Страница 1 из 1
DNS запросы через VPN
Добавлено: 23 фев 2018, 18:33
mocr
Приветствую, с микротиками только познакомился, пока глаза разбегаются в настройках.
Замучал меня провайдер подменяя DNS запросы, блокировка ресурсов не так страшна, больше раздражает подпихивание время от временеи рекламы и акций всяких, типа "иптв заполцены!". Ну суть не в этом, захотелось мне DNS обезопасить, чтоб и на персональных и на мобильных и др.устройствах работало без настройки. Вначале подумал про DNSCrypt, но не поддержиает его микротик, поэтому решил заворачивать DNS запросы в vpn (весь трафик заворачивать не нужно). Пока намереваюсь сделать так - поднять впн соединение (SSTP, PPTP или L2TP), не заворачивая на него весь трафик, перехватывать весь трафик на 53 порту и отправлять его на микротик, а микротику в DNS указать локальный удаленный ип впн сервера (на котором dnsmasq к примеру), ну или сразу трафик заворачивать на удаленный локальный ип впн сервера.
Подскажите, может быть это уже предусмотрено и есть другие неочевидные для меня варинаты настройки, так же буду рад примерам, чтобы полегче настраивать было.
Re: DNS запросы через VPN
Добавлено: 23 фев 2018, 18:42
enzain
mocr писал(а): ↑23 фев 2018, 18:33
Приветствую, с микротиками только познакомился, пока глаза разбегаются в настройках.
Замучал меня провайдер подменяя DNS запросы, блокировка ресурсов не так страшна, больше раздражает подпихивание время от временеи рекламы и акций всяких, типа "иптв заполцены!". Ну суть не в этом, захотелось мне DNS обезопасить, чтоб и на персональных и на мобильных и др.устройствах работало без настройки. Вначале подумал про DNSCrypt, но не поддержиает его микротик, поэтому решил заворачивать DNS запросы в vpn (весь трафик заворачивать не нужно). Пока намереваюсь сделать так - поднять впн соединение (SSTP, PPTP или L2TP), не заворачивая на него весь трафик, перехватывать весь трафик на 53 порту и отправлять его на микротик, а микротику в DNS указать локальный удаленный ип впн сервера (на котором dnsmasq к примеру), ну или сразу трафик заворачивать на удаленный локальный ип впн сервера.
Подскажите, может быть это уже предусмотрено и есть другие неочевидные для меня варинаты настройки, так же буду рад примерам, чтобы полегче настраивать было.
Так зачем отлавливать? Вы эезнаете какие днс выдаете на машины.
Маршруты до этих серверов пропишите через впн и все дела
А провайдеру можно написать претензию. Их обязывают доступ закрывать. ДНС это не доступ, по крайней мере у меня прокатило - перестали перехватывать
Re: DNS запросы через VPN
Добавлено: 23 фев 2018, 18:48
mocr
некоторые устройства обращаются только к своим зашитым днсам, на некоторых вручную специально забиты днсы, гугловские или яндексовские или опенднс и я их поменять не могу (друзья например приходят со своим устройствами, которые только через эти днсы ходить настроены), в общем хотелось бы охватить сразу все, поэтому и хочу редиректить.
Re: DNS запросы через VPN
Добавлено: 23 фев 2018, 18:55
enzain
mocr писал(а): ↑23 фев 2018, 18:48
некоторые устройства обращаются только к своим зашитым днсам, на некоторых вручную специально забиты днсы, гугловские или яндексовские или опенднс и я их поменять не могу (друзья например приходят со своим устройствами, которые только через эти днсы ходить настроены), в общем хотелось бы охватить сразу все, поэтому и хочу редиректить.
Ну перехватывать не сложно.
В принципе можно все запросы на 53 порт отправлять черех впн ,.. страшного не будет, и достаточно просто сделать
Re: DNS запросы через VPN
Добавлено: 23 фев 2018, 21:55
mocr
Начал настраивать, sstp клиент, галку Add Default Route не поставил, подключается без проблем, получает ip правильный (Local Address 10.10.х.х), через SSTP интерфейс пингую удаленный сервер по локальному ip без проблем, вот только в настройках SSTP интерфейса стоит "Remote Address 1.0.0.1" и добавляется маршрут 1.0.0.1/32, который я не могу удалить, подскажите что я сделал не так?
Re: DNS запросы через VPN
Добавлено: 23 фев 2018, 21:58
enzain
mocr писал(а): ↑23 фев 2018, 21:55
Начал настраивать, sstp клиент, галку Add Default Route не поставил, подключается без проблем, получает ip правильный (Local Address 10.10.х.х), через SSTP интерфейс пингую удаленный сервер по локальному ip без проблем, вот только в настройках SSTP интерфейса стоит "Remote Address 1.0.0.1" и добавляется маршрут 1.0.0.1/32, который я не могу удалить, подскажите что я сделал не так?
Да все так в общем то, ремот адрес значит поставили вот такой у вас .. или вы сами его и ставили?
Вообще все равно на самом деле - sstp сам интерфейс можно указывать как шлюз и не париться адресами... может их вообще не быть ..
Re: DNS запросы через VPN
Добавлено: 23 фев 2018, 22:14
mocr
Не ставил, само поставилось и маршрут тоже сам, ладно, буду дальше настраивать пробовать, просто смутило.
Re: DNS запросы через VPN
Добавлено: 23 фев 2018, 23:13
mocr
спасибо за советы, удивительно, но все получилось с первого раза
, отпишусь как делал, вдруг кому пригодится:
Есть удаленный сервер с sstp и настроеным днс (ip 10.10.x.254)
1) настроил sstp клиент на mikrotik, без Add Default Route.
2) добавил маршрут - 10.10.x.x/32 отправляем на sstp-интерфейс.
3) на mikrotik поставил только 1 DNS 10.10.x.254, поставил галку Allow Remote Requests. На клиентах вручную или через DHCP можно раздавать любые DNS.
4) (только для подключения с сертификатами) добавил статическую DNS запись sstp сервера, т.к. в сертификате FQDN, а до подключения DNS не доступен.
5) заворачиваем все днс запросы
add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=tcp dst-port=53
add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=udp dst-port=53
где 192.168.88.1 локальный ип mikrotik.
Получаем что если sstp подключено - все DNS запросы идут через VPN, если sstp выключен имена не резолвятся (если не кэшированы), мне в принципе это и надо было.
Если вдруг заметите где то ошибку или можно сделать лучше, буду рад если поправите.