Nefunkční DNS - ISP přesměrovává UDP/53 na vlastní DNS

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od romcan

Dne 2014-04-29 13:33

Dobrý den,

bohužel můj poskytovatel přesměrovává veškerou UDP komunikaci na portu 53 na svoje DNS, se kterým si Turris nerozumí. Zkoušel jsem zapínat, vypínat forwardování i nastavení DNS změnit ručně na 8.8.8.8, ale DNS na Turrisu né a né rozchodit. Pokud na klientských stanicích nastavím DNS ručně, tak dotazy chodí v pořádku.

Mám veřejnou IP přes NAT 1:1, ISP má přesměrování DNS nastaveno globálně a dle jeho vyjádření mi momentálně není schopen udělat vyjímku.

Máte nějaký nápad na řešení, nebo se můžu akorád s Turrisem vyfotit a odnést ho na poštu? :-)

Od Michal Vaner (>>)

Dne 2014-04-29 14:16

Dobrý den

Ještě mě napadají tři možnosti. Donutit ISP upgradovat DNS server, vyměnit ISP a protunelovat DNS přes nějakou VPN ven přes toho providera, aby na to nesahal.

Od Ondřej Caletka (>>>)

Dne 2014-04-30 09:53

Ani upgrade nemusí být úplné vítězství, současné verze BINDu, které jsou označené jako stabilní, mají stále problém s přeposíláním dat pro validaci wildcard záznamů.

Řešením může být pořídit si nejlevnější VPS, na něm spustit unbound na jiném UDP portu než 53 a na něj forwardovat provoz z Turrise. Je ale potřeba omezit povolené adresy pro UDP dotazy pouze na adresu vašeho Turrise, jinak ten VPS bude zneužitelný pro zesilující DDoS útoky.

Další možnost, ke zvážení zejména pro CZ.NIC: Možná by nebylo od věci zprovoznit takovou službu „DNS poslední záchrany“ v rámci ODVR. Unbound poskytuje poměrně zajímavé možnosti tunelování, které jsou i bezpečné z hlediska DDoS, jako například TCP upstream na port 80, nebo SSL upstream na port 443. Několikrát jsem to zkoušel a zas tak nepoužitelně pomalé to nebylo a bylo by to tedy rozhodně lepší než nic.

V každém případě jediné řešení je tlak na ISP. Když vám přesměrovává provoz na jednom portu, je to jen krůček k tomu aby vám přesměrovával ostatní provoz případně samovolně rozhodoval, co je pro vás nejlepší.

Od romcan

Dne 2014-05-04 14:06

Děkuji Vám za nakopnutí.

Také nesouhlasím s tím, aby ISP jakkoli zasahovali do provozu. Ale v mé lokalitě tento provider poskytuje jako jediný symetrickou linku (50/50), takže si moc vybírat nemůžu. ISP upgradoval své DNS servery, ale turris si s nimi stále moc nerozuměl.

Nakonec jsem turrise updatoval na jiné síti, nastavil jsem 6in4 tunel od Huricane Electric a jako resolvery nastavil DNS on nic.cz a dotazy posílám po IPv6. Nyní vše funguje jak má. I forwarding.