Jump to content
  • 3

3.9.0-4.0.0: не вкл/выкл Транзит запросов на системном профиле без ручной перезагрузки интерфейса


keenet07

Question

Потестировал 3.9.0.

В общем, на системном профиле блокировку транзита сторонних серверов починили. Работает. Без включения контентного фильтра.

Но вот обратное включение транзита, установкой соответствующей галочки на системном профиле сразу не срабатывает. Запросы продолжают идти через сервера прописанные в системном профиле.

Если включить режим фильтрации в контентном фильтре, то транзит сторонних начинает работать, при условии что фильтр для хоста выбран системный. После этого можно снова полностью отключить режим фильтрации и эффект транзита сохранится. Т.е. сторонние запросы начинают проходить, как и ожидалось изначально. 

Наверное нужно ещё что-то подправить в логике вкл/откл транзита. 

Проверял несколько раз с помощью dnsleaktest

Edited by keenet07
  • Need more info 3
Link to comment
Share on other sites

Recommended Posts

  • 0
2 часа назад, hellonow сказал:

@keenet07 self-test пожалуйста, чтобы понимать вашу конфигурацию.

Нет возможности предоставить self-test. Попробуйте смоделировать то, что я описал на любой типовой конфигурации.

Ну кое-что сказать могу. Интернет по Ethernet, ручная настройка IPv4 без указания DNS серверов. Стоит галка игнорировать DNS провайдера. Простые DNS сервера не прописаны. Добавлены следующие DOT сервера: 8.8.8.8, 1.1.1.1, 1.0.0.1. Модуль DOH не установлен. Контентный фильтр - Режим фильтрации: Выключен. Никаких профилей DNS кроме системного нет.

Если нужно, что-то ещё, спрашивайте.

Edited by keenet07
  • Y'r wrong 1
Link to comment
Share on other sites

  • 0
8 часов назад, НиколайLT сказал:

keenet07

А вы роутер перезагружаете после вкл/выкл блокировки транзита?

Нет. Зачем мне это делать? Настройка должна применяться на лету, либо должно быть предупреждение о том, что применение данной настройки требует перезагрузки.

К тому же, как я уже писал выше, если временно включить, а затем выключить контентный фильтр, то транзит после этого начинает работать. Если какая-то перезагрузка и требуется, то скорее программная.  Отключение транзита работает моментально, а вот обратное включение...

Edited by keenet07
  • Y'r wrong 1
Link to comment
Share on other sites

  • 0
7 часов назад, keenet07 сказал:

К тому же, как я уже писал выше, если временно включить, а затем выключить контентный фильтр, то транзит после этого начинает работать.

Ок.

А я попробовал сделать так, включаю/отключаю блокировку транзитных запросов в системном профиле, ничего не работает, захожу в "Системный монитор" жму Обновить напротив "IP адрес", после этого настройка применяется.

Link to comment
Share on other sites

  • 0
18 минут назад, НиколайLT сказал:

Ок.

А я попробовал сделать так, включаю/отключаю блокировку транзитных запросов в системном профиле, ничего не работает, захожу в "Системный монитор" жму Обновить напротив "IP адрес", после этого настройка применяется.

Ну вот, видите, ещё один способ нашёлся. В моем случае это правда не применимо. У меня настройки Интернета прописаны вручную. Т.е. попросту нет Обновить IP адрес, там где это есть у вас. Можно конечно обновить интерфейс какой-нибудь командой через CLI. Но лучше чтоб, если это возможно, сделали применение настройки Транзита автоматически.

Edited by keenet07
  • Y'r wrong 1
Link to comment
Share on other sites

  • 0
35 минут назад, keenet07 сказал:

Ну вот, видите, ещё один способ нашёлся.

Ну ещё можно в "Ethernet", переключатель напротив "Активно", выключить и включить обратно. Тоже работает.

Работу (вкл/выкл блокировки транз.запросов) проверяю через режим инкогнито.

Link to comment
Share on other sites

  • 0
18 минут назад, НиколайLT сказал:

Ну ещё можно в "Ethernet", переключатель напротив "Активно", выключить и включить обратно. Тоже работает.

Да. Проверил, так тоже работает.

19 минут назад, НиколайLT сказал:

Работу (вкл/выкл блокировки транз.запросов) проверяю через режим инкогнито.

Это как?

Link to comment
Share on other sites

  • 0
В 30.11.2022 в 17:58, keenet07 сказал:

В общем, на системном профиле блокировку транзита сторонних серверов починили. Работает. Без включения контентного фильтра.

Но вот обратное включение транзита, установкой соответствующей галочки на системном профиле сразу не срабатывает. Запросы продолжают идти через сервера прописанные в системном профиле.

Хах. Поправочка. Оказалось, что включение блокировки транзита, так же требует реактивации интерфейса. Сразу не применяется. Как и в случае с отключением.

Edited by keenet07
Link to comment
Share on other sites

  • 0
49 минут назад, keenet07 сказал:

Это как?

Ну типо добавляю https://1.1.1.1/help (есть ещё адгвардовский сайт) в закладку и после применения настроек, открываю закладку в режиме инкогнито если транзитные запросы блокируются, то и адрес не открывается (у меня не прописано никаких других DNS в системе windows/браузере). А если этот адрес после применения настроек открывать без режима инкогнито, то он открывается. Наверно нужно очищать кэш DNS в системе и/или браузере. Ну или браузер/систему перезагружать. А для теста и режим инкогнито подходит.

Link to comment
Share on other sites

  • 0
5 минут назад, НиколайLT сказал:

Ну типо добавляю https://1.1.1.1/help (есть ещё адгвардовский сайт) в закладку и после применения настроек, открываю закладку в режиме инкогнито если транзитные запросы блокируются, то и адрес не открывается (у меня не прописано никаких других DNS в системе windows/браузере). А если этот адрес после применения настроек открывать без режима инкогнито, то он открывается. Наверно нужно очищать кэш DNS в системе и/или браузере. Ну или браузер/систему перезагружать. А для теста и режим инкогнито подходит.

ХитрО. Роутер считает такой запрос как обращение по DOH. 

У меня в браузере Vivaldi даже и не требуется инкогнито использовать. Если транзиты закрыты, то не открывается. Если открыты, загружается страница. Кэша нет.

Link to comment
Share on other sites

  • 0

Версия 3.9.1

Не исправлено, либо не дано разъяснений по данному вопросу.

На текущий момент для применения и отмены опции Транзит запросов требуется дополнительная перезагрузка интерфейса интернета, либо временное включение и выключение Контентной фильтрации.

Edited by keenet07
  • Need more info 2
Link to comment
Share on other sites

  • 0

Не могу предоставить self-test. Данная проблема легко моделируется. Подтверждено как минимум одним другим пользователем.

Edited by keenet07
  • Y'r wrong 1
Link to comment
Share on other sites

  • 0

Добавлю к проблеме

Версия 3.9.2, KN-2710, настройка с нуля.

Транзит DNS запросов не работает, если клиент из основной политики доступа (Приоритеты подключений / Политики подключений) был перенесен в созданную руками. При этом основное соединение (RT PPPoE) есть в обеих. Транзит не работает ни с дефолтным (системным) DNS профилем, ни с созданным.

Как только возвращаешь клиента на основную политику, транзит снова начинает работать.

  • Upvote 1
Link to comment
Share on other sites

  • 0

Версия 3.9.3

Всё без изменений.

По прежнему, чтоб включить или выключить транзит требуется дополнительная перезагрузка интерфейса (выкл/вкл в Ethernet) либо перезагрузка всего устройства.

  • Need more info 1
Link to comment
Share on other sites

  • 0

@Artem Kuznetcov сходу не получилось воспроизвести, PrivateDNS работает с транзитом корректно в рамках любых профилей политик и DNS. Проверено с вашей конфигурацией DNS и похожей конфигурацией политик. 

Проверьте работу в версии 3.9.4 или 4.0.10

И лучше создать отдельную тему, чтобы все в кучу не мешать.

Link to comment
Share on other sites

  • 0

Решил не создавать новую тему.

4.0 Alpha 16 - создается ощущение что установка или снятие галки "Транзит запросов" в системном профиле ни на что не влияет, все запросы проходят

Edited by snark
Link to comment
Share on other sites

  • 0
8 минут назад, snark сказал:

4.0 Alpha 16 - создается ощущение что установка или снятие галки "Транзит запросов" в системном профиле ни на что не влияет, все запросы проходят

Об этом и тема. Ни на что не влияет, пока не перезапустишь интерфейс интернета или локальной сети провайдера, либо пока не перезагрузишь устройство. 

После этого происходит блокировка/пропуск  в зависимости от того стоит или снята галочка.

Выходит, что и на 4.0 ничего не исправлено или не сделано описания о том что для активации опции требуются дополнительные действия.

Edited by keenet07
Link to comment
Share on other sites

  • 0

Наткнулся на аналогичную проблему.

 

Дано:

1. KN-1011 3.9.5

2. Несколько политик доступа в интернет.

3. Несколько профилей DNS.

4. Вручную добавленная DNS запись (ip host).

 

При переносе устройства из системной политики доступа на созданную руками, наблюдается следующее:

1. Отваливается транзит DNS запросов для всех профилей DNS. Любые обращения к любым DNS-серверам уходят на DNS сервер Keenetic. 

2. Запросы, которые должны идти сервер, указанный в созданном профиле DNS, резволвятся системным профилем. Если отключить транзит для созданного профиля, то запросы начинают ходить правильно.

 

Как воспроизвести.

Подготовка:

1. Создаем политику доступа в интернет.

2. Создаём профиль DNS, где указываем сервер (например локальный Dnsmasq/AdGuard Home), резволвящий mc.yandex.ru на 0.0.0.0. Транзит DNS запросов разрешён.

3. Добавляем DNS запись `ip host google.me 192.168.1.2`

 

Сценарий №1. Политика доступа системная. Профиль DNS системный (транзит включён).

1. Проверяем:

1.1 `dig @192.168.1.1 google.me` – 192.168.1.2.

1.2 `dig @192.168.1.1 mc.yandex.ru` – актуальный адрес, запрос ушёл на указанный сервер в настройках.

1.3 `dig @8.8.8.8 google.me` – нет ответа, запрос ушёл на 8.8.8.8.

1.4 `dig @8.8.8.8 mc.yandex.ru` – актуальный адрес, запрос ушёл на 8.8.8.8. 

1.5 `dig @8.8.8.8 google.com` – актуальный адрес, запрос ушёл на 8.8.8.8. 

 

Сценарий №2. Политика доступа системная. Профиль DNS созданный (транзит включён).

1. Проверяем:

1.1 `dig @192.168.1.1 google.me` – 192.168.1.2. 

1.2 `dig @192.168.1.1 mc.yandex.ru` – 0.0.0.0, запрос ушёл на созданный профиль. 

1.3 `dig @8.8.8.8 google.me` – нет ответа, запрос ушёл на 8.8.8.8. 

1.4 `dig @8.8.8.8 mc.yandex.ru` – актуальный адрес, запрос ушёл на 8.8.8.8. 

 

Сценарий №3. Политика доступа созданная. Профиль DNS системный (транзит включён).

1. Проверяем:

1.1 `dig @192.168.1.1 google.me` – 192.168.1.2. 

1.2 `dig @192.168.1.1 mc.yandex.ru` – актуальный адрес, запрос ушёл на системный профиль. 

1.3 `dig @8.8.8.8 google.me` – 192.168.1.2, перехвачен.

1.4 `dig @8.8.8.8 mc.yandex.ru` – актуальный адрес, но перехвачен и ушёл на системный профиль. 

 

Сценарий №4. Политика доступа созданная. Профиль DNS созданный (транзит включён).

1. Проверяем:

1.1 `dig @192.168.1.1 google.me` – 192.168.1.2. 

1.2 `dig @192.168.1.1 mc.yandex.ru` – актуальный адрес, запрос ушёл на системный профиль. 

1.3 `dig @8.8.8.8 google.me` – 192.168.1.2, перехвачен.

1.4 `dig @8.8.8.8 mc.yandex.ru` – актуальный адрес, но перехвачен и ушёл на системный профиль. 

 

Сценарий №5. Политика доступа созданная. Профиль DNS созданный (транзит отключён).

1. Проверяем:

1.1 `dig @192.168.1.1 google.me` – 192.168.1.2. 

1.2 `dig @192.168.1.1 mc.yandex.ru` – 0.0.0.0, запрос ушёл на созданный профиль. 

1.3 `dig @8.8.8.8 google.me` – 192.168.1.2, перехвачен

1.4 `dig @8.8.8.8 mc.yandex.ru` – 0.0.0.0, перехвачен и ушёл на созданный профиль. 

Edited by khmm12
  • Thanks 1
Link to comment
Share on other sites

  • 0

Версия 3.9.6

Без изменений.

Было бы интересно узнать, что вообще по этому вопросу решается или возможно решено. Может уже и не стоит дальше отслеживать? Жить конечно эта проблема особо не мешает, но и исправление всё же не помешало бы.

Edited by keenet07
  • Thanks 1
  • Upvote 1
  • Need more info 1
Link to comment
Share on other sites

  • 0

Версия 3.9.7

Без изменений.

Может с запуском нового web-интерфейса это поправят? Я так понимаю, раз уж о нем начали говорить, значит не так долго уже его ждать осталось.

 

  • Thanks 1
  • Need more info 1
Link to comment
Share on other sites

  • 0

Версия 4.0 Beta 1

Проверил на свежей Бете. Всё так же, как и на старых стабильных версиях. Для применения опции требуются дополнительные действия. 

  • Need more info 1
Link to comment
Share on other sites

  • 0
27 минут назад, keenet07 сказал:

Версия 4.0 Beta 1

Проверил на свежей Бете. Всё так же, как и на старых стабильных версиях. Для применения опции требуются дополнительные действия. 

https://forum.keenetic.com/topic/15529-журнал-изменений-40/

Или тут( на форуме)  не поспевают публиковать новую версию прошивки или вы опечатались....
 

Link to comment
Share on other sites

  • 0
1 минуту назад, krass сказал:

https://forum.keenetic.com/topic/15529-журнал-изменений-40/

Или тут( на форуме)  не поспевают публиковать новую версию прошивки или вы опечатались....
 

https://docs.keenetic.com/eaeu/giga/kn-1010/ru/6350-latest-preview-release.html

  • Upvote 1
Link to comment
Share on other sites

  • 0

Версия 4.0 Beta 3

Без изменений.

На системном профиле без фильтров транзит включается и отключается, но требуется перезагрузка.

  • Need more info 1
Link to comment
Share on other sites

  • 0

Отправьте кто-нибудь кому не сложно self-test в тему у кого такая же проблема. Без него ничего не движется по данному вопросу.

  • Y'r wrong 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...