Шлюзы DNS в General setup

pigbrother

Может немного не в тему, но в Open VPN недавно (c 2.3?) появилась директива block-outside-dns.
В pf 2.4 она вроде есть в GUI.
Смысл ее в том, что если сервер Open VPN отдает DNS клиенту через push "dhcp-option DNS …." IP своих DNS, block-outside-dns блокирует обращение ОС ко всем остальным DNS.
Не знаю, как обработает ее клиент pf, но в Windows-клиентах это реально работает.

chieftech

Ладно давайте по порядку…

Правила fw на ЛАН покажите.

На первом скрине

https://www.infotechwerx.com/blog/Prevent-Any-Traffic-VPN-Hosts-Egressing-WAN
https://forum.pfsense.org/index.php?topic=105810.0

По первой ссылки прочел, даже что-то понял. Но не понял как это связать с моей проблемой.
По второй ссылке с моим английским это на долго. Буду курить инфу.

И здесь https://nguvu.org/pfsense/pfsense-baseline-setup/ оч. много.

А вот эта ссылка дала пищу для размышлений на середине статьи, а именно галка System > Advanced > Miscellaneous - Skip rules when gateway is down

Я пошел с маршрутизацию и выяснил вот что
Скрин 2 - Так настроены ДНС шлюзы
Скрин 3 - Так выглядит таблица маршрутизации когда все шлюзы подняты включая впн. Всё как надо работает и ходит
Скрин 4 - Так начинает выглядеть таблица если положить руками впн подключение.

Если с выключеной впн запросить домен то все запросы по всем указаным 8 ДНСам идут в default шлюз, что собственно логично ибо маршруты в впнку невозможны.
По идее при восстановлении впнки таблица маршрутов должна возобновиться как на Скрине 3, но получаем Скрин 5.

Если зайти в раздел System > Advanced > Miscellaneous и нажать aply - получаем здоровую таблицу как на Скрине 3

scr5.JPG_thumb

scr4.JPG_thumb

scr3.JPG_thumb

scr2.JPG_thumb

scr1.JPG_thumb

chieftech

А сейчас законектился на пф в другом городе где используем провайдер агрессивно коверкающий днс ответы.
Там в списке ДНС вообще нет 8.8.8.8 и 8.8.4.4 а маршруты на них всеравно прописаны в таблице.
Как от них избавлятся? =(

scr2-1.JPG_thumb

werter

Опенвпн**-серверы** (не клиенты) вам подконтрольны?
Вам нужно весь трафик через впн-завернуть ? Или только к опред. хостам в инете ?

Полное ТЗ в студию.

chieftech

Опенвпн-серверы (не клиенты) вам подконтрольны?
Вам нужно весь трафик через впн-завернуть ? Или только к опред. хостам в инете ?

Полное ТЗ в студию.

VPN Сервер наш. Да подконтролен.
Весь трафик в впн заворачивать не требуется.
Завернуть нужно трафик на некоторые Домены. Как правило для того чтобы пройти ssl сертификацию между хостом и доменом, дальше не важно что куда пойдет.

Нужные домены прописаны в Alies. Соответствующий Alies прописан в статик маршрутах для интерфейса ВПН. Правило в fw на этот Alies тоже создано с gw впн.
В общем-то все работает как полагается за исключением некоторых случаев где провайдер агресивно подменяет DNS запросы и навязывает свои маршруты на гугловские DNSы
Хотелось бы чтобы маршрутизация приходила в себя в случае падения и последующего восстановления ВПН соединения.

werter

Доброго.

Если

VPN Сервер наш. Да подконтролен.

То не нужно делать

Соответствующий Alies прописан в статик маршрутах для интерфейса ВПН.

Удалите ручные маршруты. Алиас не удаляйте.

Выдавайте маршрут с пом. впн-сервера - он прекрасно это выполняет с пом. директив push "route …" .
В настр. впн-сервера поставьте галки на DNS Server enable и Force DNS cache update, если хотите исп-ть пф на том конце в кач-ве ДНС. Или не ставьте галки, если это вам не нужно.
Заверните правилами fw на ЛАН впн-клиента все DNS-запросы в туннель - https://doc.pfsense.org/index.php/Redirecting_all_DNS_Requests_to_pfSense

И рулите у впн-клиента правилами fw на его ЛАНе .

chieftech

Вы мне предлагаете способ обойти проблему. А мне хотелось бы узнать как её можно решить и возможно ли это. И почему эта проблема возникает только с гугл днс?

werter

Доброго.
Я вам предлагаю решать, то, что вы представили в ТЗ без костылей (в виде ручного прописывания марш-тов etc.)

И второй вопрос. По какому алгоритму возвращается айпи для клиента с таким количеством днс? Если один или несколько ДНС ответят с неверным айпи(я имею ввиду подмену айпи страницей блокировки роскомнадзора) то какой айпи возвратится клиенту?

Ответит 1-й по списку dns. Если он не сможет разрешить имя в ip - уйдет запрос на 2-й. У Вин (вроде) макс. корректное использование - 3 шт.

В кач-ве ДНС на машинах лок. адрес пф ?

chieftech

Доброго.

И вам всего самого лучшего.

В кач-ве ДНС на машинах лок. адрес пф ?

Да

А как тогда понимать то что на скрине?

dns2-1.JPG_thumb

werter

Я пользую dns resolver. Ни единого разрыва с ….

Зы. Про заворачивания всего днс на пф я уже писал выше. Настройте и проверяйте. А то толчение воды в ступе получается. По рез-там отпишитесь.