LINUX.ORG.RU
ФорумAdmin

Почему ISP может легко подменять одни dns и не может другие

 , , ,


0

2

Расклад такой: есть у меня пару трёхбаксовых vpn, через которые я хожу и смотрю рекламу на заблокированных в Украине ресурсах.

А зачем еще нужен vpn, кроме как ходить и смотреть рекламу на Яндекс.Дзене? Правильно, вот и я о том же)

Вот заметил странность: провайдер через некоторое время легко подменяет quad9 dns, например, но не может подменить гугловские или фларовские dns.

Почему так?

Маны не хватает? =)

★★★★★

А DNS у тебя как работает: по старинке, или через TLS, или через TLS с реальной проверкой сертификатов (если используется systemd-resolved, то там с этим проблемы есть до 245.9), или DNS-over-HTTPS?

proud_anon ★★★★★ ()

У тебя вообще что-то не так, что dns подменяется даже с vpn. А почему ты думаешь, что он подменяется, в чем выражается?

boowai ★★★★ ()
Ответ на: комментарий от boowai

Выражается это в том, что я делаю

ping ya.ru

а он резолвится в ip dns-сервера провайдера и, конечно, не отвечает.

Причем сделано интересно:

В течение 5-7 дней через VPN все работает и открывается, как будто набирают статистику, после этого происходит, то, что описано выше.

Если поднять виртуалку с другим IP - опять все работает 5-7 дней.

1) Обнаружил, что пытаются блочить udp in vpn и/или udp в целом.

2) Как минимум умеет «договариваться» с quad9 dns.

3) Помогает переход на tcp и смена dns'ов на разных плохих ББ.

Опция пуллить резолвер с сервера у меня активна, ЧСХ.

ValdikSS

Twissel ★★★★★ ()
Последнее исправление: Twissel (всего исправлений: 4)

Резолвер проверяю так

nmcli --fields ip4.dns,ip6.dns con show thinkpad
Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

Да там особо нечего мануалить.

https://wiki.archlinux.org/title/Dnscrypt-proxy

https://github.com/DNSCrypt/dnscrypt-proxy/wiki/Configuration

Если не нужен кеш сторонними средствами, то в конфиге только добавить сервера отсюда https://dnscrypt.info/public-servers или не указывать сервера вообще, но задать нужные параметры для выбора серверов вроде отсутствия логов, фильтрации, dnssec и т.п.

kardjoe ()
Ответ на: комментарий от boowai

У тебя вообще что-то не так, что dns подменяется даже с vpn.

Человек, скорее всего, направляет через VPN только часть маршрутов.

Bagrov ★★★★★ ()

хохма

Еще одна несуразица.

Когда начал менять dns на серваке обнаружил, что OpenDNS блочат доступ к сайту OpenVPN.

Иронично!

Twissel ★★★★★ ()

трёхбаксовых vpn

За эти деньги можно взять хороший vps с нормальным трафиком, и гонять через него.

Oleg_Iu ()
Ответ на: комментарий от Twissel

У меня похожая картина наблюдается на «Киевстаре». Лечу переподключением к Wi-Fi. Возможно, твой провайдер успевает нагадить в DNS-кэш в те моменты, когда VPN не работает?

Bagrov ★★★★★ ()
Ответ на: комментарий от Bagrov

твой провайдер успевает нагадить в DNS-кэш в те моменты, когда VPN не работает?

Как минимум. Но потом сброс dns-кеша не помогает, что под офтопиком, что под Linux.

Значит пролазит куда-то дальше.

Twissel ★★★★★ ()
Ответ на: комментарий от Bagrov

ЧСХ, мобильный Киевстар у меня даже udp не блочит, а вот мой провайдер N (который в полуживой), когда полностью «звереет», блочит udp и wireguard не пашет)

Короче, пара офигительных историй.

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

А какая разница если причина не этом? )

Как минимум, можно проверить на «альтернативных» протоколах vpn. Например, на том же ssh, через который есть кучка с тележкой тоннелей.

А потом уже на провайдера наезжать.

Oleg_Iu ()
Ответ на: комментарий от Oleg_Iu

Ну это можно, никто не спорит, но вопрос в теме поставлён другой)

Тем более, что очень похоже на то, что последний месяц он начал резать именно udp трафик, если обнаруживает vpn.

Вот как это всё обнаружить тоже интересно знать)

Twissel ★★★★★ ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей