Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Wi-CAT LLC
Навигация Форума
Вы должны войти, чтобы создавать сообщения и темы.

(решено) L2TP VPN смена DNS

Хочу сменить провайдерские днс билайна например на гугловские или любые другие. Настройки свои я прикрепил ниже.

Изначально я наивно полагал, что если выключу peer dns в настройке впн и включу assign static dns в настройке wan, то у меня все заработает, но впн не соединяется при таком раскладе. Подскажите как сменить днс, интересует смена именно в роутере.

 

Загруженные файлы:
  • Вам нужно войти, чтобы просматривать прикрепленные файлы..

Билайн не анонсирует адреса vpn серверов  в паблик, отсюда Ж.

Вариант один - отключить dnsproxy и отдавать клиентам адреса других DNS в dhcp.

Точнее 2. Второй - послать билайна в пешее эротическое путешествие. Городить ещё большие городушки под них не вижу смысла.

Есть и 3й вариант - описать адреса их vpn серверов в появившемся в последней версии разделе управления dns. Тогда можно будет менять в общем-то как угодно. Правда не уверен что костыль с роутами для корбилайна после этого выживет. Хотя не вижу причин что бы не отработало.

Но как по мне оператор с доступом по L2TP в 2019г должен взять пример с золушки и превратиться в тыкву. Чего я им и желаю.

Можно подробнее про третий вариант?

Ну а куда подбробнее? Выяснить используя nslookup все адреса vpn серверов корбилайна используя их внутренние dns получаемые по dhcp. Забить эти пары в DNS Services -> Local DNS Entries после чего можно отрубить peerdns и задать статику DNS в настройках wan любые сторонние DNS.

Вобщем остановился на первом варианте да и все, а смысл есть выключать peer dns если я днспрокси вырубил и поставил свои днс в dhcp?

Да, нет смысла. Из минусов - прощай фильтр рекламы.

Как бы можно и с таким извратом разрулить всё на уровне конфига dnsmasq. Там есть возможность в заивисимости от имён узлов юзать для разрешения те или иные DNS. Но это гемор на ровном месте. Вариант 3  в этом смысле проще.

Да там айпишников просто тьма, я думал сначала все нашел, потом переподключился там уже опять другие целой пачкой.

Да прям, там их было штуки 4ре. Они от региона к региону меняются. Можно тупо посмотреть в логе по каким ip чаще всего соединяется и забить их. Всяко не падают же у них сервера все разом, ну или все кроме одного. Штуки 3 забили и хватит.

Сделал плюшку (потребовалось для dnssec т.к. провайдерские DNS обычно не поддерживаются dnssec, но нужны для работы локальных туннелей). Так же подходит для решения вашей проблемы.

Суть в следующем, задаём в переменной dns_diffsrv список dns которые dnsmasq будет использовать как апстримные для обслуживания пользовательских запросов (nvram_set  dns_diffsrv "8.8.8.8 8.8.4.4") и перезапускаем dnsserver или ребутимся.

При этом dnsmasq больше не будет просматривать локальный resolv.conf и использовать dns из него, будет использованы только заданные в переменной. Т.е. это влияет только на разрешение имён на стороне пользователя. Тем самым сохраняется вся функциональность в т.ч. фильтрация.

Так же можно заюзать DNSSEC - nvram_set dns_sec 1

Тестовая сборка во вложении. Проверите - удалю бинарь.

Все проверил, работает как надо и днс через переменную и днссек и фильтрация,  как если что это выключить nvram_set  "" без значений?

dns_sec выставить в 0 (например sf.net корёжит при работающем dnssec т.к. там половина js тянется с доменов проваливающих валидацию), а список свой убрать да nvram_set  dns_diffsrv ""

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: