Как отбиться от подмены ДНС провайдером?

Всем привет! Прошу сильно не пинать чайника.

Ситуация: банальная. Пров подменяет днс. Похоже, что ему так проще, т.к. блокировка запретных сайтов реализована исключительно этим образом. Мне в целом пофиг, но из-за этой ерунды не могу пользоваться адгуард днс, к примеру. Пропускает рекламу спокойно. Есть внешний овпн-сервер.

Что сделал:

1. Отключил Peer dns.
2. Через микротик выдаю клиентам днс адгварда (например).
3. Добавил маршруты до днс через впн.
4. Всё работает. Подмены вроде нет.

Что не работает:

В сети несколько устройств с которыми удобно работать через статик-днс по именам. Ну и кешировать тоже хотелось бы, т.к. впн далеко.
Как только включаю аллоу ремоте и раздаю клиентам адрес роутера в качестве днса - всё по старому.

Мои предположения: Трафик от клиентов до днс идёт шифрованным через впн. При включении собственного днс на микротике, последний обращается к днс напрямую.

Вопрос: Что делать?
Заранее премного благодарен всем не прошедшим мимо!
  • Вопрос задан
  • 1967 просмотров
Пригласить эксперта
Ответы на вопрос 6
@rionnagel
ковырятель
Сделать перехват и подмену 53 udp елементарно. В микротике вроде не реализовано ничего вроде dns over ssl или dnscrypt из коробки для защиты от этого. Но с помощью нехитрых манипуляций фаервола можно перенаправить на себя dns сервер, который висит на другом порту например.
Ответ написан
Diman89
@Diman89
1) сделать перехват пользовательских DNS, чтобы не зависеть от пользовательских настроек
2) в ip dns на микротике поставить адгуард днс, или что вам надо
3) промаркировать DNS трафик в mangle
4) промаркированный трафик пустить в VPN-туннель
Ответ написан
@20ivs
Пользователь пока ничего не рассказал о себе.
возможно вам покажется мой ответ примитивным и прочее, но Layer7 и маркировка пакетов от этого спасают.
не решение, но хороший пример откуда плясать
Ответ написан
@SuNbka
Я устал ничего не понимать.
Поднять у себя внутренний сервер DNS с DNSSEC. Аля Pi-hole.
Ответ написан
fdroid
@fdroid
press any key
Развернул DNSCrypt в виртуалке в докере на сервере внутри сети специально для этой цели. В качестве DNS-серверов в настройках DHCP-серверов и в настройках сетевых интерфейсов статических клиентов указан IP виртуалки с DNSCrypt. Наверное, это слегка оверкилл, но, во-первых, развернуть есть где, во-вторых, потому что могу) А по сути, действительно какой-нибудь малинки хватит с DNSCrypt или чем-то другим. Но я альтернативы не изучал, просто потому что используемый мной метод устраивает полностью.
Ответ написан
@Blaze355
На MikroTik в ip/dns прописать AdGuard DNS. Динамических DNS быть не должно.
Поставить галку Allow Remote Requests. Клиентам в сеть через DHCP отдавать в качестве DNS-сервера адрес MikroTik. Убедиться в том, что они получили то, что надо.
В ip/routes на MikroTik создать маршруты на адреса AdGuard DNS через туннель.
На VPN-сервере настроить src-nat для соединений из туннеля, чтобы доходили ответы.
Вычистить DNS-cache везде на всякий случай.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
05 июн. 2020, в 14:13
2000 руб./за проект
05 июн. 2020, в 14:10
1500 руб./за проект
05 июн. 2020, в 14:06
4500 руб./за проект