Все было бы хорошо, но кинетик не разрешает виртуальные подключения на одном порту. На каждое подключение нужен отдельный порт. 

Функциональности по приоритизации DNS я не нашел, функциональности по fallback DNS я тоже не нашел.

Подскажите, пожалуйста, как решить мою проблему?

[как отключить защиту от dns rebinding?]

Привет! Очень люблю Кинетики, и хочу сказать спасибо всей команде (и технарям, и не-технарям) за такой классный продукт. Искренне желаю вам развития и процветания. Это мой первый коммент на форуме, поэтому позволил себе такой вот оффтоп

Теперь к делу. Я хочу поделиться своим болезненным опытом, связанным с этой фичей. Сейчас все популярнее становится selfhosting тематика, тем более что Raspberry PI позволяет это реализовать за адекватные деньги. А там и home assistant, и Pi-hole для блокировки рекламы на уровне DNS, и всякие Nginx-ы с красивым UI для настройки доменов.

Собственно, захотел чтобы все было "как у людей" - и для захода в админку какого-то сервиса, вместо неуклюжего 192.168.1.10:12345, можно было бы написать симпатичное service.home.lab. Тем более что и Pi-hole, и AdGuard Home, помимо блокировки рекламы, позволяют делать DNS Rewrite. А Nginx, в режиме реверс-прокси, успешно роутит в нужный порт. 

Я сделал все по инструкции:

• Поднял свой DNS-сервер на 192.168.1.3
• Прописал его в Кинетике как основной, запретив остальные
• В DNS-сервере настроил Rewrite, чтобы service.home.lab домен шел на 192.168.1.3 домен
• В конфигурации Nginx (который слушает порты 809 и 443) прописал чтобы запросы на service.home.lab роутились на порт 12345

И не работает. 3 вечера я сидел, разбирался, менял настройки фаервола в Docker контейнерах и на самом сервере. Пока, наконец, не зашел от безысходности в логи роутера, и не увидел роковую надпись possible DNS-rebind attack detected. Дальше нагуглил эту тему, выключил и все заработало. 

Я благодарен вам за эту защиту, но очень хочу попросить команду разработки: Пожалуйста, сделайте эту функциональность более очевидной для пользователя. Я бы хотел узнавать об этой специфике из UI, когда сетапил DNS сервер. Вы же видите, что введенный DNS адрес находится во внутренней сети - показывайте, пожалуйста, попап, что нужно выключить вашу защиту. А лучше сразу создавайте правила для ndnproxy, чтобы у юзера в принципе не было проблем с локальным DNS сервером. 

Еще раз спасибо за продукт и за этот форум. Здорово, что нашел решение, но жаль, что потратил столько времени.