Как отбиться от подмены ДНС провайдером?

Question

[bender2]

Всем привет! Прошу сильно не пинать чайника.

Ситуация: банальная. Пров подменяет днс. Похоже, что ему так проще, т.к. блокировка запретных сайтов реализована исключительно этим образом. Мне в целом пофиг, но из-за этой ерунды не могу пользоваться адгуард днс, к примеру. Пропускает рекламу спокойно. Есть внешний овпн-сервер.

Что сделал:

1. Отключил Peer dns.
2. Через микротик выдаю клиентам днс адгварда (например).
3. Добавил маршруты до днс через впн.
4. Всё работает. Подмены вроде нет.

Что не работает:

В сети несколько устройств с которыми удобно работать через статик-днс по именам. Ну и кешировать тоже хотелось бы, т.к. впн далеко.
Как только включаю аллоу ремоте и раздаю клиентам адрес роутера в качестве днса - всё по старому.

Мои предположения: Трафик от клиентов до днс идёт шифрованным через впн. При включении собственного днс на микротике, последний обращается к днс напрямую.

Вопрос: Что делать?
Заранее премного благодарен всем не прошедшим мимо!

Comments

[sim3x]

Настроить днс на микротике так, чтоб он брал днс от гугла, амазона, клаудфлейра
+ днс-сек

[bender2]

sim3x, Настроено. Подменяется подмена (возможно рук) происходит между микротиком и нс сервером. Буду признателен за ссылку, где почитать про днс-сек(с) с микротиком....

[sim3x]

bender2,
Я не пользуюсь решениями от микротика

Вот что гугл подсказал https://forum.mikrotik.com/viewtopic.php?t=132696

[Wexter]

на микротике надеюсь прописаны только сервера адгард?

[bender2]

Wexter, Да.

[Viktor]

Поднять VPN на микротике до зарубежного хостера.
в Микротиик вписать DNS с виртуалки
Клиентам ( сидящим на прямую ) раздавать адреса с Микротика
Клиентам сидящим удаленно настроить шифрованное DNS (dnscrypt) в обход микротика

Answer 1

[rionnagel]

Сделать перехват и подмену 53 udp елементарно. В микротике вроде не реализовано ничего вроде dns over ssl или dnscrypt из коробки для защиты от этого. Но с помощью нехитрых манипуляций фаервола можно перенаправить на себя dns сервер, который висит на другом порту например.

Comments

[bender2]

Так и сделано.

[rionnagel]

bender2, надо, чтобы сам микротик брал днсы не по 53 udp.

[bender2]

rionnagel, Буду признателен за подробности. Мой уровень не дотягивает.

Answer 2

[Diman89]

1) сделать перехват пользовательских DNS, чтобы не зависеть от пользовательских настроек
2) в ip dns на микротике поставить адгуард днс, или что вам надо
3) промаркировать DNS трафик в mangle
4) промаркированный трафик пустить в VPN-туннель

Comments

[bender2]

Так и сделано. Всё работает. Проблема начинается, если включить кеширующий днс на микротике. Как будто от самого себя он трафик не шифрует.

PS: Кэш разумеется чистил и на клиенте и на микротике.

[Diman89]

bender2, что это за зверь, "кэширующий днс на микротике"?

[Diman89]

bender2, если вы считаете, что микрот от самого себя трафик не шифрует - проверьте маркировку трафика. возможно, нужно дополнить ее правилом с chain=output или postrouting

[bender2]

Diman89, делал так:

/ip firewall mangle
add chain=output protocol=udp dst-port=53 action=mark-routing new-routing-mark=dns
/ip route
add gateway=VPN_TUNNEL routing-mark=dns

[Diman89]

bender2, как минимум, DNS это не только UDP

Answer 3

[20ivs]

возможно вам покажется мой ответ примитивным и прочее, но Layer7 и маркировка пакетов от этого спасают.
не решение, но хороший пример откуда плясать

Answer 4

[Сергей]

Поднять у себя внутренний сервер DNS с DNSSEC. Аля Pi-hole.

Comments

[bender2]

Лучшая идея, но нет желания городить лишние железки.

[Сергей]

bender2, достаточно одной raspberry pi для этого.
Где то читал что pi-hole можно в микротике запустить через виртуалку. Но сам не пробовал.

Answer 5

[fdroid]

Развернул DNSCrypt в виртуалке в докере на сервере внутри сети специально для этой цели. В качестве DNS-серверов в настройках DHCP-серверов и в настройках сетевых интерфейсов статических клиентов указан IP виртуалки с DNSCrypt. Наверное, это слегка оверкилл, но, во-первых, развернуть есть где, во-вторых, потому что могу) А по сути, действительно какой-нибудь малинки хватит с DNSCrypt или чем-то другим. Но я альтернативы не изучал, просто потому что используемый мной метод устраивает полностью.

Answer 6

[Andrei]

На MikroTik в ip/dns прописать AdGuard DNS. Динамических DNS быть не должно.
Поставить галку Allow Remote Requests. Клиентам в сеть через DHCP отдавать в качестве DNS-сервера адрес MikroTik. Убедиться в том, что они получили то, что надо.
В ip/routes на MikroTik создать маршруты на адреса AdGuard DNS через туннель.
На VPN-сервере настроить src-nat для соединений из туннеля, чтобы доходили ответы.
Вычистить DNS-cache везде на всякий случай.