Правильно ли я настроил DNS?

erLCoder · January 16, 2025, 6:31pm

Я поднял vless на панели 3x-ui, вот как выглядит мой конфиг

{
  "log": {
    "access": "./access.log",
    "dnsLog": true,
    "error": "",
    "loglevel": "info",
    "maskAddress": ""
  },
  "api": {
    "tag": "api",
    "services": [
      "HandlerService",
      "LoggerService",
      "StatsService"
    ]
  },
  "inbounds": [
    {
      "tag": "api",
      "listen": "127.0.0.1",
      "port": 62789,
      "protocol": "dokodemo-door",
      "settings": {
        "address": "127.0.0.1"
      }
    }
  ],
  "outbounds": [
    {
      "tag": "direct",
      "protocol": "freedom",
      "settings": {
        "domainStrategy": "UseIP"
      }
    },
    {
      "tag": "blocked",
      "protocol": "blackhole",
      "settings": {}
    },
    {
      "tag": "warp",
      "protocol": "wireguard",
      "settings": {
        "mtu": 1280,
        "secretKey": "xxxxxxxxxxxx",
        "address": [
          "172.16.0.2/32",
          "2606:4700:110:8dd1:5e3a:336d:8a38:cabc/128"
        ],
        "workers": 2,
        "domainStrategy": "ForceIPv4",
        "reserved": [
          0,
          123,
          96
        ],
        "peers": [
          {
            "publicKey": "xxxxxx=",
            "allowedIPs": [
              "0.0.0.0/0",
              "::/0"
            ],
            "endpoint": "engage.cloudflareclient.com:2408",
            "keepAlive": 0
          }
        ],
        "noKernelTun": true
      }
    },
    {
      "tag": "dns-out",
      "protocol": "dns",
      "settings": {
        "network": "udp",
        "address": "127.0.0.1",
        "port": 53,
        "nonIPQuery": "drop",
        "blockTypes": []
      }
    }
  ],
  "policy": {
    "levels": {
      "0": {
        "statsUserDownlink": true,
        "statsUserUplink": true
      }
    },
    "system": {
      "statsInboundDownlink": true,
      "statsInboundUplink": true,
      "statsOutboundDownlink": true,
      "statsOutboundUplink": true
    }
  },
  "routing": {
    "domainStrategy": "AsIs",
    "rules": [
      {
        "type": "field",
        "inboundTag": [
          "api"
        ],
        "outboundTag": "api"
      },
      {
        "type": "field",
        "outboundTag": "blocked",
        "protocol": [
          "bittorrent"
        ]
      },
      {
        "type": "field",
        "outboundTag": "blocked",
        "domain": [
          "geosite:category-ads-all"
        ]
      },
      {
        "type": "field",
        "domain": [
          "geosite:category-ru",
          "geosite:google",
          "vk.com"
        ],
        "outboundTag": "warp"
      },
      {
        "type": "field",
        "inboundTag": [
          "dns-in"
        ],
        "outboundTag": "dns-out"
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "domain": [
          "youtube.com",
          "youtu.be"
        ]
      }
    ]
  },
  "stats": {},
  "dns": {
    "servers": [
      "localhost"
    ],
    "queryStrategy": "UseIP",
    "tag": "dns-in"
  },
  "fakedns": null
}

Я не могу понять почему в “Исходящие” на dns-out использовано 0/0 bytes. Как-то это странно. Если, что я использую nekoray

0ka · January 16, 2025, 7:39pm

в nekoray по умолчанию DoH, protocol: dns это только udp dns

erLCoder · January 16, 2025, 7:49pm

Короче как я понял махинации, которые я проделал на сервере в целом бесполезны.
Поставил вот https://1.1.1.1/dns-query в некорее. Вот такая картина примерно, а там еще есть галочка “Использовать DNS-объект” правильно ли я понял, что я могу туда впихнуть ипшник сервака с поднятым dns и юзать свой? Просто какие то проблемы с 8.8.8.8 и 1.1.1.1

2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 DNS accepted https://1.1.1.1/dns-query [dns -> proxy]
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled
2025/01/16 19:47:05 [Error] app/dns: failed to retrieve response for gateway-us-east1-b.discord.gg. > Post "https://1.1.1.1/dns-query": context canceled

0ka · January 16, 2025, 7:56pm

ничего не понял. в чем проблема изначально и что вы пытались сделать?

erLCoder · January 16, 2025, 7:59pm

в логах некорея начались ошибки связанные с dns(как я полагаю не резольвит домены). Изначально стоял DoH в nekoray такой: https://8.8.8.8/dns-query. Начались ошибки, я выставил https://1.1.1.1/dns-query и все также продолжались подобные ошибки как из сообщения выше. Но в некорее есть галочка “Использовать DNS-объект” куда я вписал айпи сервера в таком виде и ошибки перестали сыпаться. Правильно ли я понимаю, что поднятый мной днс на сервере теперь используется некореем или не совсем так?

{
  "servers": [xxx.xxx.xxx.xxx]
}

0ka · January 16, 2025, 8:04pm

Если у вас перестал работать DoH то значит вы что-то серьезно сломали.

я не вижу никакого днс сервера, я вижу сниффер днс в конфиге сервера который все запросы будет заворачивать на себя (а на сервере прописан localhost адрес, т.е. системный днс).

советую вернуть некобокс в дефолт, переустановить панель, не трогать json конфиг и настроить всё через интерфейс, я не вижу ничего особенного для чего нужно было бы лезть в json

erLCoder · January 16, 2025, 8:08pm

я не лез в json, нужно было просто завернуть dns на сам сервак, ибо были утечки

через bind9 я поставил днс и теперь айпи моего сервера можно использовать как днс, который в свою очередь отправляет все на 8.8.8.8 и 8.8.4.4

0ka · January 16, 2025, 8:11pm

чтобы небыло утечки на клиенте то в некобоксе включите strict route в tun settings, еще скорее всего в винде нужно прописать dns 1.1.1.1 или любой другой (кроме днс с роутера), для ipv6 убрать днс вообще.

чтобы увидеть куда утечка то смотреть надо через wireshark

0ka · January 16, 2025, 8:13pm

ничего непонятно

roman_sv · January 17, 2025, 3:01am

Если там ошибки с узлами googlevideo, то это норма. И вообще это не ошибки. Можно не верить логу в плане днс эрроров. Они есть и в чистом сингбоксе, и в клэш на роутере. И на стабильных версиях, и на бетах, и на альфах и уже целый год на любых версиях. И под виндой, и под лоинуксом. Хз из-за чего он серет в логи днс ошибками, но можно игнорить их.

Скорее всего он пишет днс эррор из-за того, что узел послал нафиг (а чаще всего в обычных ситуациях это происходит с упомянутым гугл видео - открой браузер в режиме разраба и помониторь - часто шуруют ошибки 400, вот именно они и считаются как днс эррор, наверное). Но это не значит, что есть какие-то проблемы с резолвингом. Если в браузере всегда все сайты открываются и ни разу не было такого, что “адрес не найден”, то всё ок.

А прописывать надо именно CF по DOH-(3). С ним лучше работает.
Дох3 в плане конспирации, наверное, плохой вариант, ибо там udp используется. А udp внутри влеса это палево для очень продвинутого DPI. У нас это пока не проблема и ближайшие годы проблемой не будет. Обычный DOH (не 3) юзает TCP.

erLCoder · January 17, 2025, 3:24am

Вот у меня как раз бывает, что не резольвит, прям браузер иногда выдает ошибку и приходится перезагружать страницу. Ещё было дело заходил на игровой сервер и просто было бесконечное подключение, только выключил некорей и сразу все подконнектило. Вчера удалил из конфига DNS, который настроил перезагрузил сервер и было все норм с ошибками, сейчас запустил на компе некорей, насерело ошибками так как никогда еще

erLCoder · January 17, 2025, 5:02am

Кроме того заметил перебои на мобильной сети оператора Билайн с ютубом в Москве и области, помню в конце декабря ставил xtls-rprx-vision в flow и стало лучше тогда. Сейчас же нереально смотреть Ютуб, несмотря на то что стоит xtls, как будто без него сижу

souvenir · January 17, 2025, 6:07am

Ничего толком не понятно, а в самой системе у вас как doh настроен? CF или Гугл?

skyrunner · January 17, 2025, 6:13am

я сделал тоже самое, только отправляю все на 127.0.0.1

erLCoder · January 17, 2025, 6:25am

ну грубо говоря можно в настройках адаптера в windows выставить этот днс, doh не настраивал, но я убрал из конфигурации сервера всю муть что сделал и ошибки уже реже сыпет. Но на мобильном интернете беда с ютубом полная в Москве, мне кажется, что тут в целом весь траффик затормаживают

0ka · January 17, 2025, 9:10am

Никакого затормаживания нет. Проблема в настройке сервера и/или клиента

0ka · January 17, 2025, 9:14am

Выводы абсолютно неверные. Http коды и ошибки днс совершенно разные вещи. Прописывать можно любой днс, они все работают нормально если у вас нигде нет косяков.

erLCoder · January 17, 2025, 1:18pm

Я просто так предположил, потому что дома с мобильного интернета и проводного все хорошо, только выхожу из дома и еду в Москву, как начинается свистопляска и телеграм, тик ток, ютуб(причем соединение есть, просто видео начинает тормозить из-за нехватки буфера) сразу начинают дико тупить

0ka · January 17, 2025, 1:48pm

на варпе тоже самое?

erLCoder · January 17, 2025, 1:52pm

Я и с варпом пробовал и без него, не работает. Вот поэтому я и выдвинул свои смелые предположения, уже не знаю, что делать

P.S в некорее я плюс минус понял и пофиксил большинство ошибок. У меня “final dns out” стоял “proxy”, выставив “bypass” все стало лучше, также я поставил днс для “прямых” запросов не localhost, а https://223.5.5.5/dns-query