Jump to content
  • 2

3.9: не работает назначение системного профиля и разрешение транзитных DNS запросов


keshun

Question

Recommended Posts

  • 0

фактически "Системный" стал = "Параметры сегмента".
А само значение "Параметры сегмента" отсутствует.

Предположу, что причиной может быть какая-то ошибка перевода, возможно и то и это по английски сейчас  system.
Ну или что-то поменяли в алгоритме фильтра. Но это маловероятно и не правильно.

Edited by Eropywka
Link to comment
Share on other sites

  • 0

И все таки да - подтверждаю какие то косяки с фильтрацией. Тема подобная по профилям уже есть тут же, можно в одну свести, думаю. В общем по порядку - заметил, что бат не подгружает некоторые картинки в письмах. Ок, открыл письмо в браузере - та же ситуация. Смотрю, а айпишник не резолвится. Топаю на роутер. Там поднят NextDNS, но на машину с почтовиком стоит профиль "системный". В этом системном профиле отключаю все днс, оставляю 8.8.8.8. Делаю ipconfig /flushdns на всяк - нифига, не прогружаются картинки. Создаю на роутере еще один профиль в днс, прописываю туда тот же 8,8,8,8, назначаю его, делаю ipconfig /flushdns - поехало. Все прогрузилось. Ладно, снова возвращаю системный профиль, делаю ipconfig /flushdns - все, приехали. Ничего не грузится. Что там и как ходит - не понял до конца. 

Edited by 4e.Guevara
  • Thanks 1
Link to comment
Share on other sites

  • 0

Решил проблему. Сохраните конфиг, откройте его редактором и смотрите в самом низу раздел dns-proxy. У меня в нем затесались записи filter assign от cloudflare и вообще никак не реагировали на то, что я там изменяю что то в интерфейсе. Удалил вручную, загрузил назад в роутер - стало все ходить правильно

Link to comment
Share on other sites

  • 0
В 12.10.2022 в 23:32, 4e.Guevara сказал:

Решил проблему. Сохраните конфиг, откройте его редактором и смотрите в самом низу раздел dns-proxy. У меня в нем затесались записи filter assign от cloudflare и вообще никак не реагировали на то, что я там изменяю что то в интерфейсе. Удалил вручную, загрузил назад в роутер - стало все ходить правильно

К сожалению не помогло? Тоже были хвосты от adguard, прибил их, но все равно вижу запросы с устройств (при установленном системном профиле) идут через фильтр.
 

Link to comment
Share on other sites

  • 0
26 минут назад, keshun сказал:

К сожалению не помогло? Тоже были хвосты от adguard, прибил их, но все равно вижу запросы с устройств (при установленном системном профиле) идут через фильтр.
 

Да, Вы правы. Тоже не досмотрел. Аналогично запросы идут через текущий NextDNS при системном профиле. И 0 реакции от разрабов.....

Edited by 4e.Guevara
Link to comment
Share on other sites

  • 0
Цитата
  • Опция Транзит запросов теперь работает корректно для всех доступных Профилей DNS. [NDM-2403]

Не работает на Системном профиле.

Прописываю в системе/браузере левые DNS ( к примеру https://dns.cloudflare.com/dns-query  )

Скрин.

1.) У всех трёх профилей транзитный траффик блокируется.

2) Выбираем для "Ноутбук S7", Системный профиль. Проверяем, сайты открываются, при тесте DNS, видим Cloudflare.

Если для устройства "Ноутбук S7" выбрать любой другой дополнительный профиль, далее проверить, cайты не открываются... блок работает.

new.thumb.png.dd176d5a942a7908e9406421289d74cd.png

  • Thanks 1
Link to comment
Share on other sites

  • 0

У меня вообще по прежнему транзитные DNS не блокируются при любых настройках. Прописал в настройках TCP/IP на ПК DNS 9.9.9.9 

На роутере в системном профиле прописаны DOT сервера 1.1.1.1 и 8.8.8.8 . Галочка транзита снята. Написано, что Транзитные запросы блокируются. Контентный фильтр - выключен.  Но по факту на ПК всё спокойно работает через 9.9.9.9, что подтверждается тестом на сайте www.dnsleaktest.com

Включаю контентный фильтр. Проверяю снова. Результат тот же. Ничего не блокируется. Запросы по прежнему идут через 9.9.9.9.

На всякий случай упомяну некоторые особенности: включена опция игнорирования DNS провайдера. И модуль DOH на роутере не установлен.

Так же проверил включенная или отключенная опция dns-proxy intercept enable никакого влияния на результат не оказывает. 

Прошивка 3.9b2

Edited by keenet07
  • Thanks 1
Link to comment
Share on other sites

  • 0

На 3.9 b2, все тоже самое, если профиль по умолчания выбран nextdns, то при выборе системного профиля для зарегистрированных устройств, запросы все равно идут через nextdns. При противоположной настройке все отрабатывает правильно

  • Thanks 1
Link to comment
Share on other sites

  • 0
1 час назад, hellonow сказал:

в конфиге при этом есть filter profile intercept no enable ?

Это есть, если создать еще один профиль днс и там прописать свои. Тогда эта строка создается. А вот на системном профиле перехват включен. Я так понимаю, что бы работали профили контекстной фильтрации. В принципе, теперь, выходит, понятно, почему на системном профиле все равно бежит все через интернет-фильтр. Ну тогда нужно менять логику или описание. Получается, я выбираю системный профиль для какого-нибудь устройства, не подозревая, что там идет перехват и оно все равно его пускает через фильтр. Я же смотрю на этот системный профиль, где четко прописаны обычные днс

  • Thanks 1
Link to comment
Share on other sites

  • 0

Так, тут сразу две проблемы смешалось.

Во-первых, для хостов неправильный термин: все же там не System, а Segment defined должно быть. Потому что хосты, для которых явно не заданы настройки всегда следуют за сегментом - это ожидаемо. Потому тут проблема только с переводом, а по сути работает.

Во-вторых: в ситуации когда запрещен транзит, но ничему ничего не назначено и правда был баг, при котором транзит все равно оставался разрешенным. Это исправлено и будет скоро выпущено.

  • Thanks 3
  • Upvote 1
Link to comment
Share on other sites

  • 0
26 минут назад, Le ecureuil сказал:

Во-первых, для хостов неправильный термин: все же там не System, а Segment defined должно быть.

В таком случае вопрос снят. Тогда будет явно понятно, что запросы будут идти как во всем профиле сегмента, который назначен выше. Только тогда все равно остается вопрос - как тогда будет называться системный профиль в настройках днс??? Там же днс общие, а не для какого то конкретного сегмента. Все равно - либо менять всю логику, либо я не знаю... 

Edited by 4e.Guevara
Link to comment
Share on other sites

  • 0

Попытаюсь объяснить более расширенно. Есть у меня сегмент, домашний, которому, допустим, присвоена какая то контекстная фильтрация и меня это устраивает. Но нужно на некоторые устройства из этого сегмента сделать чистый доступ без каких либо фильтров. Что тогда, получается, делать? Создавать отдельный профиль в днс и руками брать прописывать все днс, которые выдает провайдер? А если у меня три входящих интернет-канала и провайдер меняет днс? Или взять тупо гугловские прописывать или как? А если эти гугловские какой то провайдер не пропускает?

Edited by 4e.Guevara
Link to comment
Share on other sites

  • 0
6 часов назад, 4e.Guevara сказал:

Попытаюсь объяснить более расширенно. Есть у меня сегмент, домашний, которому, допустим, присвоена какая то контекстная фильтрация и меня это устраивает. Но нужно на некоторые устройства из этого сегмента сделать чистый доступ без каких либо фильтров. Что тогда, получается, делать? Создавать отдельный профиль в днс и руками брать прописывать все днс, которые выдает провайдер? А если у меня три входящих интернет-канала и провайдер меняет днс? Или взять тупо гугловские прописывать или как? А если эти гугловские какой то провайдер не пропускает?

Да, свой профиль. Его можно заполнить как пожелаете.
Честно, я не видел провайдеров которые не пропускают чужие DNS. Они их могут перехватывать и отвечать сами - таких сколько угодно, но вот которые прям 100% не пускают - я таких не видел. Потому пока все же проблему вижу надуманной.

Link to comment
Share on other sites

  • 0
3 часа назад, Le ecureuil сказал:

Потому пока все же проблему вижу надуманной.

Ладно, возможно и так, но не совсем. Я предлагаю все таки оставить какую то стандартную реализацию использования провайдеровских днс для назначения их на устройства по выбору без танцев с бубном. А если кому то там нужны транзитные днс или свои днс - без проблем, создаем еще один профиль и было бы очень хорошо, что бы в любой новый профиль втягивались все провайдеровские днс изначально, а уже далее была возможность править из ручками, если там что то не устраивает. Плюс это более логично, чем когда у тебя в профиле устройства будет выбор: свой профиль, Segment defined и потом опять же этот профиль фильтрации, который будет дублировать Segment defined и еще какие профили, что создал пользователь

 

P.S. Вот сразу и вопрос вдогонку по логике Вашей:

Скрытый текст

1774330154_01.thumb.jpg.5e254a106358286efa11d0337876737a.jpg

Как тогда будет присвоить какому то сегменту просто провайдеровские днс??? Как же тогда там может быть Segment defined? Тогда вообще нужно менять реализацию этих профилей

Edited by 4e.Guevara
Link to comment
Share on other sites

  • 0
23 часа назад, 4e.Guevara сказал:

P.S. Вот сразу и вопрос вдогонку по логике Вашей:

  Показать содержимое

Как тогда будет присвоить какому то сегменту просто провайдеровские днс??? Как же тогда там может быть Segment defined? Тогда вообще нужно менять реализацию этих профилей

Просто "Системный" для сегмента будет означать провайдерские DNS. А для хостов в этом сегменте провайдерские будут доступны если для них выбран "Segment default".

Link to comment
Share on other sites

  • 0
1 час назад, Le ecureuil сказал:

Просто "Системный" для сегмента будет означать провайдерские DNS. А для хостов в этом сегменте провайдерские будут доступны если для них выбран "Segment default".

Ну я понял эту логику. Но если плясать от обратного - выбрать для сегмента фильтрацию, а для хоста тогда что указать, что бы были провайдеровские днс?))))) Или этот пункт, Segment default, добавится помимо Системный??? Я к чему веду - мне удобнее на весь сегмент повесить фильтр, а не использовать его буквально на пару устройствах. Но не наоборот - на весь сегмент ставить Системный, а потом на десяток устройств отдельно привязывать фильтрацию. Если это будет реализовано, а именно два профиля: Segment default (для того, что стоит в сегменте) и Системный (днс от провайдера независимо от того, что в сегменте) - будет чудно.

Edited by 4e.Guevara
  • Upvote 1
Link to comment
Share on other sites

  • 0

А будет ли возможность редактировать список серверов которые перехватываются? Ибо позиция "мы без вас знаем что для вас лучше", весьма странная. 

Link to comment
Share on other sites

  • 0

Странная логика. Я хочу пустить все незарегистрированные устройства и большую часть домашних через DNS фильтр , а для 1,2,3,4 девайсов исключить фильтрацию. Долбить в настройки каждого устройства провайдерские DNS не есть комильфо.

Link to comment
Share on other sites

  • 0
42 минуты назад, keshun сказал:

 Долбить в настройки каждого устройства провайдерские DNS не есть комильфо.

В чём проблема создать отдельный профиль с провайдерскими ДНС и назначить его нужным девайсам?

Link to comment
Share on other sites

  • 0
8 часов назад, stakp сказал:

В чём проблема создать отдельный профиль с провайдерскими ДНС и назначить его нужным девайсам?

Ну, в принципе, гланды тоже можно через одно место вырезать. Зачем через горло??? Если есть готовые, выданные провайдером днс, какая логика их прописывать второй раз?????? А если он их поменяет, мне каждый день мониторить роутер или как? У меня висп поднят, там вообще часто днс пляшет... Гугловские я ставить не хочу.

Edited by 4e.Guevara
Link to comment
Share on other sites

  • 0

Да нет. Можно сделать для новых профилей так же как для системного, чтоб автоматом в него добавлялись DNS выданные провайдером и так же переключателем отключались, если они не нужны. Так они будут всегда актуальными, а не прописанными.

  • Upvote 1
Link to comment
Share on other sites

  • 0

Потестировал 3.9.0.

В общем, на системном профиле блокировку транзита сторонних серверов сделали. Работает. Без включения контентного фильтра.

Но вот обратное включение транзита, установкой соответствующей галочки на системном профиле не срабатывает. Запросы продолжают идти через сервера прописанные в системном профиле.

Если включить режим фильтрации в контентном фильтре, то транзит сторонних начинает работать, при условии что фильтр выбран системный. После чего можно снова полностью отключить режим фильтрации и эффект транзита сохранится. Т.е. сторонние запросы начинают проходить, как и ожидалось изначально. 

Наверное нужно ещё что-то подправить в логике вкл/откл транзита. 

Проверял несколько раз с помощью dnsleaktest

Edited by keenet07
Link to comment
Share on other sites

  • 0
8 часов назад, keenet07 сказал:

Наверное нужно ещё что-то подправить в логике вкл/откл транзита. 

Наверное, по данной проблеме и конь не валялся. Как шло все при системном профиле (в котором черным по белому в отдельной вкладке прописаны провайдеровские днс, а не какие то либо фильтра) через контентный фильтр (если он включен на сегменте), так и идет. Получается, что у меня 3 разных конфигурации режима фильтрации (на каждый сегмент своя), у клиентов выбран один и тот же системный профиль, а оно каким то чудным образом идет как хочет. К чему тогда вообще этот системный профиль и выбор этого профиля у клиентов? Уберите его вообще вместе с вкладкой профилей. Будем прописывать руками днс для каждого клиента отдельно🤣

Название одно и то же, а работа совершенно разная. При чем в разных сценариях оно то так, работает, то иначе. И не говорите, что у меня странная логика. Если я заливаю в бак бензин, то это не означает, что как только я сменю двигатель на дизельный, то топливо резко само по себе превратится в соляру

Edited by 4e.Guevara
  • Upvote 2
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...