Jump to content

Search the Community

Showing results for tags 'dns'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Keenetic Development
    • Keenetic Community Support
    • KeeneticOS Testing
    • Mobile App
    • Keenetic RMM
  • Open Package Support
    • Opkg Help
    • Opkg Cookbook
    • Opkg Cookbook RUS

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

  1. Всем привет, было бы отлично добавить поддержку NextDNS CLI просто как один из установочных компонентов. NextDNS CLI is a DNS53 to DNS-over-HTTPS (DoH) proxy with advanced capabilities to get the most out of the NextDNS service. Although the most advanced features will only work with NextDNS, this program can work as a client for any DoH provider or a mix of NextDNS + another DNS (split horizon). The CLI is mostly aimed at routers and UNIX based systems, but it is also a great client for windows and macOS for people who prefer a fully open-source clients and don't mind the lack of GUI. https://github.com/nextdns/nextdns/wiki https://nextdns.io/ Features Stub DNS53 to DoH proxy. Auto discovery and forwarding of LAN client's name and model. Supports a vast number of platforms / OS / routers. Can run on single host or at router level. Local cache Auto router setup (integrate with many different router firmware). Serve from /etc/hosts. Multi upstream healthcheck / fallback. Conditional forwarder selection based on domain. Conditional NextDNS configuration ID selection based on client subnet prefix or MAC address. Auto detection of captive portals. Supported Platforms iOS Android MacOS Windows Redhat Fedora CentOS Debian Ubuntu Raspbian Alpine Arch Linux Manjaro OpenSUSE Solus FreeBSD NetBSD OpenBSD DragonFly OpenWRT AsusWRT-Merlin pfSense Ubiquiti EdgeOS / USG Ubiquiti UnifiOS / UDM VyOS Synology DiskStation Manager DSM Synology Router Manager SRM DD-WRT (WIP) Entware (WIP) OpnSense (soon) Tomato (soon) QNAP (soon)
  2. Добрый день! Разработчики внедрили в KeeneticOS резолверы DoT/DoH, за что им огромное спасибо. И мне хочется ими пользоваться, но так же мне хочется иметь возможность разрешать на стандартные (не TLD) домены, типа *.lib Разрешать такие домены умеют DNS серверы проекта OpenNIC Теперь суть запроса: хочется по умолчанию использовать интернет-фильтр AdGuard DNS через DoT(DoH) и дополнительно иметь возможность разрешать домен *.lib с помощью любого из серверов проекта OpenNIC Ранее я делал это вот такой настройкой в WebUI Но теперь это не работает. Просьба реализовать данный функционал. Спасибо!
  3. Просьба реализовать возможность перенаправления транзитных для DNS роутера запросов на собственные DNS роутера. Под транзитными я понимаю прямые запросы с клиентов к произвольным DNS серверам на 53 порту. Например такой "nslookup ya.ru 8.8.8.8". Такой запрос пройдёт в открытом виде независимо от настроенного на работу с DOT/DOH DNS сервером. Данная функция должна легко включаться и при необходимости отключаться. Реализовать можно как отдельный фильтр в Интернет-фильтрах. Многие программы используют в разных целях такие прямые обращения к DNS, тем самым засвечивая такие запросы и открывая их для атаки "человек посредине". Так же некоторые трояны пользуются тем, что выход на 53 порту к DNS практически всегда разрешён на файрволе и через такие обращения могут передавать на свой подставной DNS сервер любую текстовую информацию, например ваши логины и пароли от учетных записей. Данная функция конечно не защитит вас полностью от подобных утечек. Но во всяком случае ваши данные не попадут в руки тех кто на них нацелился. Данная тема так же имела обсуждение здесь В общем всех не равнодушных прошу проголосовать за данную тему стрелочкой вверх в заголовке топика.
  4. Keenetic Giga II. Иногда появляется необходимость для всей сети добавить домен, ссылающийся на внешний IP. Т.е. стандартный /etc/hosts, но не на каждом компьютере в отдельности, а чтобы это разруливал роутер. Поднимать где-то на стороннем VPS свой DNS-сервер - лишний геморрой (плюс денег требует). Лезть своими кривыми руками в роутер и превращать его в nix-машину - тоже не хочется, т.к. он полностью устраивает в данный момент. В роутере есть переадресация через WebUI. Но не смог найти, где вручную можно прописывать локальный hosts. С учётом блокировок это бывает очень полезным. Подскажите, возможно ли это сделать через WebUI без лазанья через ssh, или нужно всё таки с риском для жизни роутера расширять его функционал через множество разных команд?
  5. Очень классная штука эти интернет-фильтры, и много их добавлено, но т.к. это просто dns сервера, было бы здорово иметь возможность создавать свои. Это полезно, например, если где-то в сети (или на самом роутере..) стоит adguard-home ну или pi-hole, или что-то еще. Или dns сервер с фильтрацией которого еще нет в "интернет-фильтрах".
  6. Добрый день. Имеетеся Ультра 1810 с белым IP адресом. Так же есть свой домен xxxxxxx.ru Использую ультру как реверс прокси для внутренних хостов по http внутри и https снаружи. Выпустил сертификаты с помощью ip http ssl acme get name. Получилось сделать только 5 сертификатов, на 6ом вышла ошибка что места на разделе для сертификатов не хватает для сохранения нового сертификата. При этом в логах: Core::Configuration: failed to store a new extended entry: new data size is too large (24427 bytes). Обращался саппорт, там сказали что в новых моделях с индексом KN-xx11 места уже 232Кб, а в планируемых новых будет от 512К до 2М в зависимости от модели. Предлагаю реализовать увеличение данного раздела хотя бы на старших моделях роутеров, у которых памяти не впритык как у младших. Технически я себе это представляю как изменение таблицы разделов c переразбивкой. На этом разделе хранятся не только сертификаты KeenDNS но и конфиги OpenVPN. Может я не один такой, проголосуют те кому надо. Спасибо!
  7. 1. Берем какой нибудь девайс, с включенными по умолчаниб ipv6 и ipv4, например Raspberry pi 2. Подключаем к сети, девайс получает v4 и v6 адреса. 3. Регистрируем девайс в вебморде кинетика, назначаем ему постоянный ipv4 адрес и доменное имя типа device.home, девайс доступен по имени. 4. На девайсе отрубаем ipv6. 5.Пробуем подключиться по имени - не может отрезолвить. 6. смотрим дамп - не находит ничего. В режиме отладки роутер. ничего интересного не показывает.
  8. Здравствуйте. С нетерпением жду релиза стабильной версии 3.5. Планирую использовать VPN от Windscribe по протоколу IKEV2. Сейчас я использую NextDNS по протоколу DNS-over-TLS. Очень бы хотелось, чтобы была опция игнорирования DNS-серверов VPN-провайдера, чтобы во время работы туннеля DNS-запросы продолжали отправляться на серверы DoH/DoT, настроенные в соответствующем разделе роутера🤗 Насколько я знаю, для OpenVPN это возможно🙄 Спасибо!
  9. Здравствуйте! Хочу запустить у себя за кинетиком авторитативный DNS-сервер, но столкнулся с проблемой - никакие пакеты на 53 порты не доходят, и даже не записываются с помощью захвата пакетов. Но, кажется, я нашёл причину, эти пакеты, по-видимому, блокируются с помощью iptables: Chain _NDM_IP_PROTECT (1 references) pkts bytes target prot opt in out source destination 83 6008 _NDM_IP_PUBLIC all -- * * 0.0.0.0/0 0.0.0.0/0 82 5956 _NDM_SL_PROTECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 _NDM_SL_PROTECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?
  10. Добрый день, Уже неделю отсутствует доступ к маршрутизатору Zyxel Keenetic Giga III через https с сертификатом Let's Encrypt (через сервис Keen DNS). При попытке входа пишет это: "Ошибка при установлении защищённого соединения При соединении с t0lslhljoch60a97u6ekephuyi.keenetic.link произошла ошибка. Сертификат узла был отозван. Код ошибки: SEC_ERROR_REVOKED_CERTIFICATE Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена. Пожалуйста, свяжитесь с владельцами веб-сайта и проинформируйте их об этой проблеме." При этом доступ есть через мобильное приложение. Проблема именно при попытке входа через web-интерфейс. При этом, если зайти таки с компа через обычный доступ 192.168.1.1,то видно, что в сервисе KeenDNS просто ПУСТО.. Как с этим жить?..)
  11. На главной странице меню Системный монитор в самом первом блоке (Провайдер) есть ссылочка "Подробнее о соединении". Там отображается актуальная конфигурация интерфейса WAN (Провайдер). Актуальная вплоть до пункта DNS-серверы. В пункте DNS-серверы всегда отображаются адреса DNS серверов полученных от провайдера и добавленных классических серверов на вкладке Интернет-фильтр в блоке Серверы DNS. Если вы отказались от получения DNS серверов провайдера, то отображаются только те, что из блока Серверы DNS. Всё вроде бы хорошо. Но если вместо классического DNS мы настроили DOT или DOH и успешно резолвимся через них, в описываемом мной блоке "Подробнее о соединении" в пункте DNS-серверы продолжают отображаться всё те же адреса классических DNS серверов от провайдера и добавленные классические в блоке Серверы DNS. Для чего они там, если в данных обстоятельствах они не активны? Какой в них смысл? Почему не выводить там информацию о всех активных DOT и DOH серверах с указанием типа сервера (Native, DOT, DOH)? Было бы удобно видеть там фактически используемые DNS сервера. А если используются фильтры, то имена и адреса DNS серверов фильтров, а также классических, если используются. Прошу поддержать голосованием вверху страницы.
  12. Товарищи! Интересует следующее: есть ли возможность на уровне раутера жестко прописать DNS ответ для определенных запросов? Например, указать, что для "www.disneyplus.com" должен всегда использоваться заданный IP, а не тот, что пришлет публичный DNS сервер. Спасибо P.S. подмена DNS на жестко заданные адреса необходима, чтобы иметь возможность прописать правила переадресации трафика (через routing table) к определенным сервисам (стриминг) на отдельное ВПН соединение.
  13. Хотелось бы добавить в голосовалку следующее пожелание. Возможность где-то в веб-интерфейсе (например, на странице сегмента сети, если возможно) поставить выпадающий список типа "разрешать адреса dns-сервером keenetic" и опциями "автоматически добавлять по hostname" (dnsmasq. windows dhcp+dns и прочие так умеют) "вручную" (зайти в свойства устройства и поставить галочку), "отключено". Возможность включать DHCP Option 15 тут же. И галочку вроде "дополнять все короткие dns-имена доменным именем" для пущей надежности разрещения имен (оно ведь точно ничего не сломает, в интернет такие за запросы все равно ходить не должны) (конечно должно включаться только при "автоматически" или "вручную") В статье Каким образом можно указать доменные имена устройствам в локальной сети Keenetic? все уже есть, но через cli + нужно указываеть полное доменное имя. И, если правильно понимаю, в случае, если по какой-то причине домен захотелось сменить - нужно менять и все записи... А вариант с DHCP Option 15 тоже cli (хотя бы в gui галочку...)+ полагается на клиент и может не отработать Да, в курсе про entware и dnsmasq. В курсе возможности в cli. Но очень хочется прекрасного юзерфрендли и чтоб все само... И да, LLMNR не так надежен и не на всех устройствах есть, в отличие от DNS.
  14. Здравствуйте! Что было: Ранее близкая к этой тема (url фильтрация) рассматривались и даже набрала определённое кол-во голосов Но отсутствие её реализации упёрлось в ряд моментов: 1) Блокировка по хостам (именам) возможна через skydns; 2) Блокировка по хостам в небольшом количестве возможна через ip host Задача/Проблемы: Реализовать блокировку (не фильтрацию!) хостов (доменных имён) на уровне бОльшем, чем 10 записей. Реализовывать url-фильтрацию и подобное нафиг не надо, для этого уже есть другие устройства, с другим железом, в том числе с подробным сбором статистики и другого. А вот в задачу маршрутизатора, вполне может входить отсев запроса на заблокированный домен. Проблема 1: ip host не позволяет реализовать большой список, а дальше если бы позволял, то вручную заполнять/обновлять/пополнять конфиг каждый раз тоже было бы проблемой. Проблема 2: skydns решает проблему большого списка, но не решает проблему нормального заполнения/обновления/пополнения списка в большом количестве. Так же skydns добавляет проблему зависимости от интернета, т.е. каждый хост проверяться будете в системе skydns на каждого пользователя отдельно - лишние накладные расходы. Некрасивое решение: На фоне тем про dnscrypt, блокировки телеметрии windows 10 и т.п., Александр Рыжов привёл более короткую настройку желаемой реализации, но через OPKG. Минусом этого решения является отключение штатного dns и установка другого. Что требуется от разработчиков: самая малость, добавить файл, который пусть и через entware или другим путём, можно будет редактироваться и наполняться, который бы читался штатным dns'ом. У многих бы решилась проблема доменов телеметрии, сбора статистики, рекламы и т.п.
  15. Добрый день. Возникла проблема при пробросе порта на внутренний сервер. Настроил проброс 53/udp на внутренний DNS сервер, на сервере ограничил рекурсию только для локальной сети. Но, судя по дампу, большинство запросов идет с Кинетика. Т. е. он подменяет своим внутренним адресом, адреса атакующих. Кто может подсказать, как это исправить? А то на другом кинетике такого нет, но там и DHCP сервер не на нем. Специально обновлял до последней версии, сравнивал настройки, вроде все одинаково.
  16. Предложение реализовать DNS-over-HTTPS от Google Public DNS по образу и подобию SkyDNS и Яндекс.DNS. Плюсы: 1) Аналог DNSCrypt, но реализация на уровне прошивки; 2) Запросы к DNS Гугла идут по HTTPS, снижая эффективность сниффинга, атак MITM итд.; 3) Отсутствие подмен резолвинга со стороны в т.ч. провайдеров и соответствующих последствий; 4) Поддержка философии открытого интернета и информационной целостности. Подробности и желательные настройки (для гибкости): https://developers.google.com/speed/public-dns/docs/dns-over-https Вариант реализации архитектуры DNSSEC через Google DNS-over-HTTPS (чтобы был опорный код для скорости реализации): https://github.com/behrooza/dnsd
  17. Планируется ли реализация этой функции в ближайших прошивках после 2.08? C opkg настроил, конечно, но как-то костыльно это выглядит и ненадежно (1. встроенный dns прокси переопределен и в случае отказа dns с шифрованием или самого пакета нужно будет оперативно лезть в телнет, чтобы вернуть dns-override на место. 2. AD перестает работать, так как идущий с ним dns сервер уже нельзя указать как дополнительный в настройках Keenetic). Было бы здорово указать основной и резервный dnscrypt сервер прямо в настройках встроенного dns прокси, прямо в вебморде без всяких флешек с дополнительными пакетами. Яндекс DNS, OpenDSN к слову, шифрование поддерживают. Функция нужная, как защита от MITM.
  18. Где то уже писалось, напомню. 15 ноября 2018 года DNS-сервис Norton ConnectSafe завершит свою работу и больше не будет доступен для использования https://connectsafe.norton.com/. Может пора уже убирать его из списка компонентов.
  19. В данный момент команда ip name-server позволяет указать статический DNS-сервер, но не предусматривает конфигурирования нестандартного порта, отличного от UDP53. Примеры использования: Возможность использования публичных DNS-сереров, работающих на нестандартных портах как защита от принудительного «приземления» DNS-трафика провайдером. Пример: «Яндекс.DNS Безопасный» работает в т.ч. на нестандартном порту 77.88.8.88#1253. Использование OPKG-сервисов совместно с системным резолвером. Пример: апстримом для системного резолвера указывается локальный dnscrypt-proxy, работающий на 127.0.0.1#10053, что позволяет сохранить резолвинг my.router и других локальных имён и одновременно защитить от спуфинга DNS-запросы от роутера в сторону интернета. Дополнительный параметр для команды ip name-server сломает существующий синтаксис, поэтому нестандартный порт предлагаю указывать вместе IP-адресом, разделяя номер нестандартного порта символом "#". Подобная запись принята в dnsmasq, bing, dig и ряде других DNS-утилит. ip name-server ‹address›[‹#port›] [‹domain› [on ‹interface›]]
  20. Выражаю благодарность, за оперативное прикручивание сервисов по блокировке доменов на уровне DNS. Есть просьба, добавить блокировку доменов на уровне прошивки, без использования entware. Из предложений, разрешить возможность добавлять свои адреса (или листы из файла) к существующим блокировщикам. К примеру, использую встроенный adguard, но на многих свйтах реклама продолжает заваливать, что бы добавить российский ресурс в их базу, необходимо очень долго плясать с бубном и т.п., при этом не фактю что ресурс попадет в спам базу. Надеюсь на понимание и отсутствие отсылов к entware, тем более у меня 2 провайдера и один из них через vpn. При таком раскладе с entware заморачиваться нет желания, если бы оно было, то собрал бы микротик на PC и с ним терял время.
  21. Было бы очень здорово иметь возможность прописывать свои хосты в DNS-сервере маршрутизатора, чтобы глобально переопределять хосты для всей сети, а не вручную на каждом компьютере править hosts файл. Учитывая, что в маршрутизаторах уже есть кеширующий DNS-сервер, реализовать это будет не так уж и сложно. А то сейчас ради этого простого функционала приходится запускать свой DNS-сервер в сети и перенастраивать все устройства на работу с ним. И было бы удобно, если автоматически добавлялись туда имена устройств локальной сети. В настройках маршрутизатора уже можно задать домен, например задаём example.com, и все устройства сети доступны по их имени в этом домене, т.е. router.example.com, notebook.example.com, android-124312421341.example.com и т.п.
  22. Guest

    DNS от Cloudflare

    Здравствуйте! На могли бы вы добавить в веб-интерейс DNS от Cloudflare, пожалуйста? https://1.1.1.1
  23. Переключился вот буквально вчера на Он-Лайм (Ростелеком), однако при автоконфигурации IPv6 клиенты в локальной сети получили в качестве IPv6-DNS не роутер, а DNS-сервер провайдера. В результате потерялась возможность использовать роутер для разрешения локальных имён компьютера: запроc отправляется по IPv6 провайдеру, а провайдер, естественно, моих имён не знает. Существует ли возможность как-то это поправить без отключения IPv6?
  24. Прошу добавить в книгу добрых дел возможность задания SRV/PTR/TXT--записей в прошивочную DNS-службу. В первую очередь это облегчает autodiscovery сетевых служб, находящихся в сети. К примеру, Apple-клиенты (в т.ч. мобильные) смогут определять Airprint или Airplay, Windows-клиенты — возможность сетевой печати, наличия домена или служб активации.
  25. Приветствую. У меня следующая ситуация. У основного провайдера по выделенке - иногда тупят dns - в результате чего бывает недоступен забугорный сегмент интернета. При этом пинг-чек такие пропадания иностранного интернета не фиксирует, потому что стоит дефолтный вариант проверки, а там сайты, которые зеркалятся через Россию, я так понимаю. Соответственно, на резервный канал ничего не переключается - просто не открывается часть ресурсов. Если я добавлю к двум провайдерским днс'ам ещё и гугловский - это меня никак не спасёт? Днс'ы в списке ранжируются автоматически, но только по времени их отклика, как я понимаю. То есть запрос пойдёт через гугл только если в какой-то момент два провайдерских днс тупо упадут или будут пинговаться дольше, чем гугловский. Что маловероятно. Ну и второй вопрос. Когда я на 2.10 давным-давно добавил гугловский днс третьим - тут же заметил появившуюся задержку перед открытием каждой страницы - примерно секунда-две. Убрал третий днс, оставив только два провайдерских - задержка пропала. На 2.12 такой задержки не должно быть? И с чем она могла быть связана. Ну и напоследок, ставите ли вы вообще доп днс помимо тех, что выдал провайдер и зачем? Спасибо!
×
×
  • Create New...