Dzisiaj jest 20 lip 2019, 13:29

Strefa czasowa UTC+1godz. [letni]




Nowy temat Odpowiedz w temacie  [ Posty: 26 ]  Przejdź na stronę Poprzednia  1, 2
Autor Wiadomość
 Tytuł: Re: Pi-Hole a OpenWrt - przekierowanie serwera DNS
Post: 31 mar 2019, 15:23 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 13399
Lokalizacja: Warszawa
Coś źle skonfigurowałeś.

router z połączeniem do internetu, standardowa konfiguracja. Na wanie modem z publicznym adresem IP.
# ifconfig 3g-wan
3g-wan    Link encap:Point-to-Point Protocol 
          inet addr:79.162.6.189  P-t-P:10.64.64.64  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2845 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2314 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:2099065 (2.0 MiB)  TX bytes:244844 (239.1 KiB)



W firewalu to:
root@MiFi:~# uci show firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].network='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].network='wan' 'wan6'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].src_ip='fc00::/6'
firewall.@rule[3].dest_ip='fc00::/6'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@rule[7]=rule
firewall.@rule[7].name='Allow-IPSec-ESP'
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].name='Allow-ISAKMP'
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@redirect[0]=redirect
firewall.@redirect[0].src='wan'
firewall.@redirect[0].proto='tcpudp'
firewall.@redirect[0].src_dport='53'
firewall.@redirect[0].dest_port='53'
firewall.@redirect[0].dest_ip='192.168.11.210'

Do lanu routera podłączony drugi router portem wan, na którym jest dnsmasq z blokadą domen. Na wanie otworzony port 53. Czy działa? Zapytanie z klienta podłączonego do jeszcze innej sieci:
$  dig @79.162.6.189 onet.pl

; <<>> DiG 9.11.3-1ubuntu1.5-Ubuntu <<>> @79.162.6.189 onet.pl
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38834
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;onet.pl.         IN   A

;; ANSWER SECTION:
onet.pl.      27   IN   A   213.180.141.140

;; Query time: 111 msec
;; SERVER: 79.162.6.189#53(79.162.6.189)
;; WHEN: Sun Mar 31 15:16:33 CEST 2019
;; MSG SIZE  rcvd: 52

Więc działa. Nawet w logach tego z dnsmasq odkłada się info o zapytanie. Nmap też działa z poziomu klienta:
$ nmap -v -A 79.162.6.189 -p 53

Starting Nmap 7.60 ( https://nmap.org ) at 2019-03-31 15:17 CEST
NSE: Loaded 146 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 15:17
Completed NSE at 15:17, 0.00s elapsed
Initiating NSE at 15:17
Completed NSE at 15:17, 0.00s elapsed
Initiating Ping Scan at 15:17
Scanning 79.162.6.189 [2 ports]
Completed Ping Scan at 15:17, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 15:17
Completed Parallel DNS resolution of 1 host. at 15:17, 0.04s elapsed
Initiating Connect Scan at 15:17
Scanning public-gprs99515.centertel.pl (79.162.6.189) [1 port]
Discovered open port 53/tcp on 79.162.6.189
Completed Connect Scan at 15:17, 0.00s elapsed (1 total ports)
Initiating Service scan at 15:17
Scanning 1 service on public-gprs99515.centertel.pl (79.162.6.189)
Completed Service scan at 15:17, 6.03s elapsed (1 service on 1 host)
NSE: Script scanning 79.162.6.189.
Initiating NSE at 15:17
Completed NSE at 15:17, 8.29s elapsed
Initiating NSE at 15:17
Completed NSE at 15:17, 0.00s elapsed
Nmap scan report for public-gprs99515.centertel.pl (79.162.6.189)
Host is up (0.0017s latency).

PORT   STATE SERVICE VERSION
53/tcp open  domain
| dns-nsid:
|   NSID: no id (6e6f206964)
|_  id.server: no id

NSE: Script Post-scanning.
Initiating NSE at 15:17
Completed NSE at 15:17, 0.00s elapsed
Initiating NSE at 15:17
Completed NSE at 15:17, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.10 seconds

Więc - masz coś źle. Oba routery na openwrt 18.06 (moje mifi dokładnie), konfiguracja w/w. Działa z zewnątrz przekierowanie na dns który jest w środku sieci.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Pi-Hole a OpenWrt - przekierowanie serwera DNS
Post: 31 mar 2019, 15:33 
Offline
Użytkownik

Rejestracja: 3 lis 2012, 17:16
Posty: 40
Czy jest możliwe, że dostawca internetu blokuje zapytania DNS od zewnątrz? Na pewno blokuje porty 22, 21, 80 - dlaczego, wiem tylko ja. Tylko od niego się niczego nie dowiem. Generalnie wątek nadaje się do rzecznika praw konsumenta, ale mniejsza z tym...

Sam port 53 jest otwarty, postawiłem aplikację p2p i wszystko działa jak należy. Z komputera w pracy mogę się podłączyć i pobierać pliki przez UDP i TCP.

Jeszcze mogę ewentualnie router zresetować i wgrać przy okazji nowszy soft.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Pi-Hole a OpenWrt - przekierowanie serwera DNS
Post: 31 mar 2019, 15:36 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 13399
Lokalizacja: Warszawa
Jak inne rzeczy działają na 53 to nie, nie blokuje tego.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Pi-Hole a OpenWrt - przekierowanie serwera DNS
Post: 31 mar 2019, 17:21 
Offline
Użytkownik

Rejestracja: 3 lis 2012, 17:16
Posty: 40
Niestety tak jak sądziłem, admin filtruje zapytania DNS na porcie 53. Gdy postawiłem pihole na porcie 8053 to działa wyśmienicie z zewnątrz. Niestety, w Windowsie ani w telewizorze nie ustawię DNS na customowym porcie

Sprawdziłem również komputer podłączony bezpośrednio do internetu z czystym debianiem - obawy się potwierdziły.

Jeszcze chwilę postoi, więc można sprawdzić.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Pi-Hole a OpenWrt - przekierowanie serwera DNS
Post: 31 mar 2019, 17:27 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 13399
Lokalizacja: Warszawa
To jak ci inne rzeczy działały na porcie 53?

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Pi-Hole a OpenWrt - przekierowanie serwera DNS
Post: 31 mar 2019, 17:30 
Offline
Użytkownik

Rejestracja: 3 lis 2012, 17:16
Posty: 40
Nie wiem, ale działają.

Logiki od mojego dostawcy bym się nie spodziewał.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 26 ]  Przejdź na stronę Poprzednia  1, 2

Strefa czasowa UTC+1godz. [letni]


Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 27 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów

Szukaj:
Przejdź do:  
designed by digi-led.pl
...Copyright © 2010-2013, Ekipa openrouter.info