Как отбиться от подмены ДНС провайдером?

Всем привет! Прошу сильно не пинать чайника.

Ситуация: банальная. Пров подменяет днс. Похоже, что ему так проще, т.к. блокировка запретных сайтов реализована исключительно этим образом. Мне в целом пофиг, но из-за этой ерунды не могу пользоваться адгуард днс, к примеру. Пропускает рекламу спокойно. Есть внешний овпн-сервер.

Что сделал:

1. Отключил Peer dns.
2. Через микротик выдаю клиентам днс адгварда (например).
3. Добавил маршруты до днс через впн.
4. Всё работает. Подмены вроде нет.

Что не работает:

В сети несколько устройств с которыми удобно работать через статик-днс по именам. Ну и кешировать тоже хотелось бы, т.к. впн далеко.
Как только включаю аллоу ремоте и раздаю клиентам адрес роутера в качестве днса - всё по старому.

Мои предположения: Трафик от клиентов до днс идёт шифрованным через впн. При включении собственного днс на микротике, последний обращается к днс напрямую.

Вопрос: Что делать?
Заранее премного благодарен всем не прошедшим мимо!
  • Вопрос задан
  • 1058 просмотров
Пригласить эксперта
Ответы на вопрос 6
@rionnagel
ковырятель
Сделать перехват и подмену 53 udp елементарно. В микротике вроде не реализовано ничего вроде dns over ssl или dnscrypt из коробки для защиты от этого. Но с помощью нехитрых манипуляций фаервола можно перенаправить на себя dns сервер, который висит на другом порту например.
Ответ написан
Diman89
@Diman89
1) сделать перехват пользовательских DNS, чтобы не зависеть от пользовательских настроек
2) в ip dns на микротике поставить адгуард днс, или что вам надо
3) промаркировать DNS трафик в mangle
4) промаркированный трафик пустить в VPN-туннель
Ответ написан
@20ivs
возможно вам покажется мой ответ примитивным и прочее, но Layer7 и маркировка пакетов от этого спасают.
не решение, но хороший пример откуда плясать
Ответ написан
@SuNbka
Я устал ничего не понимать.
Поднять у себя внутренний сервер DNS с DNSSEC. Аля Pi-hole.
Ответ написан
fdroid
@fdroid
press any key
Развернул DNSCrypt в виртуалке в докере на сервере внутри сети специально для этой цели. В качестве DNS-серверов в настройках DHCP-серверов и в настройках сетевых интерфейсов статических клиентов указан IP виртуалки с DNSCrypt. Наверное, это слегка оверкилл, но, во-первых, развернуть есть где, во-вторых, потому что могу) А по сути, действительно какой-нибудь малинки хватит с DNSCrypt или чем-то другим. Но я альтернативы не изучал, просто потому что используемый мной метод устраивает полностью.
Ответ написан
@Blaze355
На MikroTik в ip/dns прописать AdGuard DNS. Динамических DNS быть не должно.
Поставить галку Allow Remote Requests. Клиентам в сеть через DHCP отдавать в качестве DNS-сервера адрес MikroTik. Убедиться в том, что они получили то, что надо.
В ip/routes на MikroTik создать маршруты на адреса AdGuard DNS через туннель.
На VPN-сервере настроить src-nat для соединений из туннеля, чтобы доходили ответы.
Вычистить DNS-cache везде на всякий случай.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
FLEETCOR Москва
от 100 000 до 150 000 руб.
Boost Tech LLC Москва
от 120 000 до 250 000 руб.
СКМ Москва
До 110 000 руб.