ISP mi odchytává DNS provoz. Co s tím?

turris1x
dns
dnssec

#22

Ano, máte naprostou pravdu. On má úplně jiné projevy a jde o jiný problém s DNS na Turrisu.
Nicméně příčina je naprosto stejná jako u mě a řešení dle jeho komentářů také.

Má v podstatě dvě možnosti:
A) Buď vám pomůže odladit ten DNS server určený pro úplně jiné použití, než pro domácí router a s trochou štěstí mu to bude fungovat, než narazí na nějaký další problém.
B) A nebo použije DNS server, který je pro běh v domácím routeru léty prověřený, stabilní a který i jemu situaci očividně řeší. Pak bude mít klid a nebude muset nic řešit.

Je to jen na něm a já se omlouvám, že jsem mu podsouval své “líné” řešení, které vám moc nepomůže ten problém odhalit…


#23

Nezlobte se krom toho, že jde o opět OT, tak ve Vašem posledním příspěvku zmiňujete, že příčina je stejná, takže taky se jedná o DNS hijacking, ano? Zmínil jste, že problém s pomalejším načítáním máte také na dnsmasq. Takže bych to nesváděl na problém, který se týká routeru, ale Vaše příčina a příčina popisovaná v tomto vlákně je naprosto odlišná. Navíc Vámi nabízené řešení není námi podporované a pokud jej špatně nastavíte, tak je možné jestliže dojde k aktualizaci dnsmasq na routeru, tak se to rozbije a budete si to muset nastavit znovu, resp. zjišťovat, kde se nachází problém a vyřešit jej. Pokud se tak stane, tak hádejte na koho se v tom případě uživatel obrátí na nás nebo na Vás? Řešení jsou možné dvě, které byly zmíněny - zapnout DNS forwardování, případně DNS over TLS. Když budete mít chvilku, tak si o DNS můžete přečíst něco málo v naší dokumentaci, která zmiňuje o zapnutém/vypnutém forwardingu v záložce DNS ve Forisu.

Možnosti, které uvádíte nejsou přesné, abych to uvedl na pravou míru, které DNS resolvery běží na kterých routerech:

  • Turris 1.0, Turris 1.1 běží Unbound.
  • Turris Omnia, Turris MOX běží Knot Resolver.

Oba DNS resolvery jsou prověřené a stabilní. Pokud by Knot Resolver nebyl stabilní, tak jej nebude používat Cloudflare na svých DNS serverech, a proto s vaším názorem nemohu v žádném případě souhlasit. Dnsmasq byl nahrazen Unboundem také v OPNsense od verze 17.7 a mohl bych pokračovat. Jak jsem řekl Váš problém nesouvisí s Knot Resolverem, ale s DHCP a potažmo i resolve local hostnames, ale to je úplně jiná kapitola a zase bych se vracel k tomu samému, co jsem v podstatě již napsal v předešlém příspěvku.

Nadále Vás podporovat v OT nebudu. Buď příspěvky přesunu do jiných vláken nebo schovám.


#24

Omlouvám se, ale očividně jeden druhému nerozumíme.
Když píši, že příčina je stejná, tak tím myslím, že namísto dnsmasq, který je léty prověřený pro použití v domácích routerech, je v Turrisu buď Unbound, nebo Knot Resolver.
Oba jsou jistě skvělé a výkonné DNS servery pro páteřní a jiné velké sítě, ale pro domácí router se nehodí. Nikdo s jejich použitím pro takové prostředí nepočítal a tak nejsou připravené na jeho specifické (často technicky nepěkné) požadavky.
Jako například “hloupého” domácího uživatele, který chce aby mu router resolvoval hostname bez domény, nebo na to, že nebudou schopné se rozumně dobouchat na nadřazený DNS server, protože ještě hloupější a omezený ISP bude pod záminkou bezpečnosti dělat DNS hijacking.

Používat Knot Resolver nebo Unbound jako DNS cache na domácím routeru mi přijde jako používat hi-tech kamion na přepravu velkých nákladů, namísto starého malého náklaďáčku s vykládací rukou. Ten malý náklaďáček je sice možná rozhrkaná herka, moc rychle nejede a nevypadá vzhledně, ale na rozdíl od toho super hi-tech kamionu se všude vejde a dokonce si hydraulickou rukou složí nebo naloží náklad ve stísněném prostoru vesnických dvorků a staveb…


#25

No, osobně vidím ten společný problém hlavně v tom, že někteří ISP mají jinou představu o tom co je to internet (jako služba). Tedy že stačí když bude fungovat web a o rozbití jiných protokolů (jako DNS) není moc potřeba se starat. Ale pravda samozřejmě je, že to odpovídá způsobu použití internetu pro drtivou většinu lidí (pokud vím).


#26

Dobrý den,
měl bych jeden nápad:
Pokud máte k dispozici VPS, možná by stálo za to popřemýšlet o vytvoření nějakého VPN tunelu (Wireguard, SSH, OpenVPN) z Turrise, a DNS požadavky na portu 53 posílat skrze něj. Výhody jsou, že si to můžete udělat sám, ISP odstřihnete od informací na jaké stránky chodíte a možná to bude i fungovat. Nevýhoda je, že DNS resolving bude trvat déle (místo jednotek ms i desítky ms), vaše připojení bude závislé na funkčnosti VPS a vzájemném připojení a nebude to “standardní” zapojení, jak se s ním počítá.


#27

Pokud to by bylo cílem, tak spíše všechen provoz by měl jít přes takový tunel – speciálně i HTTPS, protože typicky stále máme nezašifrované doménové jméno v hlavičce každého navazovaného spojení. Keyword: (E)SNI.

Pokud jde jen o DNS, přijde mi principiálně lepší dělat přímo DNS-over-TLS nebo DNS-over-HTTPS (oba už standardizované), ale obecný tunel je taky možnost.


#28

Možná trochu mimo téma, ale ohledně kradení DNS, u některých ISP je to možná obrana proti porušení jeho povinnosti na blokaci např. hazardních her. Na stránkách MFČR https://www.mfcr.cz/cs/legislativa/metodiky/2017/metodicky-pokyn-k-plneni-povinnosti-ve-v-27269 existuje metodický pokyn https://www.mfcr.cz/assets/cs/media/Metodika_2017_Metodicky-pokyn-k-plneni-povinnosti-82-84-ZHH.pdf (str. 5 - 2.1), který je nejasný, jen definuje povinnost blokování. Dají se blokovat IP adresy, DNS požadavky,… mnoho ISP má blacklist pouze u svých DNS resolverů, ale někteří - aby si byli jistí naplněním požadavku - radši mohou filtrovat veškerý UDP53 provoz, pokud si zákazník nenastaví DNS od ISP. Je tedy otázkou, jak daleko chce ISP jít, teoreticky v extrému (a velice nákladně) může mít aplikační firewall, DPI/DFI, nutit zákazníky instalovat jeho certifikát kořenové autority a dekryptovat HTTPS,…
Doma používám v podstatě všechny výše zmíněné metody (čuňárny) pro ochranu / blokování (reklamy, malware, násilí, gambling,… antivir scan na GW,…).
Pro DNS používám placený VPN tunel a dotazuji se tedy nejen zabezpečeně, ale hlavně anonymně.
Veškerý DNS provoz kradu a přesměrovávám - ano, kradu(!) - kdokoliv doma si umí nastavit vlastní DNS nebo je spousta zařízení / aplikací, které se stejně ptají kam uznají za vhodné - jako google aplikace nebo android.
Tolik tedy k tomu, proč možná provider (rozhodně se nikoho nezastávám!) dělá co dělá, protože já to doma dělám také :wink:


#29

K (E)SNI je tuším potřeba openssl verze 1.1.1a
Ta v TurrisOS chybí, někde jsem i četl, že to zatím i není priorita.


#30

To není moc otázka na Turris. Potřeba je podpora na straně klientů (tedy hlavně prohlížečů) a serverů navštěvovaných stránek.


#31

Omlouvám se že reaguji až nyní, ale chvíli mě trvalo než jsem měl možnost nastavit DoT a proběhl reálný test.
Výsledkem je že DNS over TLS plně funguje, jakoukoliv chybu v DNS jsem nezaznamenal. A jako bonus jsem získal zabezpečení DNSSEC, to že mi ISP neodchytává a vlastně ani nevidí můj DNS provoz (nemůže blokovat některé služby / servery na úrovni DNS) :laughing: .

Jako DNS servery jsem použil CZ.NIC ODVR, vyzkoušel jsem však i Google a Cloudflare - všechny bez jakéhokoliv problému nebo postřehnutelného zpomalení překladu DNS.

@Pepe DoT vše vyřešilo, vše je stabilní a otestované na dlouhodobém reálném provozu :+1: