Вопрос по dns (свой сервер)

Andy · March 26, 2022, 5:20pm

Здравствуйте.
Успешно установил антизапрет на свой VPS, работает.
При подключении с компьютера (openvpn client) все работает без танцев с бубном.

Далее решил загнать весь домашний трафик путем настройки клиента на роутере Asus AC68-U (чтобы на всех девайсах не париться с клиентами)
Удалось добиться более-менее корректной работы только с отключением dns over https.

Правильно ли я понял, что с включенным DoH корректной работы не добиться (при клиенте на роутере)?

А так же при подключенном vpn-клиенте с роутера, dns сервера перестают пинговаться, корректно ли это или я где то накриворучил? (при подключении клиента с компа такой проблемы нет)

Спасибо за подобный продукт и заранее благодарю за ответ.

User69 · March 27, 2022, 1:27pm

Да, DoH, DoT, DNSSEC, DNScrypt и всё подобное надо отключать.
Смысл сервиса как раз в подмене DNS-ответов для заблокированных ресурсов. Все запросы должны идти только на DNS сервер VPN Антизапрета.
Поэтому в настройках VPN роутера Вы выбрали DNS — Exclusive (надеюсь). И никаких ручных настроек DNS на клиентах.

Теперь Ваш DNS сервер типа

Mar 27 16:02:11 daemon info dnsmasq[4905] using nameserver 192.168.104.1#53

Посмотрите в логах, какой именно IP у Вас.
Можно попинговать его. 50 — хороший результат. Но в момент нагрузки бывает и 300. Ничего не поделаешь.

Andy · March 27, 2022, 1:40pm

Да, выставлен exclusive конечно.
Смысл работы мне понятен и про назначение dns через dhcp в том числе.

Остается вопрос недоступности dns серверов указанных на роутере (например 8.8.8.8) при подключенном vpn. Я понимаю почему это происходит в принципе, т.к. при подключении vpn срабатывают правила:
pull-filter ignore block-outside-dns
route 8.8.8.8 255.255.255.255 vpn_gateway
route 1.1.1.1 255.255.255.255 vpn_gateway
при отлючении vpn сервера разумеется становятся доступны.

Вопрос был в том, должно ли это быть именно так.

А пинг до dns антизапрета (192.168.104.1) 30-40ms

ValdikSS · March 27, 2022, 9:25pm

У вас нормальный роутер, корректно обрабатывающий DNS-серверы из VPN-туннеля, вам не нужно маршрутизировать эти публичные DNS, достаточно выбрать эксклюзивный режим использования DNS в настройках VPN. Эта функция была сделана для моделей, в которых получение и использование DNS из VPN-туннеля не реализовано или работает не до конца корректно.

По поводу отсутствия пинга серверов — да, это нормально, перехватываются только UDP DNS-запросы, а для ICMP я правил не добавлял.

Andy · March 28, 2022, 9:20am

Спасибо, теперь всё понял по данному вопросу.