OpenDNS все работает. Не пойму как.

Обсуждение ПО и его настройки
Ответить
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Понадобилось прикрыть школьную сеть от нежелательного контента. Воспользовался бесплатным сервисом от OpenDNS. Прописал в микротике их DNS адреса. Проверяю все замечательно работает. Подключаюсь к роутеру по VPN и тестирую со своего компа. Блокировка отлично срабатывает сайты не открываются. При этом на компе настроен DNS 1.1.1.1

А теперь непонятки
1. Пробую настроить перехват запросов по 53 порту через redirect в сети метод расписан. https://spw.ru/forum/threads/kak-zapret ... rvera.611/
В таком случае комп не резолвит адреса, сайты не открываются. nslookup покаывает "DNS request timed out."

2. На компе отключаю впн и nslookup смотрю IP запрещенного сайта ответ от 1.1.1.1, По доменному имени сайт открывается
Подключаюсь по впн (маршрут по умолчанию настроен в впн) снова смотрю nslookup IP сайта ответ от 1.1.1.1 и тот же адрес, но по доменному имени сайт не открывается :ne_vi_del:

Есть у кого мысли что происходит?


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

У меня настроен перехват запросов DNS, но я их передаю не на микротик, а сразу на DNS сервер.

add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
dostup to-addresses=8.8.8.8 to-ports=53


А вообще, есть большая вероятность, что провайдер сам перехватывает ваши запросы. Ведь для школ трафик должен быть фильтрованным уже от провайдера. Ростелеком??? Если да, то у него свои заморочки. Обратите внимание, если срабатывает фильтр Ростелекома, то нежелательные сайты https не открываются, как будто тупо нет интернета, а если фильтр DNS, то выскакивает страница заглушка.
Но у Ростелекома проверки не только по DNS, он там все это как-то через свой прокси проворачивает, то есть нежелательный сайт в любом случае не откроется.

Попробуйте передавать днс запросы на ADguard, у них есть специальный "левый" порт, не 53.
https://adguard.com/ru/adguard-dns/overview.html

Тогда уж точно можно быть уверенным, что никто не вмешивается. И тогда все можно будет проверить, во всех режимах.


Ответить