AntiZapret + unbound

ShiGhost · July 11, 2024, 12:35pm

Здравствуйте. Имеется свой сервер antizapret. В своей локальной сети поднял unbound и указал в него dns сервер antizapret, почему то не разблокируется сайт yt3.ggpht.com, то есть возвращает DNS оригинальный IP адрес, но другие заблокированные домены работают. Если указать напрямую DNS antizapret, без использования unbound, сайт yt3.ggpht.com начинает грузиться. Кэш чистил unbound, системы и самого браузера. (unbound-control flush_zone ., ipconfig /flushdns и запуск браузера в инкогнито). Логи unbound:

[1720699666] unbound[13704:0] info: resolving yt3.ggpht.com. A IN
[1720699666] unbound[13704:0] info: response for yt3.ggpht.com. A IN
[1720699666] unbound[13704:0] info: reply from <.> 8.8.8.8#53
[1720699666] unbound[13704:0] info: query response was CNAME
[1720699666] unbound[13704:0] info: resolving yt3.ggpht.com. A IN
[1720699666] unbound[13704:0] info: response for yt3.ggpht.com. A IN
[1720699666] unbound[13704:0] info: reply from <.> 8.8.8.8#53
[1720699666] unbound[13704:0] info: query response was ANSWER
[1720699666] unbound[13704:1] info: resolving yt3.ggpht.com. AAAA IN
[1720699666] unbound[13704:1] info: resolving yt3.ggpht.com. AAAA IN
[1720699666] unbound[13704:1] info: response for yt3.ggpht.com. AAAA IN
[1720699666] unbound[13704:1] info: reply from <.> 8.8.8.8#53
[1720699666] unbound[13704:1] info: query response was nodata ANSWER
[1720699669] unbound[13704:0] info: resolving photos-ugc.l.googleusercontent.com. AAAA IN
[1720699697] unbound[13704:0] info: resolving photos-ugc.l.googleusercontent.com. HTTPS IN
[1720699697] unbound[13704:0] info: response for photos-ugc.l.googleusercontent.com. HTTPS IN
[1720699697] unbound[13704:0] info: reply from <.> 8.8.8.8#53
[1720699697] unbound[13704:0] info: query response was nodata ANSWER

unbound.conf (53,7 КБ)

rader · July 11, 2024, 3:09pm

У вас в файле конфигурации настроена пересылка зон на адрес google dns. В логах он и отвечает. В данном случае, какого результаты вы хотите?

ShiGhost · July 11, 2024, 3:39pm

В конфигурационном файле OpenVPN прописано route 8.8.8.8 255.255.255.255 vpn_gateway, то есть он перехватывает запросы. И как я выше писал, что остальные сайты, которые заблокированы открываются с такими настройками и только с yt3.ggpht.com не работает.

rader · July 11, 2024, 4:11pm

Понятно.
Попробуйте добавить в конфиг unbound.

server:
private-domain: “yt3.ggpht.com”
domain-insecure: “yt3.ggpht.com”
forward-zone:
name: “yt3.ggpht.com”
forward-addr: 8.8.8.8

Xunlei · July 11, 2024, 4:25pm

Приветствую. Не знаю, как работает антизапрет, но есть пара замечаний:

Нет, вы указали google DNS в форфардере.

Эта строка не означает перехват запроса, а лишь указывает машрутизацию через виртуальный интерфейс.

Как при этом открываются заблокированные сайты, мне не понятно. Заблокированные сайты должны резолвиться на приватную сеть (посредством DNS сервера антизапрета), которые уже машрутизируются через тунель (остальные диапазоны адресов машрутизируются по умолчанию).

rader · July 11, 2024, 4:32pm

Вот я тоже не понимаю зачем так делать? Почему сразу не указать локальный адрес DNS сервера?

ShiGhost · July 11, 2024, 4:46pm

Не помогло.

ShiGhost · July 11, 2024, 4:48pm

Указывал 192.168.104.1, ничего не поменялось, а использую 8.8.8.8, вдруг если отвалиться сервер, чтобы DNS запросы дальше работали.

ShiGhost · July 11, 2024, 4:50pm

Насколько я знаю, внутри контейнера antizapret идёт перехват всех DNS запросов. Настраивал по инструкции на форуме.

Xunlei · July 11, 2024, 4:57pm

Может тогда этот домен не в списке заблокированных? Проверить можно nslookup yt3.ggpht.com 192.168.104.1

Интересно, впервые такое слышу.

ShiGhost · July 11, 2024, 5:03pm

Я выше уже писал, что если DNS сразу на antizapret, не через unbound, то всё работает (выдаёт ip из подсети 10.224.0.0/24), а если тот же dns адрес указать в самом unbound, и уже запрашивать ip адрес через unbound, то он возвращает оригинальный ip адрес. На счёт перехватов.

Xunlei · July 11, 2024, 5:08pm

Понятно. Я бы сравнил два дампа запросов c unbound и без. Может перехват на какие-то хитрые запросы не срабатывает.

Что-то вроде:

nslookup yt3.ggpht.com 192.168.104.1
nslookup yt3.ggpht.com 7f.1
nslookup yt3.ggpht.com 8.8.8.8

ShiGhost · July 11, 2024, 5:25pm

И что это даёт? Я выше писал, что в первом случае вернёт ip из подсети 10.224.0.0/24, а в третьем случаем оригинальный ip адрес, если учитывать что третий вариант через unbound.

Xunlei · July 11, 2024, 5:29pm

Даёт понимание локализации проблемы. Называется отладка. Важны не только результат выполнения, но и сама датаграмма запроса (может там разрешение вообще через TCP идёт, если запрос слишком большой, например, из-за проверки RRSIG).

ShiGhost · July 11, 2024, 7:10pm

У меня есть предположение, почему это может не работать. При nslookup yt3.ggpht.com, возвращается ещё домен (CNAME) photos-ugc.l.googleusercontent.com, а другие домены которые я проверял на работоспособность, не имеют CNAME. Я попробовал добавить photos-ugc.l.googleusercontent.com в include-hosts-custom.txt, но результата не дало, так же при nslookup photos-ugc.l.googleusercontent.com, возвращает оригинальный ip адрес, что через unbound, что напрямую.

nzkhammatov · July 11, 2024, 7:43pm

https://ntc.party/t/129/436

ShiGhost · July 12, 2024, 9:58am

Спасибо. Получилось, теперь через unbound грузиться yt3.ggpht.com. Конечно это проблемы полностью не решает, ибо сколько доменов заблокировано, которые с CNAME и каждый такой домен вручную добавлять такое себе.