Как перенаправить DNS-запросы через OpenVPN?

Question

[ESP]

Захотелось немного побаловаться с одним бесплатным VPN-ом.
Вооружился дистрибутивом OpenVPN. Установился без накладок. Появился TAP-интерфейс.

В route -print появились соответствующие пути с приоритетами на VPN-интерфейс.

192.168.1.1 - роутер с dhcp (раздает ip и гугло-dns.
192.168.1.33 - клиент
10.15.0.81 - dhcp в vpn-сети
10.15.0.82 - vpn-интерфейс

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.33     40
          0.0.0.0        128.0.0.0       10.15.0.81       10.15.0.82      1
     5.254.100.70  255.255.255.255      192.168.1.1     192.168.1.33     20
        10.15.0.1  255.255.255.255       10.15.0.81       10.15.0.82      1
       10.15.0.80  255.255.255.252         On-link        10.15.0.82    257
       10.15.0.82  255.255.255.255         On-link        10.15.0.82    257
       10.15.0.83  255.255.255.255         On-link        10.15.0.82    257
         25.0.0.0        255.0.0.0         On-link       25.182.81.1   9256
      25.182.81.1  255.255.255.255         On-link       25.182.81.1   9256
   25.255.255.255  255.255.255.255         On-link       25.182.81.1   9256
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0       10.15.0.81       10.15.0.82      1
      192.168.1.0    255.255.255.0         On-link      192.168.1.33    276
     192.168.1.33  255.255.255.255         On-link      192.168.1.33    276
    192.168.1.255  255.255.255.255         On-link      192.168.1.33    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.33    276
        224.0.0.0        240.0.0.0         On-link       25.182.81.1   9256
        224.0.0.0        240.0.0.0         On-link        10.15.0.82    257
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.33    276
  255.255.255.255  255.255.255.255         On-link       25.182.81.1   9256
  255.255.255.255  255.255.255.255         On-link        10.15.0.82    257

Подключается успешно.
Wireshark показывает что весь обмен протекает через VPN-сервер.
А вот что не отправляется на VPN-сервер, так это DNS-запросы. Они почему-то шлются через роутер (единственный трафик во внешний мир который бежит в обход VPN).

Пробовал в настройках VPN-задать в ручную DNS-сервер. Все одно и то же.
Шерстил гугло-запросами официальную документацию, но так ничего внятного и не нашел.

Может ли быть причина в том что это VPN-сервис блокирует трафик по 53 порту и потому не получив доступа, система обращается к следующему доступному пути - тоесть на прямую через роутер и провайдера? Можно ли это как-то проверить?

Answer 1

[ESP]

Удалось самостоятельно устранить дыру с DNS-запросами при помощи костыля из DNSCrypt.

В настройках TAP-интерфейса прописываю статический DNS-шлюз 127.0.0.1;
Подключаюсь через OpenVPN без предварительной правки route-ов (в них все по дефолту);
В след за чем запускаю exe-шник DNSCrypt;

В итоге все пингуется и открывается. В логах wireshark'a тишина. Один лишь шифрованный трафик бегает.

Comments

[Maxim_Q]

За все это время других вариантов решения проблемы не нашли кроме костылей из DNSCrypt'a?

Answer 2

[Иван]

Проверить блокируется ли порт можно телнетом на 53 порт.
Собственно удали из DHCP-роутера настройки DNS и посмотри что будет. В принципе можно вообще route-ом зарулить весь трафик в VPN.

Comments

[ESP]

> Собственно удали из DHCP-роутера настройки DNS и посмотри что будет.
Пробовал. В таком случае dns-имена не преобразовываются.

> В принципе можно вообще route-ом зарулить весь трафик в VPN.
Попробовал сделать так.
Подключился к впн, и из маршрутов удалил 0.0.0.0 что идет на шлюз.

Было:

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.33     40
          0.0.0.0        128.0.0.0       10.15.0.81       10.15.0.82      1
     5.254.100.70  255.255.255.255      192.168.1.1     192.168.1.33     20

Стало:

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0        128.0.0.0       10.15.0.81       10.15.0.82      1
     5.254.100.70  255.255.255.255      192.168.1.1     192.168.1.33     20

Коннект сохранился но dns-запросы все равно текли через роутер.
Методом тыка выяснил, что если удалить маршрут для 5.254.100.70 то сразу отваливается разрешение имен.

Попробовал принудительно этот 5.254.100.70 зарулить на VPN:

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0        128.0.0.0       10.15.0.81       10.15.0.82      1
     5.254.100.70  255.255.255.255       10.15.0.81       10.15.0.82     20

Но ничего не работает. Ни пинги ни разрешение имен (превышен интервал ожидания запроса).

Может и правда через данный конкретный VPN нельзя пустить DNS-траффик? Либо я все же что-то упустил...

[ESP]

Опробовал инструкцию (ручной способ) https://dnsleaktest.com/how-to-fix-a-dns-leak.html Но после выполнения

netsh interface IPv4 set dnsserver "Local Area Connection" static 0.0.0.0 both

Разрешение имен вновь отваливается :) и ничего не фурычит