А DNS у тебя как работает: по старинке, или через TLS, или через TLS с реальной проверкой сертификатов (если используется systemd-resolved, то там с этим проблемы есть до 245.9), или DNS-over-HTTPS?

У тебя вообще что-то не так, что dns подменяется даже с vpn. А почему ты думаешь, что он подменяется, в чем выражается?

По старинке.

Выражается это в том, что я делаю

ping ya.ru

а он резолвится в ip dns-сервера провайдера и, конечно, не отвечает.

Причем сделано интересно:

В течение 5-7 дней через VPN все работает и открывается, как будто набирают статистику, после этого происходит, то, что описано выше.

Если поднять виртуалку с другим IP - опять все работает 5-7 дней.

1) Обнаружил, что пытаются блочить udp in vpn и/или udp в целом.

2) Как минимум умеет «договариваться» с quad9 dns.

3) Помогает переход на tcp и смена dns'ов на разных плохих ББ.

Опция пуллить резолвер с сервера у меня активна, ЧСХ.

ValdikSS

Резолвер проверяю так

nmcli --fields ip4.dns,ip6.dns con show thinkpad

dnscrypt-proxy, если нужно решить проблему.

Проблема пока решилась сменой резолвера на серваках.

Мануал можно?

Да там особо нечего мануалить.

https://wiki.archlinux.org/title/Dnscrypt-proxy

https://github.com/DNSCrypt/dnscrypt-proxy/wiki/Configuration

Если не нужен кеш сторонними средствами, то в конфиге только добавить сервера отсюда https://dnscrypt.info/public-servers или не указывать сервера вообще, но задать нужные параметры для выбора серверов вроде отсутствия логов, фильтрации, dnssec и т.п.

У тебя вообще что-то не так, что dns подменяется даже с vpn.

Человек, скорее всего, направляет через VPN только часть маршрутов.

Неа, вот именно, что всё.

Интересно, что это за DPI для бедных от моего говнопровайдера)

хохма

Еще одна несуразица.

Когда начал менять dns на серваке обнаружил, что OpenDNS блочат доступ к сайту OpenVPN.

Иронично!

Спасибо, гляну по свободе.

трёхбаксовых vpn

За эти деньги можно взять хороший vps с нормальным трафиком, и гонять через него.

У меня похожая картина наблюдается на «Киевстаре». Лечу переподключением к Wi-Fi. Возможно, твой провайдер успевает нагадить в DNS-кэш в те моменты, когда VPN не работает?

А какая разница если причина не этом? )

На «нормальном» картина та же самая.

твой провайдер успевает нагадить в DNS-кэш в те моменты, когда VPN не работает?

Как минимум. Но потом сброс dns-кеша не помогает, что под офтопиком, что под Linux.

Значит пролазит куда-то дальше.

ЧСХ, мобильный Киевстар у меня даже udp не блочит, а вот мой провайдер N (который в полуживой), когда полностью «звереет», блочит udp и wireguard не пашет)

Короче, пара офигительных историй.

А какая разница если причина не этом? )

Как минимум, можно проверить на «альтернативных» протоколах vpn. Например, на том же ssh, через который есть кучка с тележкой тоннелей.

А потом уже на провайдера наезжать.

Может оно? https://ru.wikipedia.org/wiki/DNSSEC

Ну это можно, никто не спорит, но вопрос в теме поставлён другой)

Тем более, что очень похоже на то, что последний месяц он начал резать именно udp трафик, если обнаруживает vpn.

Вот как это всё обнаружить тоже интересно знать)