Jump to content

Search the Community

Showing results for tags 'dns'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Keenetic Development
    • Keenetic Community Support
    • KeeneticOS Testing
    • Mobile App
  • Open Package Support
    • Opkg Help
    • Opkg Cookbook
    • Opkg Cookbook RUS

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 24 results

  1. На странице настроек Интернет-фильтры заданы альтернативные DNS для устройств без фильтрации, но они не применяются, всё идёт через провайдерские DNS. Я выяснил, что сломалось на прошиве 2.15.A.3.0-1. На прошивке 2.15.A.3.0-0 проблемы описанной не было.
  2. Здравствуйте! Что было: Ранее близкая к этой тема (url фильтрация) рассматривались и даже набрала определённое кол-во голосов Но отсутствие её реализации упёрлось в ряд моментов: 1) Блокировка по хостам (именам) возможна через skydns; 2) Блокировка по хостам в небольшом количестве возможна через ip host Задача/Проблемы: Реализовать блокировку (не фильтрацию!) хостов (доменных имён) на уровне бОльшем, чем 10 записей. Реализовывать url-фильтрацию и подобное нафиг не надо, для этого уже есть другие устройства, с другим железом, в том числе с подробным сбором статистики и другого. А вот в задачу маршрутизатора, вполне может входить отсев запроса на заблокированный домен. Проблема 1: ip host не позволяет реализовать большой список, а дальше если бы позволял, то вручную заполнять/обновлять/пополнять конфиг каждый раз тоже было бы проблемой. Проблема 2: skydns решает проблему большого списка, но не решает проблему нормального заполнения/обновления/пополнения списка в большом количестве. Так же skydns добавляет проблему зависимости от интернета, т.е. каждый хост проверяться будете в системе skydns на каждого пользователя отдельно - лишние накладные расходы. Некрасивое решение: На фоне тем про dnscrypt, блокировки телеметрии windows 10 и т.п., Александр Рыжов привёл более короткую настройку желаемой реализации, но через OPKG. Минусом этого решения является отключение штатного dns и установка другого. Что требуется от разработчиков: самая малость, добавить файл, который пусть и через entware или другим путём, можно будет редактироваться и наполняться, который бы читался штатным dns'ом. У многих бы решилась проблема доменов телеметрии, сбора статистики, рекламы и т.п.
  3. Предложение реализовать DNS-over-HTTPS от Google Public DNS по образу и подобию SkyDNS и Яндекс.DNS. Плюсы: 1) Аналог DNSCrypt, но реализация на уровне прошивки; 2) Запросы к DNS Гугла идут по HTTPS, снижая эффективность сниффинга, атак MITM итд.; 3) Отсутствие подмен резолвинга со стороны в т.ч. провайдеров и соответствующих последствий; 4) Поддержка философии открытого интернета и информационной целостности. Подробности и желательные настройки (для гибкости): https://developers.google.com/speed/public-dns/docs/dns-over-https Вариант реализации архитектуры DNSSEC через Google DNS-over-HTTPS (чтобы был опорный код для скорости реализации): https://github.com/behrooza/dnsd
  4. cocojambo

    Планируется ли реализация этой функции в ближайших прошивках после 2.08? C opkg настроил, конечно, но как-то костыльно это выглядит и ненадежно (1. встроенный dns прокси переопределен и в случае отказа dns с шифрованием или самого пакета нужно будет оперативно лезть в телнет, чтобы вернуть dns-override на место. 2. AD перестает работать, так как идущий с ним dns сервер уже нельзя указать как дополнительный в настройках Keenetic). Было бы здорово указать основной и резервный dnscrypt сервер прямо в настройках встроенного dns прокси, прямо в вебморде без всяких флешек с дополнительными пакетами. Яндекс DNS, OpenDSN к слову, шифрование поддерживают. Функция нужная, как защита от MITM.
  5. Где то уже писалось, напомню. 15 ноября 2018 года DNS-сервис Norton ConnectSafe завершит свою работу и больше не будет доступен для использования https://connectsafe.norton.com/. Может пора уже убирать его из списка компонентов.
  6. В данный момент команда ip name-server позволяет указать статический DNS-сервер, но не предусматривает конфигурирования нестандартного порта, отличного от UDP53. Примеры использования: Возможность использования публичных DNS-сереров, работающих на нестандартных портах как защита от принудительного «приземления» DNS-трафика провайдером. Пример: «Яндекс.DNS Безопасный» работает в т.ч. на нестандартном порту 77.88.8.88#1253. Использование OPKG-сервисов совместно с системным резолвером. Пример: апстримом для системного резолвера указывается локальный dnscrypt-proxy, работающий на 127.0.0.1#10053, что позволяет сохранить резолвинг my.router и других локальных имён и одновременно защитить от спуфинга DNS-запросы от роутера в сторону интернета. Дополнительный параметр для команды ip name-server сломает существующий синтаксис, поэтому нестандартный порт предлагаю указывать вместе IP-адресом, разделяя номер нестандартного порта символом "#". Подобная запись принята в dnsmasq, bing, dig и ряде других DNS-утилит. ip name-server ‹address›[‹#port›] [‹domain› [on ‹interface›]]
  7. Выражаю благодарность, за оперативное прикручивание сервисов по блокировке доменов на уровне DNS. Есть просьба, добавить блокировку доменов на уровне прошивки, без использования entware. Из предложений, разрешить возможность добавлять свои адреса (или листы из файла) к существующим блокировщикам. К примеру, использую встроенный adguard, но на многих свйтах реклама продолжает заваливать, что бы добавить российский ресурс в их базу, необходимо очень долго плясать с бубном и т.п., при этом не фактю что ресурс попадет в спам базу. Надеюсь на понимание и отсутствие отсылов к entware, тем более у меня 2 провайдера и один из них через vpn. При таком раскладе с entware заморачиваться нет желания, если бы оно было, то собрал бы микротик на PC и с ним терял время.
  8. Keenetic Giga II. Иногда появляется необходимость для всей сети добавить домен, ссылающийся на внешний IP. Т.е. стандартный /etc/hosts, но не на каждом компьютере в отдельности, а чтобы это разруливал роутер. Поднимать где-то на стороннем VPS свой DNS-сервер - лишний геморрой (плюс денег требует). Лезть своими кривыми руками в роутер и превращать его в nix-машину - тоже не хочется, т.к. он полностью устраивает в данный момент. В роутере есть переадресация через WebUI. Но не смог найти, где вручную можно прописывать локальный hosts. С учётом блокировок это бывает очень полезным. Подскажите, возможно ли это сделать через WebUI без лазанья через ssh, или нужно всё таки с риском для жизни роутера расширять его функционал через множество разных команд?
  9. Было бы очень здорово иметь возможность прописывать свои хосты в DNS-сервере маршрутизатора, чтобы глобально переопределять хосты для всей сети, а не вручную на каждом компьютере править hosts файл. Учитывая, что в маршрутизаторах уже есть кеширующий DNS-сервер, реализовать это будет не так уж и сложно. А то сейчас ради этого простого функционала приходится запускать свой DNS-сервер в сети и перенастраивать все устройства на работу с ним. И было бы удобно, если автоматически добавлялись туда имена устройств локальной сети. В настройках маршрутизатора уже можно задать домен, например задаём example.com, и все устройства сети доступны по их имени в этом домене, т.е. router.example.com, notebook.example.com, android-124312421341.example.com и т.п.
  10. Guest

    Здравствуйте! На могли бы вы добавить в веб-интерейс DNS от Cloudflare, пожалуйста? https://1.1.1.1
  11. Переключился вот буквально вчера на Он-Лайм (Ростелеком), однако при автоконфигурации IPv6 клиенты в локальной сети получили в качестве IPv6-DNS не роутер, а DNS-сервер провайдера. В результате потерялась возможность использовать роутер для разрешения локальных имён компьютера: запроc отправляется по IPv6 провайдеру, а провайдер, естественно, моих имён не знает. Существует ли возможность как-то это поправить без отключения IPv6?
  12. Александр Рыжов

    Прошу добавить в книгу добрых дел возможность задания SRV/PTR/TXT--записей в прошивочную DNS-службу. В первую очередь это облегчает autodiscovery сетевых служб, находящихся в сети. К примеру, Apple-клиенты (в т.ч. мобильные) смогут определять Airprint или Airplay, Windows-клиенты — возможность сетевой печати, наличия домена или служб активации.
  13. Приветствую. У меня следующая ситуация. У основного провайдера по выделенке - иногда тупят dns - в результате чего бывает недоступен забугорный сегмент интернета. При этом пинг-чек такие пропадания иностранного интернета не фиксирует, потому что стоит дефолтный вариант проверки, а там сайты, которые зеркалятся через Россию, я так понимаю. Соответственно, на резервный канал ничего не переключается - просто не открывается часть ресурсов. Если я добавлю к двум провайдерским днс'ам ещё и гугловский - это меня никак не спасёт? Днс'ы в списке ранжируются автоматически, но только по времени их отклика, как я понимаю. То есть запрос пойдёт через гугл только если в какой-то момент два провайдерских днс тупо упадут или будут пинговаться дольше, чем гугловский. Что маловероятно. Ну и второй вопрос. Когда я на 2.10 давным-давно добавил гугловский днс третьим - тут же заметил появившуюся задержку перед открытием каждой страницы - примерно секунда-две. Убрал третий днс, оставив только два провайдерских - задержка пропала. На 2.12 такой задержки не должно быть? И с чем она могла быть связана. Ну и напоследок, ставите ли вы вообще доп днс помимо тех, что выдал провайдер и зачем? Спасибо!
  14. hooddy

    Можно ли добавить поддержку AdGuard DNS в купе к Яндексу, Нортону и Скай ДНС? При указании адгвардовских днс на роутере для любых интерфейсов ничего не происходит. Приходится на станции в настройках сетевой карты прописывать.
  15. Можно по подробней про - "DNS: реализован алгоритм отправки запросов на основе ранжирования DNS-серверов по скорости ответа"
  16. Добрый вечер, @ndm @Le ecureuil @sergeyk Задавал вопрос тут: Решил спросить в отдельной теме: Системные DNS запросы (например резолв сервера времени, сервера обновлений, определения статуса интернет подключения) уходят с флагом Recursion available При этом DNS сервер на такие запросы не отвечает. Судя по RFС этот флаг может выставляться сервером в ответах, а не клиентом в запросах. При этом если из того же cli выполнить пинг какого-нибудь ресурса то DNS query уходят без флага RA, и на них DNS сервер отвечает( пакеты 36 и 44 в пикапе). Хочу уточнить является ли ошибкой установка этого флага при системных запросах. PCAP и селфтест с гиги2 2.11.A.8.0-8 в следующем посте.
  17. Добрый день, предлагаю добавить LLMNR в прошивку. 1. Во всех актуальных версиях Windows он включен по умолчанию, при этом имеет больший приоритет чем разрешение имен через NetBIOS протокол(DNS --> LLMNR --> WINS/NetBIOS --> LMHOST) 2. При отключении протокола smb1 в актуальных версиях windows также удаляется и протокол netbios (через удаление/установку компонентов windows) 3 На последней версии Windows 10 1709 smbv1/netbios отключены по умолчанию, так же при обновлении на эту версию со старых этот компонент удаляется автоматически при не использовании https://support.microsoft.com/ru-ru/help/4034314/smbv1-is-not-installed-windows-10-and-windows-server-version-1709 Поэтому считаю возможным рассмотреть внедрение в кинетике более актуального в среде windows протокола разрешения имен LLMNR
  18. Добрый день. Возникла проблема которую сам не могу решить, прошу помощи, т.к. голова уже плавится. Роутер не отвечает на DNS запросы (они до него не доходят) Имеется роутер Keenetic Giga II, перепрошил на NDMS v2.06(AAFS.0)C2, поднял OpenVPN client, всё работало как часы примерно пол года. Несколько дней назад обновился до NDMS v2.06(AAFS.0)C3, перенастроил OpenVPN Client, он работает нормально. День поработало и роутер перестал принимать запросы DNS из локальной сети, и как следствие отвечать на них. С самого роутера DNS запросы проходят на ура, например: # nslookup tee.ru Server: 127.0.0.1 Address 1: 127.0.0.1 localhost Name: tee.ru Address 1: 185.53.179.40 трафик через OpenVPN идёт, с ним вопросов нет. Вопрос в том, почему не принимаются запросы DNS на стороне роутера на роутере смотрю tcpdump'ом и видно что ни чего не приходит, пустота # tcpdump -nn udp port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ezcfg0, link-type EN10MB (Ethernet), capture size 262144 bytes тут же смотрю tcpdump'ом на компьютере за роутером, видно что он посылает кучу DNS запросов на адрес роутера при этом на стороне роутера смотрю tcpdump'ом и тишина тут же подключаюсь к другому роутеру и те-же DNS запросы летят уже на другой (роутер со стоковой прошивкой) и он на них отвечает, т.е. проблема однозначно в роутере. Почему он не принимает запросы DNS ? в правилах iptables вроде запретов на 53 порт нет # iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 224.0.0.0/4 ACCEPT 2 -- 0.0.0.0/0 0.0.0.0/0 _NDM_IPSEC_INPUT_FILTER all -- 0.0.0.0/0 0.0.0.0/0 _NDM_IN_EXCEPTIONS all -- 0.0.0.0/0 0.0.0.0/0 _NDM_IN all -- 0.0.0.0/0 0.0.0.0/0 _NDM_IPSEC_INPUT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 _NDM_INPUT all -- 0.0.0.0/0 0.0.0.0/0 SL_PRIVATE all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 224.0.0.0/4 _NDM_IPSEC_FORWARD all -- 0.0.0.0/0 0.0.0.0/0 _NDM_IN all -- 0.0.0.0/0 0.0.0.0/0 _NDM_OUT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID _NDM_FORWARD all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 SL_FORWARD all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination _NDM_IPSEC_OUTPUT_FILTER all -- 0.0.0.0/0 0.0.0.0/0 _NDM_OUT all -- 0.0.0.0/0 0.0.0.0/0 _NDM_VPNSERVER_OUT all -- 0.0.0.0/0 0.0.0.0/0 Chain SL_FORWARD (1 references) target prot opt source destination SL_PROTECT all -- 0.0.0.0/0 0.0.0.0/0 SL_PROTECT all -- 0.0.0.0/0 0.0.0.0/0 SL_PROTECT all -- 0.0.0.0/0 0.0.0.0/0 Chain SL_PRIVATE (2 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain SL_PROTECT (5 references) target prot opt source destination SL_PRIVATE all -- 0.0.0.0/0 0.0.0.0/0 Chain _NDM_FORWARD (1 references) target prot opt source destination _NDM_HOTSPOT_FWD all -- 0.0.0.0/0 0.0.0.0/0 _NDM_UPNP_FORWARD all -- 0.0.0.0/0 0.0.0.0/0 _NDM_VPNSERVER_FWD all -- 0.0.0.0/0 0.0.0.0/0 Chain _NDM_HOTSPOT_FWD (1 references) target prot opt source destination Chain _NDM_IN (2 references) target prot opt source destination Chain _NDM_INPUT (1 references) target prot opt source destination SL_PROTECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 SL_PROTECT udp -- 0.0.0.0/0 0.0.0.0/0 udp spts:67:68 dpts:67:68 _NDM_TORRENT_INPUT all -- 0.0.0.0/0 0.0.0.0/0 _NDM_VPNSERVER_IN all -- 0.0.0.0/0 0.0.0.0/0 Chain _NDM_IN_EXCEPTIONS (1 references) target prot opt source destination Chain _NDM_IPSEC_FORWARD (1 references) target prot opt source destination Chain _NDM_IPSEC_INPUT (1 references) target prot opt source destination Chain _NDM_IPSEC_INPUT_FILTER (1 references) target prot opt source destination Chain _NDM_IPSEC_OUTPUT_FILTER (1 references) target prot opt source destination Chain _NDM_OUT (2 references) target prot opt source destination Chain _NDM_TORRENT_INPUT (1 references) target prot opt source destination ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:51413 Chain _NDM_UPNP_FORWARD (1 references) target prot opt source destination Chain _NDM_VPNSERVER_FWD (1 references) target prot opt source destination Chain _NDM_VPNSERVER_IN (1 references) target prot opt source destination Chain _NDM_VPNSERVER_OUT (1 references) target prot opt source destination пробовал добавлять правила iptables # iptables -A INPUT -p udp --dport 53 -j ACCEPT # iptables -A OUTPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT результата не принесло. opkg update, upgrade делал # uname -a Linux routername 2.6.22.15 #1 Wed Oct 18 20:34:50 MSK 2017 mips GNU/Linux # opkg -v opkg version 0.1.8 # opkg update Downloading http://pkg.entware-keenetic.ru/binaries/keenle/Packages.gz. Updated list of available packages in /opt/var/opkg-lists/keenle. ~ # opkg upgrade ~ # Подскажите в чём может быть проблема? Может какой пакет слетел, или ещё что?
  19. Здравствуйте. Хочу перенаправлять переходы на сайты с помощью своего списка host, но столкнулся с такой проблемой: на роутере стоит ограничение на записи вида "ip host site.ru 0.0.0.0" в количестве 256 штук. Нельзя ли обойти это ограничение без использования OPKG пакетов? Keenetic Giga II, 2.09.C.0.0-4 Dns::Manager error[22544391]: server list limit exceeded, the maximum is 256 records.
  20. @Le ecureuilGiga II 2.10.A.5.0-8 Поднят OVPN к VPN сервису. Существует ли возможность скрыть DNS своего провайдера?
  21. В системе два интерфейса выхода в интернет - стандартный конфиг, основной канал и резервный. В результате в системе появляется запись на странице #dashboard.status раздел DNS о всех известнаых серверах DNS на всех интерфейсах. Берем пример Windows 7 - поочередно делает запросы на сервера DNS в порядке очередности, Windows 10 уже взяла на вооружение часть алгоритма из Windows 8 (Win8 уже может "Smart Multi-Homed Name Resolution" если она включена то запросы на все известные DNS серверы из списка сразу на случай того если предпочитаемый не ответит, то чтоб не ждать имеем уже второй ответ от другого сервера DNS из списка) отличие в Win10 в том что берется ответ который пришел быстрее и уже с любого интерфейса. Суть предложения добавить функцию разрешения/запрещения посылать запрос DNS по основному и по резервному каналу, если с резервного пришел быстрее то его и использовать, но маршрут остается по основному каналу - при наличие в системе двух каналов. Если у пользователя лимитирован трафик или не желает ее использовать по каким либо причинам, то он всегда может ее не использовать. Тут все просто два канала хоть и в резерве, но за него заплачено и есть толк, то почему бы нет. Теперь по поводу запроса на сервера DNS - тут есть варианты два или более : 1 - один публичный = все просто запрос по обоим, на каком канале быстрее ответит (этот был бы интересен) 2. - провайдерские = тут опять все просто пров1 на свой провайд. DNS, пров2 на свой провайд. DNS и опять же от кого быстрее получиться ответ. Может конечно что и не так до понял в данном алгоритме.
  22. Имеется старый Keenetic (I) с установленной v2.04(BFW.2)C7 . Никак не могу его заставить отправлять DNS запросы разных доменов на разные сервера, например - локальные сайты провайдера на провайдерские DNS, все остальное - на публичные (OpenDNS, Google и т.п.). Это вообще возможно? Все динамические DNS серверы (которые получаются по DHCP/PPP и т.п.) отключены, оставлены только статические записи ip name-server 8.8.8.8 ip name-server 8.8.4.4 ip name-server 172.16.114.42 ttkdv.ru (это провайдерский днс) Похоже, что это не работает. Запрос все равно уходит на публичный ДНС. Кинетик вообще умеет это?
  23. Здравствуйте! Хотелось бы видеть возможность использования этой команды в web-интерфейсе (:
  24. Здравствуйте. Добавил запись в таблицу Dns, согласно пункту 3.30 документации cli ( (config)>ip host ‹domain› ‹address›). Прямой запрос работает нормально: root@Keenetic:~# nslookup noname Server: 192.168.1.1 Address: 192.168.1.1#53 Non-authoritative answer: Name: noname Address: 192.168.1.99 А вот обратный не хочет: root@Keenetic:~# nslookup 192.168.1.99 Server: 192.168.1.1 Address: 192.168.1.1#53 ** server can't find 99.1.168.192.in-addr.arpa: NXDOMAIN Так и должно быть? Не нашел команды посмотреть всю таблицу DNS сразу, возможно ли это?
×
×
  • Create New...