Zdravím, mám Turris 1.0 a bohužel od počátku mám problémy s DNS a již jsem se konečně dokopal k tomu že to MUSÍM vyřešit.
Má situace je taková, že ISP odchytává veškerý provoz na portu 53 a přesměrovává jej na vlastní servery (ISP mé zjištění potvrdil a bylo mi oznámeno že je to z bezpečnostních důvodů a nehodlají na tom nic měnit). Z tohoto důvodu jsem nucen mít zakázané DNSSEC ve forisu.
Bohužel ani vypnutí DNSSEC neřeší problémy s překladem DNS. Pokud provedu dotaz na nějakou doménu, tak napoprvé nedostanu odpověď, pokud však dotaz hned zopakuji již se mi adresa přeloží např.:
Problémy to způsobuje i při “opkg update”, ten taky vždy napoprvé selže protože se nepřeloží doménové jméno. Permanentně mi chodí chyby “Updater failed: unreachable https://repo.turris.cz/turris/lists/base.lua”.
Na zařízeních v síti musím mít nastaveny DNS servery od ISP (s turrissem je to nepoužitelné, a jakékoliv jiné stejnak nemají smysl protože je vše odchyceno u ISP). Pokud Turris nahradím jiným routerem běžícím na openWRT tak vše jede bez problému a stabilně jak z daného routeru tak i z všech ostatních zařízeních v síti.
V nastavení mám DNSSEC i přeposílání vypnuté, IPv6 zakázané a factory resetů již proběhlo nepočítaně.
Ano je to částečně problém ISP, bohužel jsem jediný kdo má problém protože ostatní mají “hloupý router” takže nic řešit nebudou. Změna ISP() bohužel není možná - je jediný v okolí.
Na druhé straně pokud na Turrisu vypnu DNSSEC tak bych čekal že DNS pojede bez problémů - dnsmasq v čistém openWrt nemá s překladem problém.
OK, jasně. Jedna možnost by bylo DNS přes TLS, ale na to v Turris 1.x není klikátko a možná to tak ani není rozumně jednoduché nastavit. Bez toho je tedy otázka zda vůbec DNS server na Turrisu mít/používat, protože jediné co by mohl dělat je lokální cache – což asi nebude znatelný rozdíl, když každý klient cache má a ISP jistě taky.
No, pro jednoduché nastavení, mám podezření, že přeposílání s vypnutým DNSSEC by mělo chodit (škrtátka ve Foris / DNS). Je celkem jedno kam se bude posílat, protože evidentně odpovědi přijdou stejně od serverů ISP.
No, nechci tady moc řešit produktové nabídky, ale myslím že mobilní operátoři (v CZ) nabízejí LTE pro fixní stanice (nebo jak bych to nazval) za relativně rozumných podmínek, na rozdíl od LTE pro mobily.
Mně osobně vadí zdaleka nejvíce to odchytávání cizích packetů (vydávání se za cizí servery). I na to tedy existují různé záminky, například bezpečnostní nebo urychlující.
Turris 1.x má jako DNS resolver Unbound, na který nejsem odborník, ale tady je můj odhad:
V nastavení Forisu bych zkusil vypnout DNSSEC a zapnout forwardování (přeposílání). To je nejblíž k nastavení, které ISP vynucuje pomocí přesměrování provozu.
Pokud nebude fungovat ani to, tak jedině do /etc/resolv.conf nacpat adresy od ISP a Unbound úplně opustit.
Tak musím se přiznat že poslední větší test různých kombinací nastavení jsem prováděl více jak před měsícem. Když jsem však před 3 dny ještě zkusil zapnout forwarding , jak psal vcunat, začalo vše fungovat a do dneška jsem nezaznamenal žádnou chybu ani jakýkoliv problém.
Možnost použít DNS přes TLS mě vůbec nenapadla . Zkusím si s tím pohrát a zprovoznit.
Tak bohužel jsem se ukvapil. Na Turrisu se zda že vše funguje, ale pokud jsem na počítači nastavil jako DNS Turiis, tak to na počítači začalo dělat úplný nesmysly :
phebix@phebix-ProBook:~$ ssh a2.phebix.cz
ssh: Could not resolve hostname a2.phebix.cz: Temporary failure in name resolution
phebix@phebix-ProBook:~$ host a2.phebix.cz
a2.phebix.cz has address 37.205.11.147
a2.phebix.cz has IPv6 address 2a03:3b40:100::1:61
Host a2.phebix.cz not found: 2(SERVFAIL)
phebix@phebix-ProBook:~$ host a2.phebix.cz
a2.phebix.cz has address 37.205.11.147
a2.phebix.cz has IPv6 address 2a03:3b40:100::1:61
Host a2.phebix.cz not found: 2(SERVFAIL)
phebix@phebix-ProBook:~$ host pes.cz
pes.cz has address 81.2.196.222
Host pes.cz not found: 2(SERVFAIL)
phebix@phebix-ProBook:~$ host pes.cz
Host pes.cz not found: 2(SERVFAIL)
phebix@phebix-ProBook:~$ host pes.cz
pes.cz has address 81.2.196.222
pes.cz mail is handled by 10 mx.forpsi.com.
phebix@phebix-ProBook:~$ ssh a2.phebix.cz
// USPESNE PRIPOJENO
Výše zmíněné jsem provedl hned po sobě v jedné minutě a pokaždé jsem získal něco jiného.
Zkoušel už někdo reálně nastavit DNS over TLS? Jstli má to tomu někdo nějaké tipy / poznatky ?
Obdivuji tvou trpělivost. Hned ve svém druhém příspěvku jsi v podstatě popsal možné řešení .
Pokud ostatní routery používající dnsmasq nemají problém, proč se dal trápit a používat nebo jiného .
Já jsem ke stejnému rozhodnutí dospěl tři týdny po tom, co mi MOX dorazil domů.
Od té doby, co jsem přepnul na dnsmasq nemám problém…
Tady se jedná o úplně jiný problém než popisujete Vy a není nutné Vaše řešení popsat do čtvrtého vlákna (tři z toho v angličtině), co jsem se podíval do ostatních vláken do kterých jste přispěl, tak tam popisujete problém s lokálními hostname. I když jste použil DNSSEC na dnsmasq-u, tak jste dostával timeout for dns queries, takže ta chyba je někde jinde. Pravděpodobně na straně poskytovatele internetu. V tom případě je zkusit vypnout, případně zapnout forwardování v administračním rozhraní Foris, abychom se na to podívali, ale je nutné použít Knot Resolver, případně Unbound. Pokud Vám ani to nepomohlo, tak v dokumentaci je článek přesně pro tento typ problému, ale ani jednou jsme je od Vás neobdrželi debugovací výstup, takže o tom pouze můžeme polemizovat. Nicméně tohle sem do tohoto vlákna nepatří a je to OT.
V prvním příspěvku je uvedené, že se jedná o hijacking DNS trafficu, které je dle informací od poskytovatele internetu z bezpečnostních důvodu. Navíc se tady jedná o Unbound, který běží na routerech Turris 1.0 a Turris 1.1. Dvě možná řešení, zde již byla uvedená.
DNS over TLS
Nemam to otestované, ale v Turris OS 3.11.3, která je v RC je nejnovější verze Unboundu ve které se nachází lepší podpora DoT. V tuto chvíli to není na kliknutí ve Forisu, ale v nejbližších dnech bych si to rád nastavil na svém domacím routeru.
vypnout DNSSEC (ve výchozím stavu by to mělo být zapnuté, ale v tomto případě je to možné řešení problému) Více informací, proč mí zapnutý DNSSEC najdete např. zde.
A zapnout forwardování v administračním rozhraní Foris.
Jak bylo řečené, tak bych @Phebix poprosil o informaci, zda uvedená řešení pomohla. Pokud ne, tak budeme rádi, když nám pošlete debugovací výstup dle Debugging DNS problems on Turris routers.
Mé poznatky, možná nikam nepovedu - ale co kdyby, víc hlav, víc rozumu…
Mě to zase připadá, že má problém s internetem jako takovým. Chvilku mu to jde, pak zase ne…, osobně bych zkusil, jestli je problém jenom v DNS a pokusil se připojovat pokud možno na IP adresy.
Možná má i problém IPv4 @ IPv6:
Zkusil jsem ssh na IPv6 a tam mi přístup byl odepřen, s ssh na IPv4 byl přístup povolen.