Да, получается, что параметры dnsmasq которые nextDNS передает в автоматической настройке: --add-mac --add-subnet=32,128 без кеша. Попробую разобраться и в ручную сконфигуровать dnsmasq. Спасибо!
Да, это самостоятельный резолвер, опция setup-router настраивает dnsmasq на форвардинг к нему.
Установил кеш в dnsmasq вместо nextdns, командой dig google.com повторяю запросы, в ответе query time не меняется и больше 70 мс, т.е. кеш отключен. Полагаю dnsmasq не кеширует запросы форвардеру.
Тоже пытаюсь настроить Zerotier как vpn в режиме моста.
На OpenWrt роутере zt-девайс добавлен в lan-br интерфейс. Фаервол lan, wan по умолчанию.
На VPS настроен SNAT/DNAT, в сети Zerotier прописан маршрут к VPS, как для Full Tunnel. Соответственно в режиме Full Tunnel zt-клиенты ходят в интернет через VPS, видят все lan-хосты и наоборот, но pbr-zt маршруты не работают.
Не подскажите, что может быть не так?
table inet fw4 {
set pbr_zt_4_dst_ip_cfg066ff5 {
type ipv4_addr
flags interval
counter
auto-merge
comment "ifconfig.me"
elements = { 34.117.118.44 counter packets 1 bytes 60 }
}
}
ip route list table pbr_zt
default via 192.168.56.184 dev ztw4lea2bk (192.168.56.184 - адрес ztw4lea2bk)
curl ifconfig.me
curl: (7) Failed to connect to ifconfig.me port 80: Connection refused
Можно подробней про косяк номер пять: "не будет работать, если на вашем гаджете настроен кастомный резолвер (а получаемый от роутера по DHCP игнорируется)"?
Похоже действительно не работает. У меня установлен Nextdns, также пробовал Dnscrypt-proxy, Stubby. Домены из nft sets не резолвятся (из Pbr или прописанные вручную). Если в Pbr Use resolver set support for domains = Disabled, то розолвятся без dnsmasq, но это занимает кучу времени если записей много.
Что делать для шифрования DNS? Поднимать сервер на VPS?
Да, получается, что параметры dnsmasq которые nextDNS передает в автоматической настройке: --add-mac --add-subnet=32,128 без кеша. Попробую разобраться и в ручную сконфигуровать dnsmasq. Спасибо!
Да, это самостоятельный резолвер, опция setup-router настраивает dnsmasq на форвардинг к нему.
Установил кеш в dnsmasq вместо nextdns, командой dig google.com повторяю запросы, в ответе query time не меняется и больше 70 мс, т.е. кеш отключен. Полагаю dnsmasq не кеширует запросы форвардеру.
cat /tmp/dnsmasq.d/nextdns.conf
# Configuration generated by NextDNS
no-resolv
server=127.0.0.1#5342
add-mac
add-subnet=32,128
cat /etc/config/dhcp
config dnsmasq
option domainneeded '1'
option localise_queries '1'
option rebind_protection '1'
option local '/lan/'
option domain 'lan'
option expandhosts '1'
option cachesize '1000'
option authoritative '1'
option readethers '1'
option leasefile '/tmp/dhcp.leases'
option localservice '0'
option ednspacket_max '1232'
option localuse '1'
option noresolv '1'
option proxydnssec '1'
Тоже пытаюсь настроить Zerotier как vpn в режиме моста.
На OpenWrt роутере zt-девайс добавлен в lan-br интерфейс. Фаервол lan, wan по умолчанию.
На VPS настроен SNAT/DNAT, в сети Zerotier прописан маршрут к VPS, как для Full Tunnel. Соответственно в режиме Full Tunnel zt-клиенты ходят в интернет через VPS, видят все lan-хосты и наоборот, но pbr-zt маршруты не работают.
Не подскажите, что может быть не так?
table inet fw4 {
set pbr_zt_4_dst_ip_cfg066ff5 {
type ipv4_addr
flags interval
counter
auto-merge
comment "ifconfig.me"
elements = { 34.117.118.44 counter packets 1 bytes 60 }
}
}
ip route list table pbr_zt
default via 192.168.56.184 dev ztw4lea2bk (192.168.56.184 - адрес ztw4lea2bk)
curl ifconfig.me
curl: (7) Failed to connect to ifconfig.me port 80: Connection refused
C пакетом nextdns nft sets тоже резолвятся, но только без кеша:
nextdns config set -cache-size=0
Не знаю почему
Я так и делал с Dnscrypt-proxy и Stubby, прописывал форвардер, все lan-клиенты и local резолвились, а nft sets нет!
Пробую с провайдерскими DNS, для нужно было включить "Use DNS servers advertised by peer" в luci для wan интерфейса и nft sets начали резолвится!
Теперь не меняя настройки wan, настраиваю форвардинг в Stubby в /etc/config/dhcp
option localuse '1'
option noresolv '1'
list server '127.0.0.1#5453'
list server '0::1#5453'
перезапускаю dnsmasq и чудо, все резолвится через прописанные в Stubby сервера nextdns (я это вижу в логах my.nextdns.io).
Если ставить пакет nextdns, то резолвинг nft sets не работает. Жаль, я настраивал разные профили на разные девайсы.
Можно подробней про косяк номер пять: "не будет работать, если на вашем гаджете настроен кастомный резолвер (а получаемый от роутера по DHCP игнорируется)"?
Похоже действительно не работает. У меня установлен Nextdns, также пробовал Dnscrypt-proxy, Stubby. Домены из nft sets не резолвятся (из Pbr или прописанные вручную). Если в Pbr Use resolver set support for domains = Disabled, то розолвятся без dnsmasq, но это занимает кучу времени если записей много.
Что делать для шифрования DNS? Поднимать сервер на VPS?