Контент фильтрация Keenetic, с любым профилем, не пропускает DoH и DoT запросы с клиента в домашней сети

0

1

Доброго времени суток всем!

Есть сложность.

Настроил на своей локальной машине dnscrypt-proxy, использую yandex, cloudflare-security и google серверы DoH.

Долго не мог понять почему не работает, пока не отключил контент-фильтрацию, после чего стал получать ответы.

В чём может быть дело?

←	Почтовый сервер - Postfix + Dovecot + Ubuntu

Opendkim - Can't open PID file - перезагрузка (Ubuntu)

→

Дело в том, что контент-фильтрация это DNS.

anonymous
(09.05.25 07:28:25 MSK)

Ответ на: комментарий от anonymous 09.05.25 07:28:25 MSK

и чо? вот и не понятно как это связано

с мобилки dns.google отрабатывает, почему не отрабатывает с пека?

unclestephen ★
(09.05.25 07:31:20 MSK) автор топика

Ответ на: комментарий от unclestephen 09.05.25 07:31:20 MSK

и чо?

И всö.

с мобилки dns.google отрабатывает

Напиши в поддержку, похоже на баг.

anonymous
(09.05.25 07:46:49 MSK)

cloudflare

он заблокирован

anonymous
(09.05.25 07:56:43 MSK)

У меня в Keenetic настроен DoT, DoH.

На клиентах никаких настроек и всё работает.

Проверь в Keenetic настройки сегмента. Может, в нем что-то начудил. Выбрал System или ещё чего.

anonymous
(09.05.25 07:58:06 MSK)

Ответ на: комментарий от anonymous 09.05.25 07:56:43 MSK

он заблокирован

в некоторых уголках Великой Империи

unclestephen ★
(09.05.25 08:12:45 MSK) автор топика

Ответ на: комментарий от anonymous 09.05.25 07:46:49 MSK

Напиши в поддержку, похоже на баг.

да, написал

unclestephen ★
(09.05.25 08:13:08 MSK) автор топика

Ответ на: комментарий от anonymous 09.05.25 07:58:06 MSK

Может, в нем что-то начудил

да похоже что от дефолта там отличия минимальные, то есть мы в одном и том же сегменте сети что и мобилка, запросы мобилки проходят, запросы с пека – нет

unclestephen ★
(09.05.25 08:14:26 MSK) автор топика

Ответ на: комментарий от anonymous 09.05.25 07:56:43 MSK

Только что проверил

172.68.9.85 None Cloudflare Moscow, Russian Federation

Как бы работает…

anonymous
(09.05.25 08:20:36 MSK)

Зачем? Keenetic сам умеет.

Shadow ★★★★★
(10.05.25 03:25:57 MSK)

Ответ на: комментарий от Shadow 10.05.25 03:25:57 MSK

Да элементарно! :)

Хочу на ноуте иметь разрешение имён не зависящую от локальной точки выхода в сеть, кинетик умеет да, но ноут я ношу с собой, и хочу протестировать всё дома.

unclestephen ★
(10.05.25 04:28:46 MSK) автор топика

Ответ на: комментарий от anonymous 09.05.25 07:46:49 MSK

Дело в том, что контент-фильтрация это DNS.

4.2

вообще, поизучав вопрос, выяснилось, что это не только DNS, но плюсом к нему идёт DPI, или что-то такое, в общем у него если дополнительные правила.

если бы это был просто DNS, то всё бы работало

учите матчасть, молодой человек

unclestephen ★
(10.05.25 06:06:45 MSK) автор топика

Ответ на: комментарий от unclestephen 10.05.25 06:06:45 MSK

не только DNS, но плюсом к нему идёт DPI, или что-то такое, в общем у него если дополнительные правила

Это очевидно. Потому что фильтрация это просто DNS, и надо исключить его обход клиентом. Но по умолчанию перехват должен быть выключен, если верить документации. Попробуй включить — на телефоне сторонние DNS тоже должны будут перестать работать.

если бы это был просто DNS, то всё бы работало

Кроме фильтрации, да. Зачем ты её вообще включал, если собираешься использовать другие DNS?

учите матчасть, молодой человек

Famous last words.

anonymous
(10.05.25 06:55:46 MSK)

Ответ на: комментарий от anonymous 10.05.25 06:55:46 MSK

на телефоне сторонние DNS тоже должны будут перестать работать

странно, но с телефона работает

Famous last words.

да мне про то что это не только DNS в поддержке сказали, и вообще это очевидно

мой хост вообще не обращается сейчас к роутеру за DNS, но некоторые пакеты фильтрует

такие дела

unclestephen ★
(10.05.25 08:22:08 MSK) автор топика

Ответ на: комментарий от unclestephen 10.05.25 08:22:08 MSK

странно, но с телефона работает

Ты читаешь через строчку? :) Что показывает show running-config | grep intercept?

anonymous
(10.05.25 08:27:27 MSK)

Ответ на: комментарий от anonymous 10.05.25 08:27:27 MSK

пусто!

unclestephen ★
(10.05.25 08:35:08 MSK) автор топика

Ответ на: комментарий от unclestephen 10.05.25 08:35:08 MSK

Значит перехват транзитных запросов выключен, и на компьютере должно всё работать при включённой на роутере фильтрации (при этом надо понимать, что она будет работать только для тех, кто использует DNS роутера). В таком случае однозначно надо обращаться в техподдержку (не на их форум, а именно в официальную).

anonymous
(10.05.25 08:52:19 MSK)

Ответ на: комментарий от anonymous 10.05.25 08:52:19 MSK

а оно и с включенной фильтрацией тоже самое показывает, то есть возвращает «ничего»

unclestephen ★
(10.05.25 09:02:07 MSK) автор топика
Последнее исправление: unclestephen 10.05.25 09:03:27 MSK (всего исправлений: 1)

Ответ на: комментарий от unclestephen 10.05.25 09:02:07 MSK

Это отдельная опция. Именно поэтому я говорю, что тут какой-то баг — перехват по умолчанию выключен, и при включённой фильтрации контента не должен ломаться транзитный DNS-трафик. Причём эта опция и в справочнике описана чисто символически, так что сложно сказать, как оно в точности должно себя вести.

anonymous
(10.05.25 09:52:28 MSK)

У Keenetic есть pcap, воткни флешку, включи запись трафика на нужных интерфейсах (внутренний, внешний) и смотри где что ходит и как.

anonymous
(13.05.25 00:19:17 MSK)

←	Почтовый сервер - Postfix + Dovecot + Ubuntu

Admin

Opendkim - Can't open PID file - перезагрузка (Ubuntu)

→

Похожие темы