Понадобилось прикрыть школьную сеть от нежелательного контента. Воспользовался бесплатным сервисом от OpenDNS. Прописал в микротике их DNS адреса. Проверяю все замечательно работает. Подключаюсь к роутеру по VPN и тестирую со своего компа. Блокировка отлично срабатывает сайты не открываются. При этом на компе настроен DNS 1.1.1.1
А теперь непонятки
1. Пробую настроить перехват запросов по 53 порту через redirect в сети метод расписан. https://spw.ru/forum/threads/kak-zapret ... rvera.611/
В таком случае комп не резолвит адреса, сайты не открываются. nslookup покаывает "DNS request timed out."
2. На компе отключаю впн и nslookup смотрю IP запрещенного сайта ответ от 1.1.1.1, По доменному имени сайт открывается
Подключаюсь по впн (маршрут по умолчанию настроен в впн) снова смотрю nslookup IP сайта ответ от 1.1.1.1 и тот же адрес, но по доменному имени сайт не открывается
Есть у кого мысли что происходит?
OpenDNS все работает. Не пойму как.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Модератор
- Сообщения: 3321
- Зарегистрирован: 01 окт 2012, 14:48
У меня настроен перехват запросов DNS, но я их передаю не на микротик, а сразу на DNS сервер.
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
dostup to-addresses=8.8.8.8 to-ports=53
А вообще, есть большая вероятность, что провайдер сам перехватывает ваши запросы. Ведь для школ трафик должен быть фильтрованным уже от провайдера. Ростелеком??? Если да, то у него свои заморочки. Обратите внимание, если срабатывает фильтр Ростелекома, то нежелательные сайты https не открываются, как будто тупо нет интернета, а если фильтр DNS, то выскакивает страница заглушка.
Но у Ростелекома проверки не только по DNS, он там все это как-то через свой прокси проворачивает, то есть нежелательный сайт в любом случае не откроется.
Попробуйте передавать днс запросы на ADguard, у них есть специальный "левый" порт, не 53.
https://adguard.com/ru/adguard-dns/overview.html
Тогда уж точно можно быть уверенным, что никто не вмешивается. И тогда все можно будет проверить, во всех режимах.
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
dostup to-addresses=8.8.8.8 to-ports=53
А вообще, есть большая вероятность, что провайдер сам перехватывает ваши запросы. Ведь для школ трафик должен быть фильтрованным уже от провайдера. Ростелеком??? Если да, то у него свои заморочки. Обратите внимание, если срабатывает фильтр Ростелекома, то нежелательные сайты https не открываются, как будто тупо нет интернета, а если фильтр DNS, то выскакивает страница заглушка.
Но у Ростелекома проверки не только по DNS, он там все это как-то через свой прокси проворачивает, то есть нежелательный сайт в любом случае не откроется.
Попробуйте передавать днс запросы на ADguard, у них есть специальный "левый" порт, не 53.
https://adguard.com/ru/adguard-dns/overview.html
Тогда уж точно можно быть уверенным, что никто не вмешивается. И тогда все можно будет проверить, во всех режимах.