Passthrough в dns-proxy для переадресованных портов 53 (TCP/UDP)

[Oleg Nekrylov]

Предлагаю добавить режим passthrough для переадресованных портов 53 (TCP/UDP) в dns-proxy.

dns-proxy всегда вмешивается в работу DNS-сервера, стоящего за Keenetic, в частности из-за этого не работает синхронизация зон (портит даже содержимое TSIG).

На текущий момент, единственный выход, это только удаление компонента "Фильтрация контента и блокировка рекламы при помощи облачных сервисов" (Интернет-фильтр) - установка режима фильтрации в "Интернет-фильтре" в положение "выключен" не помогает.

[Le ecureuil]

Для этого мы в 3.9 специально добавили в профили галку выключения перехвата. Если у вас есть фильтр, но не нужен перехват - снимите ее в системном профиле и будет все как хочется.

[Oleg Nekrylov]

Прошивка 3.9a7

Установлено, но не работает, всё равно трафик перехватывается

Приходиться удалять компонент.

Edited September 3, 2022 by Oleg Nekrylov

[Oleg Nekrylov]

Попробовал синхронизировать зоны через Wireguard и IPSec (ну раз не работает через переадресацию портов, решил попробовать синхронизировать зоны через Site-to-Site VPN) - dns-proxy перехватывает трафик и тут.

[keenet07]

В 03.09.2022 в 02:16, Le ecureuil сказал:

Для этого мы в 3.9 специально добавили в профили галку выключения перехвата. Если у вас есть фильтр, но не нужен перехват - снимите ее в системном профиле и будет все как хочется.

Получается, если никакой фильтр не выбран (Режим фильтрации: выключен), при этом в Системном профиле прописаны только DoT сервера. Данная галочка (Транзит запросов) в системном профиле никакого влияния не оказывает? У меня при любом её положении транзитные запросы всегда проходят. Смотрел в Активных соединениях, при обращении к сторонним ДНС серверам они всегда проходят транзитом и нет обращения к моим DoT серверам с интерфейса интернет. Адреса соответственно резолвятся сторонним ДНС. Хотел отключением транзита, чтоб такие запросы пошли через DoT прописанный в сист. профиле. Так нельзя?

 

PS. Попробовал включить контентный фильтр выбрав работу через системный профиль, но по моему всё также сторонние проскакивают транзитом. Не заруливаются на DoT при любом положении галочки Транзита.

Edited September 6, 2022 by keenet07

[Le ecureuil]

В 05.09.2022 в 00:12, Oleg Nekrylov сказал:

Попробовал синхронизировать зоны через Wireguard и IPSec (ну раз не работает через переадресацию портов, решил попробовать синхронизировать зоны через Site-to-Site VPN) - dns-proxy перехватывает трафик и тут.

Да, теперь понятнее - это из-за того, что хост в политике находится.
Задача на исправление такого поведения есть, пока же только вывод в основную поможет.

[Oleg Nekrylov]

43 минуты назад, Le ecureuil сказал:

это из-за того, что хост в политике находится.

Даже если хост переместить в политику "по умолчанию", то всё равно ничего не меняется.

Политика Server включает в себя только проводные сегменты (WAN + SFP), Wireless ISP - это резервный канал (iPhone)

[Oleg Nekrylov]

Ура!

Прошивка 3.9b2 - заработало: зоны оттрансферились и напрямую и с TSIG!

DNS были настроены и каждый час сыпали мне в телеграм ошибки. И вдруг, буквально час назад, ошибки исчезли. Заглянул в DNS-slave - зоны наконец-то оттрансферены, заглянул Keenetic'и, а у них прошивки обновились и в changelog есть упоминание [NDM-2403].

Вы даже представить себе не можете мою радость - эта проблема, сломала мне все мозги начиная с Zyxel Keenetic Ultra (ku_ra). Это ж сколько лет (почти десяток) прошло!

Edited November 7, 2022 by Oleg Nekrylov

[Oleg Nekrylov]

Прошивка 3.9.2 - сломали 🙁 Опять не работает (KN-2710, KN-1810, KN-1910)

[keenet07]

Чтоб транзит заработал нужно либо интерфейс перезагрузить, либо устройство полностью.

[Oleg Nekrylov]

2 часа назад, keenet07 сказал:

Чтоб транзит заработал нужно либо интерфейс перезагрузить, либо устройство полностью.

Делал. И перегружал и конфиг перезаливал - без толку, в tsig опять мусор.