Jump to content
  • 0

Утечка DNS на 2.11


fgsfds
 Share

Question

Есть Keenetic Lite II с прошивкой 2.11.C.0.0-2.

Есть три подключения: IPoE, PPPoE и L2TP/IPsec. Третье соединяется через второе, а второе - через первое, соответственно. PPPoE - единственное подключение для выхода в интернет, два других в качестве маршрута по умолчанию не используются (no ip global). Для PPPoE отключено использование DNS провайдера (ipcp no name-servers) и прописаны адреса Google DNS.

Насколько я понимаю, при такой конфигурации должны использоваться только DNS Google, но роутер определенно соединяется с DNS провайдера (возможно, что не всегда) на подключении IPoE. Это сразу заметно, потому что DNS провайдера выдает для некоторых доменных имен заведомо ложные IP-адреса, с которыми нельзя соединиться.

Я знаю, что можно отключить использование DNS провайдера и для подключения IPoE (ip dhcp client no name-servers), но это подключение вообще не должно было использоваться для выхода в интернет. Проблема появилась сразу после обновления до 2.11.C.0.0-2, на 2.10.C.2.0-4 ничего подобного замечено не было.

Link to comment
Share on other sites

12 answers to this question

Recommended Posts

  • 0
4 часа назад, fgsfds сказал:

Есть Keenetic Lite II с прошивкой 2.11.C.0.0-2.

Есть три подключения: IPoE, PPPoE и L2TP/IPsec. Третье соединяется через второе, а второе - через первое, соответственно. PPPoE - единственное подключение для выхода в интернет, два других в качестве маршрута по умолчанию не используются (no ip global). Для PPPoE отключено использование DNS провайдера (ipcp no name-servers) и прописаны адреса Google DNS.

Насколько я понимаю, при такой конфигурации должны использоваться только DNS Google, но роутер определенно соединяется с DNS провайдера (возможно, что не всегда) на подключении IPoE. Это сразу заметно, потому что DNS провайдера выдает для некоторых доменных имен заведомо ложные IP-адреса, с которыми нельзя соединиться.

Я знаю, что можно отключить использование DNS провайдера и для подключения IPoE (ip dhcp client no name-servers), но это подключение вообще не должно было использоваться для выхода в интернет. Проблема появилась сразу после обновления до 2.11.C.0.0-2, на 2.10.C.2.0-4 ничего подобного замечено не было.

Да, поведение DNS proxy было изменено. Если не хотите утечки DNS - отключение получение всех ненужных вам DNS-серверов.

Link to comment
Share on other sites

  • 0
В 3/9/2018 в 02:00, fgsfds сказал:

А можно подробнее про изменения узнать? По каким приоритетам теперь DNS-сервер выбирается?

Разработчика DNS proxy на этом форуме нет.

Link to comment
Share on other sites

  • 0
В 19.03.2018 в 15:44, Le ecureuil сказал:

Разработчика DNS proxy на этом форуме нет.

Т.е. без общения непосредственно с разработчиком узнать об изменениях в работе DNS Proxy в новой прошивке нельзя никак? Какой у вас, однако, полезный форум.

Есть, конечно, еще и официальная техподдержка, вот только в случае с Keenetic Lite II этот вариант неприменим.

Link to comment
Share on other sites

  • 0
6 часов назад, fgsfds сказал:

Т.е. без общения непосредственно с разработчиком узнать об изменениях в работе DNS Proxy в новой прошивке нельзя никак? Какой у вас, однако, полезный форум.

Есть, конечно, еще и официальная техподдержка, вот только в случае с Keenetic Lite II этот вариант неприменим.

Да, глубинные сведения о каждом из компонентов знает в основном разработчик этого компонента. Меня бесполезно спрашивать что-то про Web, например, я кроме как "зафиксировать вопиющую неисправность" все равно ничего не смогу сделать и сказать.

Link to comment
Share on other sites

  • 0

Получается, что данный вопрос нерешаем? В 2.10 все было просто и понятно: использовались DNS-серверы из того соединения, которое являлось маршрутом по умолчанию. В 2.11 что-то поменяли, но забыли написать в changelog, и теперь пользователю об этих изменениях не узнать никак?

Link to comment
Share on other sites

  • 0
3 часа назад, fgsfds сказал:

Получается, что данный вопрос нерешаем? В 2.10 все было просто и понятно: использовались DNS-серверы из того соединения, которое являлось маршрутом по умолчанию. В 2.11 что-то поменяли, но забыли написать в changelog, и теперь пользователю об этих изменениях не узнать никак?

Решение было предложено во 2м посте

Link to comment
Share on other sites

  • 0

Если оно раньше случайно работало, как вам казалось правильно, а потом сделали по-другому, и у вас что-то сломалось - это значит что изначально у вас было неправильно.

Никто никогда не гарантировал, что если вы не удалите все ненужные DNS, то к ним не будет запросов. Просто "везло", и эти DNS отвечали хуже или еще почему-то они не принимали участие в работе.

Единственное правильное решение на абсолютно всех версиях прошивок - отключить автополучение ненужных DNS. Остальное - это везение.

Link to comment
Share on other sites

  • 0

Хорошо, остановимся на том, что такая работа DNS proxy в 2.10 и ниже была багом.

Но я не могу согласиться с тем, что мне просто "везло" - предыдущая конфигурация работала 10 месяцев на прошивках 2.07-2.10, и утечки не были замечены ни разу.

 

22 часа назад, r13 сказал:

Решение было предложено во 2м посте

Вопрос был о том, по каким приоритетам выбирается DNS-сервер, а не о том, как избежать утечки DNS на новой прошивке.

Edited by fgsfds
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...