pfSense Gold Subscription

Author Topic: Шлюзы DNS в General setup  (Read 196 times)

0 Members and 1 Guest are viewing this topic.

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Шлюзы DNS в General setup
« on: December 07, 2017, 01:25:49 am »
Скрины с настройками приложены.
Имеется список используемых ДНС, для всех шлюзом назначен интерфейс впнки(На скрине 2 последних поменял специально для показательности эксперимента)
Вот что происходит:

Запрашиваем домен и читаем трафик ВАН1
Code: [Select]
10:07:19.882467 IP 193.188.254.172.29222 > 4.2.2.1.53: UDP, length 43
10:07:20.006849 IP 4.2.2.1.53 > 193.188.254.172.29222: UDP, length 147
10:07:20.628340 IP 193.188.254.172.29230 > 4.2.2.1.53: UDP, length 17
10:07:20.699083 IP 4.2.2.1.53 > 193.188.254.172.29230: UDP, length 228

Запрашиваем домен и читаем трафик ВАН2
Code: [Select]
10:09:21.167190 IP 91.195.86.121.15987 > 4.2.2.2.53: UDP, length 17
10:09:21.234407 IP 4.2.2.2.53 > 91.195.86.121.15987: UDP, length 228
10:09:23.292571 IP 91.195.86.121.25968 > 4.2.2.2.53: UDP, length 52
10:09:23.292648 IP 91.195.86.121.51736 > 4.2.2.2.53: UDP, length 47
10:09:23.363842 IP 4.2.2.2.53 > 91.195.86.121.25968: UDP, length 157
10:09:23.375241 IP 4.2.2.2.53 > 91.195.86.121.51736: UDP, length 152

Запрашиваем домен и читаем трафик ВПН
Code: [Select]
10:10:44.950589 IP 10.8.0.62.27721 > 208.67.222.222.53: UDP, length 40
10:10:45.007391 IP 208.67.222.222.53 > 10.8.0.62.27721: UDP, length 104
10:10:45.007423 IP 10.8.0.62.21762 > 208.67.222.222.53: UDP, length 40
10:10:45.103612 IP 208.67.222.222.53 > 10.8.0.62.21762: UDP, length 110
10:10:46.418137 IP 10.8.0.62.2730 > 208.67.222.222.53: UDP, length 17
10:10:46.474839 IP 208.67.222.222.53 > 10.8.0.62.2730: UDP, length 228
10:10:46.477293 IP 10.8.0.62.51481 > 208.67.220.220.53: UDP, length 17
10:10:46.533889 IP 208.67.220.220.53 > 10.8.0.62.51481: UDP, length 228
10:10:46.536458 IP 10.8.0.62.61652 > 84.200.69.80.53: UDP, length 17
10:10:46.612815 IP 84.200.69.80.53 > 10.8.0.62.61652: UDP, length 228
10:10:46.615370 IP 10.8.0.62.48434 > 84.200.70.40.53: UDP, length 17
10:10:46.717472 IP 84.200.70.40.53 > 10.8.0.62.48434: UDP, length 228
10:10:46.865838 IP 10.8.0.62.61516 > 208.67.222.222.53: UDP, length 30
10:10:46.923297 IP 208.67.222.222.53 > 10.8.0.62.61516: UDP, length 46
10:10:46.923422 IP 10.8.0.62.41186 > 208.67.222.222.53: UDP, length 30
10:10:46.980225 IP 208.67.222.222.53 > 10.8.0.62.41186: UDP, length 46
10:10:46.980326 IP 10.8.0.62.54416 > 208.67.222.222.53: UDP, length 30
10:10:47.037652 IP 208.67.222.222.53 > 10.8.0.62.54416: UDP, length 101
10:10:47.037710 IP 10.8.0.62.54903 > 208.67.222.222.53: UDP, length 40
10:10:47.061515 IP 10.8.0.62.65089 > 208.67.222.222.53: UDP, length 33
10:10:47.061522 IP 10.8.0.62.65089 > 208.67.220.220.53: UDP, length 33
10:10:47.061526 IP 10.8.0.62.65089 > 84.200.69.80.53: UDP, length 33
10:10:47.061531 IP 10.8.0.62.65089 > 84.200.70.40.53: UDP, length 33
10:10:47.185943 IP 84.200.70.40.53 > 10.8.0.62.65089: UDP, length 124
10:10:47.241095 IP 208.67.222.222.53 > 10.8.0.62.54903: UDP, length 109
10:10:47.241236 IP 10.8.0.62.62554 > 208.67.222.222.53: UDP, length 30
10:10:47.280007 IP 84.200.69.80.53 > 10.8.0.62.65089: UDP, length 124
10:10:47.315817 IP 208.67.220.220.53 > 10.8.0.62.65089: UDP, length 49
10:10:47.315834 IP 208.67.222.222.53 > 10.8.0.62.62554: UDP, length 101
10:10:47.315882 IP 10.8.0.62.64046 > 208.67.222.222.53: UDP, length 40
10:10:47.432633 IP 208.67.222.222.53 > 10.8.0.62.65089: UDP, length 49
10:10:47.495605 IP 208.67.222.222.53 > 10.8.0.62.64046: UDP, length 109

Вроде нормально всё.

А теперь добавляю еще два серсвера DNS: 8.8.8.8 и 8.8.4.4 шлюзы для обоих ставлю впн!

Запрашиваем домен и читаем трафик ВАН1
Code: [Select]
10:13:34.624627 IP 8.8.8.8.53 > 193.188.254.172.25543: UDP, length 92
10:13:35.214207 IP 193.188.254.172.59652 > 4.2.2.1.53: UDP, length 32
10:13:35.214221 IP 193.188.254.172.59652 > 8.8.8.8.53: UDP, length 32     ------  ????????
10:13:35.257484 IP 8.8.8.8.53 > 193.188.254.172.59652: UDP, length 48
10:13:35.292531 IP 4.2.2.1.53 > 193.188.254.172.59652: UDP, length 48
10:13:36.456134 IP 193.188.254.172.41055 > 4.2.2.1.53: UDP, length 17
10:13:36.530273 IP 4.2.2.1.53 > 193.188.254.172.41055: UDP, length 228
10:13:36.621305 IP 193.188.254.172.52273 > 8.8.8.8.53: UDP, length 17     ------  ????????
10:13:36.650383 IP 8.8.8.8.53 > 193.188.254.172.52273: UDP, length 228

Тоже и на втором ВАН

Что я делаю не так?

И второй вопрос. По какому алгоритму возвращается айпи для клиента с таким количеством днс? Если один или несколько ДНС ответят с неверным айпи(я имею ввиду подмену айпи страницей блокировки роскомнадзора) то какой айпи возвратится клиенту?

Offline werter

  • Hero Member
  • *****
  • Posts: 4918
  • Karma: +231/-14
    • View Profile
« Last Edit: December 07, 2017, 06:24:51 am by werter »

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1702
  • Karma: +214/-2
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #2 on: December 07, 2017, 07:00:03 am »
Может немного не в тему, но в Open VPN недавно (c 2.3?) появилась директива block-outside-dns.
В pf 2.4 она вроде есть в GUI.
Смысл ее в том, что если сервер Open VPN отдает DNS клиенту через push "dhcp-option DNS ...." IP своих DNS,  block-outside-dns блокирует обращение ОС ко всем остальным DNS.
Не знаю, как обработает ее клиент pf, но в Windows-клиентах это реально работает.

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #3 on: December 07, 2017, 08:21:08 am »
Ладно давайте по порядку...

Quote
Правила fw на ЛАН покажите.
На первом скрине


Quote
https://www.infotechwerx.com/blog/Prevent-Any-Traffic-VPN-Hosts-Egressing-WAN
https://forum.pfsense.org/index.php?topic=105810.0
По первой ссылки прочел, даже что-то понял. Но не понял как это связать с моей проблемой.
По второй ссылке с моим английским это на долго. Буду курить инфу.

Quote
И здесь https://nguvu.org/pfsense/pfsense-baseline-setup/ оч. много.
А вот эта ссылка дала пищу для размышлений на середине статьи, а именно галка System > Advanced > Miscellaneous  - Skip rules when gateway is down

Я пошел с маршрутизацию и выяснил вот что
Скрин 2 - Так настроены ДНС шлюзы
Скрин 3 - Так выглядит таблица маршрутизации когда все шлюзы подняты включая впн. Всё как надо работает и ходит
Скрин 4 - Так начинает выглядеть таблица если положить руками впн подключение.

Если с выключеной впн запросить домен то все запросы по всем указаным 8 ДНСам идут в default шлюз, что собственно логично ибо маршруты в впнку невозможны.
По идее при восстановлении впнки таблица маршрутов должна возобновиться как на Скрине 3, но получаем Скрин 5.

Если зайти в раздел System > Advanced > Miscellaneous и нажать aply - получаем здоровую таблицу как на Скрине 3

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #4 on: December 07, 2017, 08:43:59 am »
А сейчас законектился на пф в другом городе где используем провайдер агрессивно коверкающий днс ответы.
Там в списке ДНС вообще нет 8.8.8.8 и 8.8.4.4 а маршруты на них всеравно прописаны в таблице.
Как от них избавлятся? =(
« Last Edit: December 07, 2017, 12:02:07 pm by chieftech »

Offline werter

  • Hero Member
  • *****
  • Posts: 4918
  • Karma: +231/-14
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #5 on: December 07, 2017, 09:46:54 am »
Опенвпн-серверы (не клиенты) вам подконтрольны?
Вам нужно весь трафик через впн-завернуть ? Или только к опред. хостам в инете ?

Полное ТЗ в студию.

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #6 on: December 07, 2017, 11:55:48 am »
Quote
Опенвпн-серверы (не клиенты) вам подконтрольны?
Вам нужно весь трафик через впн-завернуть ? Или только к опред. хостам в инете ?

Полное ТЗ в студию.

VPN Сервер наш. Да подконтролен.
Весь трафик в впн заворачивать не требуется.
Завернуть нужно трафик на некоторые Домены. Как правило для того чтобы пройти ssl сертификацию между хостом и доменом, дальше не важно что куда пойдет.

Нужные домены прописаны в Alies. Соответствующий Alies прописан в статик маршрутах для интерфейса ВПН. Правило в fw на этот Alies тоже создано с gw впн.
В общем-то все работает как полагается за исключением некоторых случаев где провайдер агресивно подменяет DNS запросы и навязывает свои маршруты на гугловские DNSы
Хотелось бы чтобы маршрутизация приходила в себя в случае падения и последующего восстановления ВПН соединения.

Offline werter

  • Hero Member
  • *****
  • Posts: 4918
  • Karma: +231/-14
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #7 on: December 08, 2017, 03:07:02 am »
Доброго.

Если
Quote
VPN Сервер наш. Да подконтролен.

То не нужно делать
Quote
Соответствующий Alies прописан в статик маршрутах для интерфейса ВПН.
Удалите ручные маршруты. Алиас не удаляйте.

Выдавайте маршрут с пом. впн-сервера - он прекрасно это выполняет с пом. директив push "route ..." .
В настр. впн-сервера поставьте галки на DNS Server enable и Force DNS cache update, если хотите исп-ть пф на том конце в кач-ве ДНС. Или не ставьте галки, если это вам не нужно.
Заверните правилами fw на ЛАН впн-клиента все DNS-запросы в туннель - https://doc.pfsense.org/index.php/Redirecting_all_DNS_Requests_to_pfSense

И рулите у впн-клиента правилами fw на его ЛАНе .
« Last Edit: December 08, 2017, 03:23:41 am by werter »

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #8 on: December 09, 2017, 12:32:14 pm »
Вы мне предлагаете способ обойти проблему. А мне хотелось бы узнать как её можно решить и возможно ли это. И почему эта проблема возникает только с гугл днс?

Offline werter

  • Hero Member
  • *****
  • Posts: 4918
  • Karma: +231/-14
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #9 on: December 09, 2017, 12:42:42 pm »
Доброго.
Я вам предлагаю решать, то, что вы представили в ТЗ без костылей (в виде ручного прописывания марш-тов etc.)

Quote
И второй вопрос. По какому алгоритму возвращается айпи для клиента с таким количеством днс? Если один или несколько ДНС ответят с неверным айпи(я имею ввиду подмену айпи страницей блокировки роскомнадзора) то какой айпи возвратится клиенту?
Ответит 1-й по списку dns. Если он не сможет разрешить имя в ip - уйдет запрос на 2-й. У Вин (вроде) макс. корректное использование - 3 шт.

В кач-ве ДНС на машинах лок. адрес пф ?

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #10 on: December 09, 2017, 02:17:47 pm »
Quote
Доброго.
И вам всего самого лучшего.

Quote
В кач-ве ДНС на машинах лок. адрес пф ?
Да

А как тогда понимать то что на скрине?

Offline werter

  • Hero Member
  • *****
  • Posts: 4918
  • Karma: +231/-14
    • View Profile
Re: Шлюзы DNS в General setup
« Reply #11 on: December 09, 2017, 03:54:28 pm »
Я пользую dns resolver. Ни единого разрыва с ....

Зы. Про заворачивания всего днс на пф я уже писал выше. Настройте и проверяйте. А то толчение воды в ступе получается. По рез-там отпишитесь.