Jump to content
  • 3
r3L4x

DNS: Блокировка рекламы с помощью DNS

Question

Текущая версия KeeneticOS: 3.5 Alpha 10

Опять вернулся этот баг (или похожий)

Если включаем AdGuard DNS или Cloudflare DNS профиль "без рекламы", то загрузка сайтов довольно значительно замедляется, долго крутится колёсико loading circle на месте favicon.

Причём в этот раз не удаётся уловить, помогает ли no dns-proxy rebind-protect или нет. Оно иногда помогает, а иногда и не влияет на ситуацию. Но если убрать фильтры совсем и прописать, например, 2 DoT сервера AdGuard dns-unfiltered.adguard.com, то браузер как будто сразу начинает дышать и странички вновь грузятся быстро.

Тестировал так:

- меняем фильтр через веб-интерфейс

- кнопочка сохранить

- ipconfig /flushdns в консоли винды

- перезапуск браузера

@Le ecureuil, если можно, то проверьте, пожалуйста.

  • Thanks 1

Share this post


Link to post
Share on other sites

16 answers to this question

Recommended Posts

  • 0

Разобрался. Это обновившийся AdGuard for Windows виноват.

Создал баг у них в системе.

Share this post


Link to post
Share on other sites
  • 0

@Le ecureuil в общем, они (AdGuard) сделали так, что, начиная с версии 7.5 (сейчас в стадии релиз-кандидат) антифишинг теперь работает через AdGuard DNS и вот этот момент:

Quote

При включенном AdGuard DNS не проходит проверка состояния работы сервиса на страницах https://adguard.com/ru/adguard-dns/overview.html и https://adguard.com/ru/test.html
Это связано с тем, что при включенных интернет-фильтрах по умолчанию включается блокировка транзитного DoT/DoH, чтобы избежать утечки DNS-запросов.

Вызывает проблемы.

Подробнее тут: https://github.com/AdguardTeam/CoreLibs/issues/1324 (особенно в конце, где найдена причина бага).

Что-то можно с этим поделать?

P.S. то есть в данном случае это проблема уже не с rebind-protect, который можно даже полностью отключить. Затык именно в том, как реализована система фильтров в Keenetic OS (блокировка транзитного трафика).

Share this post


Link to post
Share on other sites
  • 0

Попробую обратиться в поддержку, ибо касается всей линейки stable/beta/draft.

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, r3L4x сказал:

@werldmgn это уже мне решать, как и что использовать. В данном случае баг очевиден.

Не очевиден. Перехват транзитного днс-трафика при включенном фильтре - документированное и  ожидаемое поведение. Если на каком-то клиенте нужен транзитный днс траффик, то этому устройству концептуально нельзя ставить фильтр 

Edited by werldmgn

Share this post


Link to post
Share on other sites
  • 0

@werldmgn в поддержке ответили, что обсудят с разработчиками решение проблемы. Один из вариантов уже был предложен.

Quote

Единственное - было бы чуть проще нам жить, если бы трафик не дропался, а ресетился, так хотя бы замедления никакого не будет.

Лично меня это устроило бы, т.к. не будет долгого кружения колёсика на вкладках.

Share this post


Link to post
Share on other sites
  • 0
6 minutes ago, werldmgn said:

Если на каком-то клиенте нужен транзитный днс траффик, то этому устройству концептуально нельзя ставить фильтр

Домашние пользователи должны это заранее знать? Или каждый раз будут долбить поддержку?

Share this post


Link to post
Share on other sites
  • 0
Только что, r3L4x сказал:

@werldmgn в поддержке ответили, что обсудят с разработчиками решение проблемы. Один из вариантов уже был предложен.

Лично меня это устроило бы, т.к. не будет долгого кружения колёсика на вкладках.

Имхо это какие-то полумеры. Либо оставлять как есть, т.к. это ожидаемое поведеие. Либо вообще дать возможность настраивать перехватывать или нет транзитный днс траффик определенных устройств, в виде опции хотя бы в cli.

Share this post


Link to post
Share on other sites
  • 0

В хелпе сказано, что включение фильтра AdGuard DNS - чуть ли не самый простой способ работать через DoT / DoH. Т.к. ничего не нужно прописывать, включил фильтр и всё. Вот я включил у себя фильтр и у меня сразу возникла проблема с AdGuard for Windows.

Как я мог знать заранее это всё?

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, r3L4x сказал:

Домашние пользователи должны это заранее знать? Или каждый раз будут долбить поддержку?

 

1 минуту назад, r3L4x сказал:

В хелпе сказано, что включение фильтра AdGuard DNS - чуть ли не самый простой способ работать через DoT / DoH. Т.к. ничего не нужно прописывать, включил фильтр и всё. Вот я включил у себя фильтр и у меня сразу возникла проблема с AdGuard for Windows.

Как я мог знать заранее это всё?

Вы же сами процитировали из хелпа кинетика информацию "Это связано с тем, что при включенных интернет-фильтрах по умолчанию включается блокировка транзитного DoT/DoH, чтобы избежать утечки DNS-запросов." Именно из хелпа это и узнается "домашними пользователями", для них его и пишут.

Share this post


Link to post
Share on other sites
  • 0

@werldmgn тут сказано только, что не будет работать проверка, это понятно. А где сказано, что не будет работать функция Антифишинга в AdGuard for Windows, которая включена по умолчанию там?

Или я должен сам догадаться, что Антифишинг юзает транзитный трафик? Каким образом интересно?

Edited by r3L4x

Share this post


Link to post
Share on other sites
  • 0
6 минут назад, r3L4x сказал:

@werldmgn тут сказано только, что не будет работать проверка, это понятно. А где сказано, что не будет работать функция Антифишинга в AdGuard for Windows, которая включена по умолчанию там?

Вы серьезно? В документации пишется факт, а какие следствия из этого факта следуют мы уже определяем сами. Когда у интернет провайдера написано, что при неоплате интернет будет заблокирован, вы пишете им претензию, что они не уточнили, что блокировка интернета приведет к его неработоспособности даже для функции Антифишинга в AdGurard?

Edited by werldmgn

Share this post


Link to post
Share on other sites
  • 0

@werldmgn тут вы сравниваете очевидное. Кому не понятно, что, если отключили интернет, то не работает AdGuard? Всем понятно. Теперь к нашему вопросу - домашний пользователь включил фильтр в кинетике, установил AdGuard for Windows, у него странные проблемы с сайтами. Он знает кто и что виновато? Да он понятия не имеет. Пойдут запросы в поддержку одной конторы, другой (как было у меня). Разве это нормально?

Share this post


Link to post
Share on other sites
  • 0

У меня было ещё веселее: фильтр был включён давно, потом в какой-то момент обновился AdGuard и тут начались проблемы. Более месяца заявку рассматривали в AdGuard, где я в итоге узнаю, что это Keenetic виноват (точнее совместимость).

Вот расскажите мне: как я мог сам догадаться, что это виновата блокировка транзитного трафика в Keenetic'e? Вы ведь говорите, что всё очевидно и описано в хелпе и я ССЗБ.

Edited by r3L4x

Share this post


Link to post
Share on other sites
  • 0

@r3L4x Подумайте об одной простой вещи. Вот для вас обсуждаемое поведение не очевидно, вы использовали одновременно интернет-фильтр и для этого же пк софт, который выполняет те же функции, что и фильтр и даже больше. Однако вы сходили в поддержку и к тем и к другим, выяснили, как это все работает и почему такое происходит. Вам не приятно, что пришлось ходить, ок. Вот только ваш случай можно сказать редкий. А все те сотни и тысячи пользователей, которые включают интернет-фильтр, например, для блокировки взрослого контента на устройствах детей, также будут считать совершенно не очевидным и не правильным, что обойти фильтр так же легко как прописать другие днс-серверы в пк. И требовали бы, чтобы поведение было именно таким какое есть сейчас. 

Это плохой тон, знаете ли, изменять сообщение, которое было процитировано и на которое было отвечено, таким образом, что ответ становится не в тему. Больше не вижу смысла с вами спорить. 

Edited by werldmgn
  • Y'r wrong 1

Share this post


Link to post
Share on other sites
  • 0

Типо я должен был вычислить, что, начиная с AdGuard 7.5, под капотом такие изменения, что теперь Антифишинг работает через DNS, которому обязателен транзитный трафик, а он у меня обрезан с помощью фильтра. Вы серьёзно? Ну это же чушь, что вы мне тут пытаетесь доказать, якобы в хелпе всё сказано и я сам виноват. 😆

> Вот только ваш случай можно сказать редкий

Значит, заводится баг и ему ставится низкий приоритет. По мере поступления обращений, приоритет повышается. Это нормальная практика, а не делать из меня дурачка, который сам что-то навключал и у него сломалось.

> Это плохой тон, знаете ли, изменять сообщение, которое было процитировано и на которое было отвечено, таким образом, что ответ становится не в тему. Больше не вижу смысла с вами спорить.

Я ничего нигде не стирал, вам явно показалось...

Edited by r3L4x

Share this post


Link to post
Share on other sites
  • 0

@r3L4x по вашему обращению в поддержку создан кейс, планируется добавить исключение TLS для зарегистрированных хостов в домашнем сегменте, чтобы не дропались запросы до серверов фильтрации Adguard.

  • Thanks 2

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...