Задать вопрос
@bender2
network-hardware

Как отбиться от подмены ДНС провайдером?

Всем привет! Прошу сильно не пинать чайника.

Ситуация: банальная. Пров подменяет днс. Похоже, что ему так проще, т.к. блокировка запретных сайтов реализована исключительно этим образом. Мне в целом пофиг, но из-за этой ерунды не могу пользоваться адгуард днс, к примеру. Пропускает рекламу спокойно. Есть внешний овпн-сервер.

Что сделал:

1. Отключил Peer dns.
2. Через микротик выдаю клиентам днс адгварда (например).
3. Добавил маршруты до днс через впн.
4. Всё работает. Подмены вроде нет.

Что не работает:

В сети несколько устройств с которыми удобно работать через статик-днс по именам. Ну и кешировать тоже хотелось бы, т.к. впн далеко.
Как только включаю аллоу ремоте и раздаю клиентам адрес роутера в качестве днса - всё по старому.

Мои предположения: Трафик от клиентов до днс идёт шифрованным через впн. При включении собственного днс на микротике, последний обращается к днс напрямую.

Вопрос: Что делать?
Заранее премного благодарен всем не прошедшим мимо!
  • Вопрос задан
  • 4361 просмотр
6 комментариев
Подписаться 3 Простой 6 комментариев
Пригласить эксперта
Ответы на вопрос 6
@rionnagel
ковырятель
Сделать перехват и подмену 53 udp елементарно. В микротике вроде не реализовано ничего вроде dns over ssl или dnscrypt из коробки для защиты от этого. Но с помощью нехитрых манипуляций фаервола можно перенаправить на себя dns сервер, который висит на другом порту например.
Ответ написан
3 комментария
3 комментария
Diman89
@Diman89
1) сделать перехват пользовательских DNS, чтобы не зависеть от пользовательских настроек
2) в ip dns на микротике поставить адгуард днс, или что вам надо
3) промаркировать DNS трафик в mangle
4) промаркированный трафик пустить в VPN-туннель
Ответ написан
5 комментариев
5 комментариев
20ivs
@20ivs
Пользователь пока ничего не рассказал о себе.
возможно вам покажется мой ответ примитивным и прочее, но Layer7 и маркировка пакетов от этого спасают.
не решение, но хороший пример откуда плясать
Ответ написан
Комментировать
Комментировать
@SuNbka
Поднять у себя внутренний сервер DNS с DNSSEC. Аля Pi-hole.
Ответ написан
2 комментария
2 комментария
fdroid
@fdroid
press any key
Развернул DNSCrypt в виртуалке в докере на сервере внутри сети специально для этой цели. В качестве DNS-серверов в настройках DHCP-серверов и в настройках сетевых интерфейсов статических клиентов указан IP виртуалки с DNSCrypt. Наверное, это слегка оверкилл, но, во-первых, развернуть есть где, во-вторых, потому что могу) А по сути, действительно какой-нибудь малинки хватит с DNSCrypt или чем-то другим. Но я альтернативы не изучал, просто потому что используемый мной метод устраивает полностью.
Ответ написан
Комментировать
Комментировать
@Blaze355
На MikroTik в ip/dns прописать AdGuard DNS. Динамических DNS быть не должно.
Поставить галку Allow Remote Requests. Клиентам в сеть через DHCP отдавать в качестве DNS-сервера адрес MikroTik. Убедиться в том, что они получили то, что надо.
В ip/routes на MikroTik создать маршруты на адреса AdGuard DNS через туннель.
На VPN-сервере настроить src-nat для соединений из туннеля, чтобы доходили ответы.
Вычистить DNS-cache везде на всякий случай.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Frontend React
Glob-com
от 100 000 ₽
Senior Backend Developer Node.js
Radium Finance Москва
от 300 000 до 400 000 ₽
Backend Teamlead
Тетрика Москва
от 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Отрисовать дизайн страницы "Календарь мероприятий" для школы бизнеса
20 апр. 2024, в 16:12
1000 руб./за проект
Разработать англоязычную версию корпоративного сайта на Statamic
20 апр. 2024, в 15:58
1500 руб./в час
Запись обучающих роликов и написание по машинному обучению
20 апр. 2024, в 15:40
3000 руб./за проект
Ещё заказы