Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Veřejnost / Všeobecná diskuse / Nefunkční DNS - ISP přesměrovává UDP/53 na vlastní DNS
- - Od romcan Dne 2014-04-29 13:33
Dobrý den,

bohužel můj poskytovatel přesměrovává veškerou UDP komunikaci na portu 53 na svoje DNS, se kterým si Turris nerozumí. Zkoušel jsem zapínat, vypínat forwardování i nastavení DNS změnit ručně na 8.8.8.8, ale DNS na Turrisu né a né rozchodit. Pokud na klientských stanicích nastavím DNS ručně, tak dotazy chodí v pořádku.

Mám veřejnou IP přes NAT 1:1, ISP má přesměrování DNS nastaveno globálně a dle jeho vyjádření mi momentálně není schopen udělat vyjímku.

Máte nějaký nápad na řešení, nebo se můžu akorád s Turrisem vyfotit a odnést ho na poštu? :-)
Nadřazený - - Od Michal Vaner (>>) Dne 2014-04-29 14:16
Dobrý den

Ještě mě napadají tři možnosti. Donutit ISP upgradovat DNS server, vyměnit ISP a protunelovat DNS přes nějakou VPN ven přes toho providera, aby na to nesahal.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2014-04-30 09:53
Ani upgrade nemusí být úplné vítězství, současné verze BINDu, které jsou označené jako stabilní, mají stále problém s přeposíláním dat pro validaci wildcard záznamů.

Řešením může být pořídit si nejlevnější VPS, na něm spustit unbound na jiném UDP portu než 53 a na něj forwardovat provoz z Turrise. Je ale potřeba omezit povolené adresy pro UDP dotazy pouze na adresu vašeho Turrise, jinak ten VPS bude zneužitelný pro zesilující DDoS útoky.

Další možnost, ke zvážení zejména pro CZ.NIC: Možná by nebylo od věci zprovoznit takovou službu „DNS poslední záchrany“ v rámci ODVR. Unbound poskytuje poměrně zajímavé možnosti tunelování, které jsou i bezpečné z hlediska DDoS, jako například TCP upstream na port 80, nebo SSL upstream na port 443. Několikrát jsem to zkoušel a zas tak nepoužitelně pomalé to nebylo a bylo by to tedy rozhodně lepší než nic.

V každém případě jediné řešení je tlak na ISP. Když vám přesměrovává provoz na jednom portu, je to jen krůček k tomu aby vám přesměrovával ostatní provoz případně samovolně rozhodoval, co je pro vás nejlepší.
- Od romcan Dne 2014-05-04 14:06
Děkuji Vám za nakopnutí.

Také nesouhlasím s tím, aby ISP jakkoli zasahovali do provozu. Ale v mé lokalitě tento provider poskytuje jako jediný symetrickou linku (50/50), takže si moc vybírat nemůžu. ISP upgradoval své DNS servery, ale turris si s nimi stále moc nerozuměl.

Nakonec jsem turrise updatoval na jiné síti, nastavil jsem 6in4 tunel od Huricane Electric a jako resolvery nastavil DNS on nic.cz a dotazy posílám po IPv6. Nyní vše funguje jak má. I forwarding.
Nahoru Téma Veřejnost / Všeobecná diskuse / Nefunkční DNS - ISP přesměrovává UDP/53 na vlastní DNS

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill