Jump to content
  • 0

3.8 alpha 1, dns-proxy: white hole


Oleg Nekrylov
 Share

Question

Посоветовали написать сюда.

Прошивка 3.8a1, но это касается и всех предыдущих (релизных и отладочных) прошивок.

Схема такова:

DNS1 (xx:xx:xx:xx:xx:xx)<-->Keenetic1<-->Internet<-->Keenetic2<-->DNS2(yy:yy:yy:yy:yy:yy)

xx:xx:xx:xx:xx:xx - зоны domain1.ru (master), domain2.ru (slave)

yy:yy:yy:yy:yy:yy - зоны domain1.ru (slave), domain2.ru (master)

Хост xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy находится на "солокейшен" в "Домашней сети" (живет в ней, но к ней не относится (своего рода DMZ, но за NAT), выполняет роль web/mail/dns standalone сервера (естественно порты 53TCP/UDP, а так же остальные необходимые, прокинуты на него)

'dns-proxy intercept enable' у меня не используется

но dns-proxy все-равно лезет в трафик предназначенный хосту xx:xx:xx:xx:xx:xx/yy:yy:yy:yy:yy:yy (в секции dns-proxy, показанной ниже его нет), в итоге не работает синхронизация зон - долго не понимал в чём дело, пока не увидел в логах DNS-сервера, что в TSIG прилетает мусор и виновником сего торжества оказывается компонент dns-proxy, он подменяет оригинальный TSIG от/к удаленного(ому) DNS-сервера(у), чем-то своим.

Вот секция моего конфига:
dns-proxy
rebind-protect auto
tls upstream 1.1.1.1 853 sni cloudflare-dns.com
tls upstream 1.0.0.1 853 sni cloudflare-dns.com
https upstream https://dns.quad9.net/dns-query dnsm
https upstream https://ordns.he.net/dns-query dnsm
filter assign host preset aa:aa:aa:aa:aa:aa adguard-default
filter assign host preset bb:bb:bb:bb:bb:bb adguard-default
filter assign interface preset Guest cleanbrowsing-security
filter engine public
!

Хотелось бы что-нибудь такое: filter assign host preset xx:xx:xx:xx:xx:xx no-filter
Чтобы и остальные хосты фильтровались (особенно интересует детский фильтр) и DNS-сервер исключался из фильтрации полностью.

 

Link to comment
Share on other sites

1 answer to this question

Recommended Posts

  • 0

Вот о чем речь.

У сегмента 'Домашняя сеть', по умолчанию установлен Системный профиль, в Системном профиле указаны только DNS провайдеров (2 WAN), у хоста установлено использование только системного профиля.

Но TSIG все равно изменяется! TSIG перестаёт изменяться только тогда, когда снята галка с компонента "Cloud-based Content Filtering and Ad Blocking", т.е. при удалении компонента.

2022-01-01 (3).png

2022-01-01 (4).png

2022-01-01 (5).png

2022-01-01 (6).png

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...