Jump to content
  • 0

Утечка DNS


Veltik

Question

Настроены несколько WG тунелей, созданы политики, к каждой политике свои клиенты. Такая схема работала уже пару лет, недавно обновился на 4.2 Beta 3, т.к. нужны некоторые функции беты.

Раньше: домены резолвились четко через ДНС, указанный в конфиге WG, через утилиты проверки на утечку ДНС был четко один айпи адрес выходной от WG (так настроено на сервере WG)

Сейчас: Проверка на утечку ДНС показывается все ДНС резолверы от всех WG тунелей и даже ДНС от провайдера.

Перечитал лог апдейта, не нашел ничего похожего, чтобы так могло сломаться.

Почему всё сломалось само на ровном месте?

Баг прошивки или я упустил что-то в обновлениях?

 

Edited by Veltik
Link to comment
Share on other sites

25 answers to this question

Recommended Posts

  • 0

Ну и получается я теперь не могу для Connection Policy выставить нужный ДНС, только для отдельных Клиентов или Сегмента сети. Каждому клиенту получается надо свою конфигурацию ДНС создавать и присваиваить. Двойная работа, хоть и более гибко стало.

 

Но! Смог создать только 8 профилей ДНС тут internet-filter/dns-configuration

Как создать больше?

Link to comment
Share on other sites

  • 0

Всё равно мутно всё как-то. Недостаточно создать профили ДНС с нужными ДНС серверами, надо их еще продублировать в Системном профиле, чтобы всё работало. Ну и больше 8-ми профилей не добавишь.

Как с минимальными усилиями сделать как раньше? Каждый клиент идет на ДНС, который указан в соединении в его политике.

Edited by Veltik
Link to comment
Share on other sites

  • 0

Вообщем, явно что-то сломали.

Сейчас можно добиться отсутствия утечки ДНС, но надо создавать отделный профиль ДНС, в нем указывать айпи ДНС сервера в локалке и этот же айпи указывать в Системном профиле для нужного интерфейс. Тогда утечка пропадает. Если в системном убрать айпи днс, оставить только в конкретном профиле, то утечка появляется.

Куда можно отрепортить проблему? Сюда? https://forum.keenetic.com/forum/52-dev-channel-issues-test-reports/

Edited by Veltik
Link to comment
Share on other sites

  • 0

Ох, это сложно, рабочую систему придется даунгрейдить, боюсь чтобы ничего не отвалилось и работу останавливать не вариант. Других вариантов нет?

  • Confused 1
Link to comment
Share on other sites

  • 0

У меня есть второй такой же роутер, попробую воссоздать на нем аналогичную ситуацию, сделать дамп на 4.1.7 прошивке и потом на 4.2 бета 3.

Link to comment
Share on other sites

  • 0
В 11.09.2024 в 14:55, Le ecureuil сказал:

А можете прислать сюда self-testы на старом ПО, где все работает, и на новом? Хочу сравнить, что же поменялось.

 

Загружаю два файла.

 

Первый - 4.1.7 стабильная, утечки ДНС нет, второй файл - сразу после обновления на 4.2 Бета 3 - утечка есть.

 

Сделал даунгрейд до 4.1.7 - утечка пропала.

 

Утечка выражается в том, что на версии 4.1.7 резолв идет ТОЛЬКО через WG, а в 4.2 Бета 3 еще и через 1.1.1.1 1.0.0.1

self-test_KN-1811_stable_4.01.C.7.0-1_router_2024-09-12T14-21-35.035Z.txt self-test_KN-1811_preview_4.02.B.3.0-0_router_2024-09-12T14-27-22.667Z.txt

Edited by Veltik
Link to comment
Share on other sites

  • 0
9 минут назад, Le ecureuil сказал:

Какие у вас DNS настроены и используются на клиенте? Покажите скриншот.

> cat /etc/resolv.conf

# Generated by NetworkManager
nameserver 192.168.1.1

 

В обоих случаях.

Link to comment
Share on other sites

  • 0

На клиентах ничего не менялось, клиентов много и разных, винда, линух, мобильники, все одинаково на новой версии прошивки утекают в днс. Клиенты здесь не причем.

Link to comment
Share on other sites

  • 0

Если кратко: раньше политика перехватывала вообще все DNS-запросы, направленные не только на 192.168.1.1 в роутер, но транзитные на 1.1.1.1 или к DNS-провайдера. Теперь перехватываются только запросы непосредственно в роутер, на 192.168.1.1. Если ваши клиенты из локалки отправляют прямые транзитные запросы к DNS провайдера, то теперь они будут пропущены. Потому прошу еще раз проверить, куда же на самом деле идут запросы - можете сделать это через захват в Wireshark на клиенте.

Link to comment
Share on other sites

  • 0
54 минуты назад, Le ecureuil сказал:

Если кратко: раньше политика перехватывала вообще все DNS-запросы, направленные не только на 192.168.1.1 в роутер, но транзитные на 1.1.1.1 или к DNS-провайдера. Теперь перехватываются только запросы непосредственно в роутер, на 192.168.1.1. Если ваши клиенты из локалки отправляют прямые транзитные запросы к DNS провайдера, то теперь они будут пропущены. Потому прошу еще раз проверить, куда же на самом деле идут запросы - можете сделать это через захват в Wireshark на клиенте.

Почему так решили сделать? Т.е. настройка в профилях Транзит запросов утратила силу? Совсем транзитные ловить нельзя? Или же вы имеете в виду, что описанное вами поведение справедливо как раз тогда, когда стоит галка Транзит запросов, а когда снята, всё перехватывается и перенаправляется, как и прежде?

Edited by keenet07
Link to comment
Share on other sites

  • 0
1 час назад, Le ecureuil сказал:

Если кратко: раньше политика перехватывала вообще все DNS-запросы, направленные не только на 192.168.1.1 в роутер, но транзитные на 1.1.1.1 или к DNS-провайдера. Теперь перехватываются только запросы непосредственно в роутер, на 192.168.1.1. Если ваши клиенты из локалки отправляют прямые транзитные запросы к DNS провайдера, то теперь они будут пропущены. Потому прошу еще раз проверить, куда же на самом деле идут запросы - можете сделать это через захват в Wireshark на клиенте.

Попробую сделать, хоть и не вижу смысла. Явно беда в механизме обработки ДНС в прошивке роутера, клиенты знают только айпи роутера, ни о каких других ДНС они не знают, тем более не могу знать о ДНС других WG сетей, но почему-то знают. Т.е. роутер палит все ДНС, которые находятся в политике ДНС Системная и не важно к какому интерфейсу привязан ДНС, все ДНС уходят на все интерфейсы.

Link to comment
Share on other sites

  • 0
4 часа назад, keenet07 сказал:

Почему так решили сделать? Т.е. настройка в профилях Транзит запросов утратила силу? Совсем транзитные ловить нельзя? Или же вы имеете в виду, что описанное вами поведение справедливо как раз тогда, когда стоит галка Транзит запросов, а когда снята, всё перехватывается и перенаправляется, как и прежде?

Это все работает только в системном профиле, не в политиках. В политиках всегда были свои прибамбасы.

Link to comment
Share on other sites

  • 0
2 часа назад, Veltik сказал:

Попробую сделать, хоть и не вижу смысла. Явно беда в механизме обработки ДНС в прошивке роутера, клиенты знают только айпи роутера, ни о каких других ДНС они не знают, тем более не могу знать о ДНС других WG сетей, но почему-то знают. Т.е. роутер палит все ДНС, которые находятся в политике ДНС Системная и не важно к какому интерфейсу привязан ДНС, все ДНС уходят на все интерфейсы.

Покажите же тогда дамп, причем желательно снятый компонентом монитор на Home интерфейсе роутера в момент теста по определению утечки.

Link to comment
Share on other sites

  • 0
13 часа назад, Le ecureuil сказал:

Покажите же тогда дамп, причем желательно снятый компонентом монитор на Home интерфейсе роутера в момент теста по определению утечки.

Подскажите команды, которые надо ввести через телнет на роутере.

Link to comment
Share on other sites

  • 0
13 минуты назад, Veltik сказал:

Подскажите команды, которые надо ввести через телнет на роутере.

Все делается через веб-интерфейс. Нужно установить компонент monitor и сделать захват на странице "Диагностика".

Link to comment
Share on other sites

  • 0
1 минуту назад, Le ecureuil сказал:

Все делается через веб-интерфейс. Нужно установить компонент monitor и сделать захват на странице "Диагностика".

NetFlow Monitor? У меня почему-то не появилась кнопка захвата на странице Диагностики.

Link to comment
Share on other sites

  • 0
1 час назад, Le ecureuil сказал:

Все делается через веб-интерфейс. Нужно установить компонент monitor и сделать захват на странице "Диагностика".

Прикрепил захват с 3х интерфейсов на всякий случай. И 3 скрина с результатом теста.

Screenshot_20240913_110248.png

Screenshot_20240913_110237.png

Screenshot_20240913_110216.png

capture-GigabitEthernet0-Vlan1-Sep 13 14-01-12.pcapng capture-Bridge0-Sep 13 14-01-14.pcapng capture-Bridge1-Sep 13 14-01-17.pcapng

Link to comment
Share on other sites

  • 0
3 часа назад, Le ecureuil сказал:

Спасибо за приложенную информацию, баг обнаружен и поправлен.

Будет в следующей версии 4.2.

Спасибо, отлично.

 

А можно хоть капельку информации где был баг? Интересно для саморазвития.

Link to comment
Share on other sites

  • 0
18 часов назад, Veltik сказал:

Спасибо, отлично.

 

А можно хоть капельку информации где был баг? Интересно для саморазвития.

В netfilter в правилах перехвата DNS добавлялся адрес 192.168.1.1/24 из-за опечатки, а не 192.168.1.1/32. Как оказалось, такой формат задания подсети вызывает проблемы.

  • Thanks 1
  • Upvote 2
Link to comment
Share on other sites

  • 0

Купил этот роутер только из-за WG и такое. как по мне это очень критично для меня, утечка днс. как это можно в данный момент исправить? если не ждать 4.2

Link to comment
Share on other sites

  • 0
22 hours ago, michaelkim said:

Купил этот роутер только из-за WG и такое. как по мне это очень критично для меня, утечка днс. как это можно в данный момент исправить? если не ждать 4.2

4.2 вышла, можете установить и пользоваться.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...