Утечка DNS
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Для начала воспользуйтесь поиском форума. 2. Укажите версию ОС вместе с разрядностью. Пример: LM 19.3 x64, LM Sarah x32 3. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 4. Какое железо. (достаточно вывод
inxi -Fxz в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 5. Суть. Желательно с выводом консоли, логами. 6. Скрин. Просьба указывать 2, 3 и 4 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот
-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
Нет. 127 говорит о том, что используется полноценный кеширующий локальный ресолвер - чтобы не дергать чужие сервера КАЖДЫМ запросом, ну и соответственно не терять времени ожидая ответа. Мне оно надо было именно чтобы убедится, что включение vpn не ломает этот механизм. А все остальное, и самое интересное по данному вопросу - как раз в других выводах будет.
-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
FliXis, Я принципально не отвечаю по техническим вопросам в личку. Либо продолжаем здесь (при этом в моих ответах могут всплывать и IP, т.к. это не паспортные данные, чтобы над ними так дрожать, а в испорченный телефон-угадайку я играть не буду) либо закругляемся.
Не отвечаю потому, что здесь все-же не платная техподдержка где решают исключительно проблемы клиента. И найденное здесь решение, может помочь кому-то еще, кто его потом прочитает со схожей проблемой. В чем, IMHO, основной смысл форума.
Не отвечаю потому, что здесь все-же не платная техподдержка где решают исключительно проблемы клиента. И найденное здесь решение, может помочь кому-то еще, кто его потом прочитает со схожей проблемой. В чем, IMHO, основной смысл форума.
-
FliXis
Автор темы - Сообщения: 363
- Зарегистрирован: 31 авг 2016, 14:01
- Решено: 8
- Благодарил (а): 89 раз
- Поблагодарили: 21 раз
- Контактная информация:
Утечка DNS
Я не против продолжения здесь, но если Вам не трудно, замажьте второй блок цифр при выкладывании моего айпишника или айпишника днс вдс-сервера.
Ну дело не в том, что параноик, а в том, что я вообще в принципе не понимаю, зачем мне было предоставлять эти данные. Если у меня только установленная система, начисто. И эта ошибка с опенвпн она как бы у всех-всех, кто использует новый минт корицу с опенвпн. Она и у меня и у Вас, мои айпишники тут вообще не при делах.
-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
Вот в том-то и дело, что у меня ее не было на моих сценариях. А сейчас вообще минт не установлен, у меня manjaro основной системой уже больше года. Потому мне и надо детально понимать что там происходит чтобы что-то ответить внятное.
P.S. Продолжение по теме будет ближе к вечеру - работа подкралась незаметно.
-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
FliXis, Посмотрел - эти листинги вроде похожи на правду, особо странного там нет. Продолжаем копать:
1. Нужен вывод
2. Нужен такой тест: Делаете без vpn
1. Нужен вывод
nmcli c show - собственно там будет список соединений NM и их uuid - это совершенно не секретная и бесполезная для всех кроме вашей машины информация, можете не переживать. Потом эти uuid будут нужны в командах просмотра/модификации отдельных соединений (NM их вместо простых порядковых номеров использует).2. Нужен такой тест: Делаете без vpn
dig lib.ru, потом подключаетесь и повторяете то же самое. Выводы с обоих раз сюда. Если dig не установлен - доустановите пакет dnsutils.-
FliXis
Автор темы - Сообщения: 363
- Зарегистрирован: 31 авг 2016, 14:01
- Решено: 8
- Благодарил (а): 89 раз
- Поблагодарили: 21 раз
- Контактная информация:
Утечка DNS
nmcli c show
off vpn
on vpn
Код: Выделить всё
helium.flixis.laptop 41d89ef2-7ce9-4843-bf09-cef5430e8221 vpn enp4s0
Wired connection 1 86658c8b-531d-309a-9805-1d46f39dfeba ethernet enp4s0
tun0 84fa4cf4-946b-41d5-9694-d9f99a017710 tun tun0 Код: Выделить всё
flixis@host:~$ dig lib.ru
; <<>> DiG 9.16.1-Ubuntu <<>> lib.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32880
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;lib.ru. IN A
;; ANSWER SECTION:
lib.ru. 9266 IN A 81.176.66.163
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Aug 05 21:29:33 MSK 2021
;; MSG SIZE rcvd: 51
Код: Выделить всё
flixis@host:~$ dig lib.ru
; <<>> DiG 9.16.1-Ubuntu <<>> lib.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10316
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;lib.ru. IN A
;; ANSWER SECTION:
lib.ru. 21599 IN A 81.176.66.163
;; Query time: 123 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Aug 05 21:30:33 MSK 2021
;; MSG SIZE rcvd: 51
-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
Так, а вот здесь уже непорядок. При подключении vpn оно должно было на другой сервер полезть за адресом. Видимо именно тут собака порылась.
Давайте-ка посмотрим что там в параметрах соединений при поднятом vpn:
1:
2: Тут сложнее, UUID поднятого vpn соединения каждый раз новый (в отличии от его базовых настроек которые под helium.flixis.laptop). Мне нужно увидеть именно состояние поднятого соединения. Команда такая же что и выше, но с подставленным UUID от третьей строчки вывода простого nmcli c show. Там где tun0. Разумеется когда vpn поднят.
Давайте-ка посмотрим что там в параметрах соединений при поднятом vpn:
1:
nmcli c show 86658c8b-531d-309a-9805-1d46f39dfeba - это от enp4s0.2: Тут сложнее, UUID поднятого vpn соединения каждый раз новый (в отличии от его базовых настроек которые под helium.flixis.laptop). Мне нужно увидеть именно состояние поднятого соединения. Команда такая же что и выше, но с подставленным UUID от третьей строчки вывода простого nmcli c show. Там где tun0. Разумеется когда vpn поднят.
-
FliXis
Автор темы - Сообщения: 363
- Зарегистрирован: 31 авг 2016, 14:01
- Решено: 8
- Благодарил (а): 89 раз
- Поблагодарили: 21 раз
- Контактная информация:
Утечка DNS
on vpn
on vpn
Код: Выделить всё
flixis@host:~$ nmcli c show 86658c8b-531d-309a-9805-1d46f39dfeba
connection.id: Wired connection 1
connection.uuid: 86658c8b-531d-309a-9805-1d46f39dfeba
connection.stable-id: --
connection.type: 802-3-ethernet
connection.interface-name: enp4s0
connection.autoconnect: yes
connection.autoconnect-priority: -999
connection.autoconnect-retries: -1 (default)
connection.multi-connect: 0 (default)
connection.auth-retries: -1
connection.timestamp: 1628190694
connection.read-only: no
connection.permissions: --
connection.zone: --
connection.master: --
connection.slave-type: --
connection.autoconnect-slaves: -1 (default)
connection.secondaries: --
connection.gateway-ping-timeout: 0
connection.metered: unknown
connection.lldp: default
connection.mdns: -1 (default)
connection.llmnr: -1 (default)
connection.wait-device-timeout: -1
802-3-ethernet.port: --
802-3-ethernet.speed: 0
802-3-ethernet.duplex: --
802-3-ethernet.auto-negotiate: no
802-3-ethernet.mac-address: --
802-3-ethernet.cloned-mac-address: --
802-3-ethernet.generate-mac-address-mask:--
802-3-ethernet.mac-address-blacklist: --
802-3-ethernet.mtu: auto
802-3-ethernet.s390-subchannels: --
802-3-ethernet.s390-nettype: --
802-3-ethernet.s390-options: --
802-3-ethernet.wake-on-lan: default
802-3-ethernet.wake-on-lan-password: --
ipv4.method: auto
ipv4.dns: --
ipv4.dns-search: --
ipv4.dns-options: --
ipv4.dns-priority: 0
ipv4.addresses: --
ipv4.gateway: --
ipv4.routes: --
ipv4.route-metric: -1
ipv4.route-table: 0 (unspec)
ipv4.routing-rules: --
ipv4.ignore-auto-routes: no
ipv4.ignore-auto-dns: no
ipv4.dhcp-client-id: --
ipv4.dhcp-iaid: --
ipv4.dhcp-timeout: 0 (default)
ipv4.dhcp-send-hostname: yes
ipv4.dhcp-hostname: --
ipv4.dhcp-fqdn: --
ipv4.dhcp-hostname-flags: 0x0 (none)
ipv4.never-default: no
ipv4.may-fail: yes
ipv4.dad-timeout: -1 (default)
ipv6.method: auto
ipv6.dns: --
ipv6.dns-search: --
ipv6.dns-options: --
ipv6.dns-priority: 0
ipv6.addresses: --
ipv6.gateway: --
ipv6.routes: --
ipv6.route-metric: -1
ipv6.route-table: 0 (unspec)
ipv6.routing-rules: --
ipv6.ignore-auto-routes: no
ipv6.ignore-auto-dns: no
ipv6.never-default: no
ipv6.may-fail: yes
ipv6.ip6-privacy: -1 (unknown)
ipv6.addr-gen-mode: stable-privacy
ipv6.ra-timeout: 0 (default)
ipv6.dhcp-duid: --
ipv6.dhcp-iaid: --
ipv6.dhcp-timeout: 0 (default)
ipv6.dhcp-send-hostname: yes
ipv6.dhcp-hostname: --
ipv6.dhcp-hostname-flags: 0x0 (none)
ipv6.token: --
proxy.method: none
proxy.browser-only: no
proxy.pac-url: --
proxy.pac-script: --
GENERAL.NAME: Wired connection 1
GENERAL.UUID: 86658c8b-531d-309a-9805-1d46f39dfeba
GENERAL.DEVICES: enp4s0
GENERAL.IP-IFACE: enp4s0
GENERAL.STATE: activated
GENERAL.DEFAULT: no
GENERAL.DEFAULT6: yes
GENERAL.SPEC-OBJECT: --
GENERAL.VPN: no
GENERAL.DBUS-PATH: /org/freedesktop/NetworkManager/ActiveC>
GENERAL.CON-PATH: /org/freedesktop/NetworkManager/Setting>
GENERAL.ZONE: --
GENERAL.MASTER-PATH: --
IP4.ADDRESS[1]: 192.168.199.3/24
IP4.GATEWAY: 192.168.199.1
IP4.ROUTE[1]: dst = 0.0.0.0/0, nh = 192.168.199.1, mt>
IP4.ROUTE[2]: dst = 176.105.255.154/32, nh = 192.168.>
IP4.ROUTE[3]: dst = 192.168.199.1/32, nh = 0.0.0.0, m>
IP4.ROUTE[4]: dst = 169.254.0.0/16, nh = 0.0.0.0, mt >
IP4.ROUTE[5]: dst = 192.168.199.0/24, nh = 0.0.0.0, m>
IP4.DNS[1]: 192.168.199.1
DHCP4.OPTION[1]: dhcp_lease_time = 86400
DHCP4.OPTION[2]: domain_name_servers = 192.168.199.1
DHCP4.OPTION[3]: expiry = 1628283693
DHCP4.OPTION[4]: ip_address = 192.168.199.3
DHCP4.OPTION[5]: requested_broadcast_address = 1
DHCP4.OPTION[6]: requested_domain_name = 1
DHCP4.OPTION[7]: requested_domain_name_servers = 1
DHCP4.OPTION[8]: requested_domain_search = 1
DHCP4.OPTION[9]: requested_host_name = 1
DHCP4.OPTION[10]: requested_interface_mtu = 1
DHCP4.OPTION[11]: requested_ms_classless_static_routes = 1
DHCP4.OPTION[12]: requested_nis_domain = 1
DHCP4.OPTION[13]: requested_nis_servers = 1
DHCP4.OPTION[14]: requested_ntp_servers = 1
DHCP4.OPTION[15]: requested_rfc3442_classless_static_rout>
DHCP4.OPTION[16]: requested_root_path = 1
DHCP4.OPTION[17]: requested_routers = 1
DHCP4.OPTION[18]: requested_static_routes = 1
DHCP4.OPTION[19]: requested_subnet_mask = 1
DHCP4.OPTION[20]: requested_time_offset = 1
DHCP4.OPTION[21]: requested_wpad = 1
DHCP4.OPTION[22]: routers = 192.168.199.1
DHCP4.OPTION[23]: subnet_mask = 255.255.255.0
IP6.ADDRESS[1]: 2a02:2168:a912:4800:c535:1537:943b:d20c>
IP6.ADDRESS[2]: fe80::68b9:7bd4:e639:522e/64
IP6.GATEWAY: fe80::6eb0:ceff:fe6e:2d8e
IP6.ROUTE[1]: dst = 2a02:2168:a912:4800::/64, nh = fe>
IP6.ROUTE[2]: dst = ::/0, nh = fe80::6eb0:ceff:fe6e:2>
IP6.ROUTE[3]: dst = 2a02:2168:a912:4800:c535:1537:943>
IP6.ROUTE[4]: dst = fe80::/64, nh = ::, mt = 100
IP6.DNS[1]: fe80::6eb0:ceff:fe6e:2d8e
DHCP6.OPTION[1]: dhcp6_name_servers = fe80::6eb0:ceff:fe>
DHCP6.OPTION[2]: ip6_address = 2a02:2168:a912:4800:c535:>
Код: Выделить всё
flixis@host:~$ nmcli c show d9e2729d-bf6c-4eae-8715-092274e52ec0
connection.id: tun0
connection.uuid: d9e2729d-bf6c-4eae-8715-092274e52ec0
connection.stable-id: --
connection.type: tun
connection.interface-name: tun0
connection.autoconnect: no
connection.autoconnect-priority: 0
connection.autoconnect-retries: -1 (default)
connection.multi-connect: 0 (default)
connection.auth-retries: -1
connection.timestamp: 1628190694
connection.read-only: no
connection.permissions: --
connection.zone: --
connection.master: --
connection.slave-type: --
connection.autoconnect-slaves: -1 (default)
connection.secondaries: --
connection.gateway-ping-timeout: 0
connection.metered: unknown
connection.lldp: default
connection.mdns: -1 (default)
connection.llmnr: -1 (default)
connection.wait-device-timeout: -1
ipv4.method: manual
ipv4.dns: --
ipv4.dns-search: --
ipv4.dns-options: --
ipv4.dns-priority: 100
ipv4.addresses: 10.10.0.16/16
ipv4.gateway: 10.10.0.1
ipv4.routes: --
ipv4.route-metric: -1
ipv4.route-table: 0 (unspec)
ipv4.routing-rules: --
ipv4.ignore-auto-routes: no
ipv4.ignore-auto-dns: no
ipv4.dhcp-client-id: --
ipv4.dhcp-iaid: --
ipv4.dhcp-timeout: 0 (default)
ipv4.dhcp-send-hostname: yes
ipv4.dhcp-hostname: --
ipv4.dhcp-fqdn: --
ipv4.dhcp-hostname-flags: 0x0 (none)
ipv4.never-default: no
ipv4.may-fail: yes
ipv4.dad-timeout: -1 (default)
ipv6.method: link-local
ipv6.dns: --
ipv6.dns-search: --
ipv6.dns-options: --
ipv6.dns-priority: 100
ipv6.addresses: --
ipv6.gateway: --
ipv6.routes: --
ipv6.route-metric: -1
ipv6.route-table: 0 (unspec)
ipv6.routing-rules: --
ipv6.ignore-auto-routes: no
ipv6.ignore-auto-dns: no
ipv6.never-default: no
ipv6.may-fail: yes
ipv6.ip6-privacy: -1 (unknown)
ipv6.addr-gen-mode: stable-privacy
ipv6.ra-timeout: 0 (default)
ipv6.dhcp-duid: --
ipv6.dhcp-iaid: --
ipv6.dhcp-timeout: 0 (default)
ipv6.dhcp-send-hostname: yes
ipv6.dhcp-hostname: --
ipv6.dhcp-hostname-flags: 0x0 (none)
ipv6.token: --
tun.mode: 1 (tun)
tun.owner: --
tun.group: --
tun.pi: no
tun.vnet-hdr: no
tun.multi-queue: no
proxy.method: none
proxy.browser-only: no
proxy.pac-url: --
proxy.pac-script: --
GENERAL.NAME: tun0
GENERAL.UUID: d9e2729d-bf6c-4eae-8715-092274e52ec0
GENERAL.DEVICES: tun0
GENERAL.IP-IFACE: tun0
GENERAL.STATE: activated
GENERAL.DEFAULT: no
GENERAL.DEFAULT6: no
GENERAL.SPEC-OBJECT: --
GENERAL.VPN: no
GENERAL.DBUS-PATH: /org/freedesktop/NetworkManager/ActiveConnection/5
GENERAL.CON-PATH: /org/freedesktop/NetworkManager/Settings/5
GENERAL.ZONE: --
GENERAL.MASTER-PATH: --
IP4.ADDRESS[1]: 10.10.0.16/16
IP4.GATEWAY: 10.10.0.1
IP4.ROUTE[1]: dst = 10.10.0.0/16, nh = 0.0.0.0, mt = 50
IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 10.10.0.1, mt = 50
IP6.ADDRESS[1]: fe80::818a:11bb:9da7:8252/64
IP6.GATEWAY: --
IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 256-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
Хм. И еще хотелось бы взглянуть на nmcli c show с uuid самих настроек vpn - тот что для helium.flixis.laptop Тоже при подключеном VPN.
Пока это похоже на то, что приоритеты неправильно ставятся. Т.е. при подключении VPN если на линке есть свои DNS сервера, в NM им присваивается определенный приоритет, и те у которых он выше в текущий момент отдаются ресолверу как аплинк для DNS запросов. У вас в аплинке постоянно один и тот же сервер судя по всему, независимо от того подключен VPN или нет, как если бы в конфиге VPN не было опции про замену сервера. Приоритет как раз базовой конфигурации посмотреть можно.
Пока это похоже на то, что приоритеты неправильно ставятся. Т.е. при подключении VPN если на линке есть свои DNS сервера, в NM им присваивается определенный приоритет, и те у которых он выше в текущий момент отдаются ресолверу как аплинк для DNS запросов. У вас в аплинке постоянно один и тот же сервер судя по всему, независимо от того подключен VPN или нет, как если бы в конфиге VPN не было опции про замену сервера. Приоритет как раз базовой конфигурации посмотреть можно.
-
FliXis
Автор темы - Сообщения: 363
- Зарегистрирован: 31 авг 2016, 14:01
- Решено: 8
- Благодарил (а): 89 раз
- Поблагодарили: 21 раз
- Контактная информация:
Утечка DNS
Код: Выделить всё
flixis@host:~$ nmcli c show 41d89ef2-7ce9-4843-bf09-cef5430e8221
connection.id: helium.flixis.laptop
connection.uuid: 41d89ef2-7ce9-4843-bf09-cef5430e8221
connection.stable-id: --
connection.type: vpn
connection.interface-name: --
connection.autoconnect: yes
connection.autoconnect-priority: 0
connection.autoconnect-retries: -1 (default)
connection.multi-connect: 0 (default)
connection.auth-retries: -1
connection.timestamp: 1628193994
connection.read-only: no
connection.permissions: --
connection.zone: --
connection.master: --
connection.slave-type: --
connection.autoconnect-slaves: -1 (default)
connection.secondaries: --
connection.gateway-ping-timeout: 0
connection.metered: unknown
connection.lldp: default
connection.mdns: -1 (default)
connection.llmnr: -1 (default)
connection.wait-device-timeout: -1
ipv4.method: auto
ipv4.dns: --
ipv4.dns-search: --
ipv4.dns-options: --
ipv4.dns-priority: 0
ipv4.addresses: --
ipv4.gateway: --
ipv4.routes: --
ipv4.route-metric: -1
ipv4.route-table: 0 (unspec)
ipv4.routing-rules: --
ipv4.ignore-auto-routes: no
ipv4.ignore-auto-dns: no
ipv4.dhcp-client-id: --
ipv4.dhcp-iaid: --
ipv4.dhcp-timeout: 0 (default)
ipv4.dhcp-send-hostname: yes
ipv4.dhcp-hostname: --
ipv4.dhcp-fqdn: --
ipv4.dhcp-hostname-flags: 0x0 (none)
ipv4.never-default: no
ipv4.may-fail: yes
ipv4.dad-timeout: -1 (default)
ipv6.method: auto
ipv6.dns: --
ipv6.dns-search: --
ipv6.dns-options: --
ipv6.dns-priority: 0
ipv6.addresses: --
ipv6.gateway: --
ipv6.routes: --
ipv6.route-metric: -1
ipv6.route-table: 0 (unspec)
ipv6.routing-rules: --
ipv6.ignore-auto-routes: no
ipv6.ignore-auto-dns: no
ipv6.never-default: no
ipv6.may-fail: yes
ipv6.ip6-privacy: -1 (unknown)
ipv6.addr-gen-mode: stable-privacy
ipv6.ra-timeout: 0 (default)
ipv6.dhcp-duid: --
ipv6.dhcp-iaid: --
ipv6.dhcp-timeout: 0 (default)
ipv6.dhcp-send-hostname: yes
ipv6.dhcp-hostname: --
ipv6.dhcp-hostname-flags: 0x0 (none)
ipv6.token: --
vpn.service-type: org.freedesktop.NetworkManager.openvpn
vpn.user-name: --
vpn.data: auth = SHA256, ca = /home/flixis/.cert/nm-openvpn/helium.flixis.laptop-ca.pem, cert = /home/flixis/.cert/nm-openvpn/helium.flixis.laptop-cert.pem, cert-pass-flags = 0, cipher = AES-128-CBC, connect>
vpn.secrets: <hidden>
vpn.persistent: no
vpn.timeout: 0
proxy.method: none
proxy.browser-only: no
proxy.pac-url: --
proxy.pac-script: --
GENERAL.NAME: helium.flixis.laptop
GENERAL.UUID: 41d89ef2-7ce9-4843-bf09-cef5430e8221
GENERAL.DEVICES: enp4s0
GENERAL.IP-IFACE: enp4s0
GENERAL.STATE: activated
GENERAL.DEFAULT: yes
GENERAL.DEFAULT6: no
GENERAL.SPEC-OBJECT: /org/freedesktop/NetworkManager/ActiveConnection/1
GENERAL.VPN: yes
GENERAL.DBUS-PATH: /org/freedesktop/NetworkManager/ActiveConnection/4
GENERAL.CON-PATH: /org/freedesktop/NetworkManager/Settings/1
GENERAL.ZONE: --
GENERAL.MASTER-PATH: /org/freedesktop/NetworkManager/Devices/2
IP4.ADDRESS[1]: 10.10.0.16/16
IP4.GATEWAY: 10.10.0.1
IP4.ROUTE[1]: dst = 0.0.0.0/0, nh = 10.10.0.1, mt = 50
IP4.ROUTE[2]: dst = 10.10.0.0/16, nh = 0.0.0.0, mt = 50
IP4.DNS[1]: 10.10.0.1
VPN.TYPE: openvpn
VPN.USERNAME: --
VPN.GATEWAY: 176.105.255.154:9000:udp
VPN.BANNER: --
VPN.VPN-STATE: 5 - VPN connected
VPN.CFG[1]: auth = SHA256
VPN.CFG[2]: ca = /home/flixis/.cert/nm-openvpn/helium.flixis.laptop-ca.pem
VPN.CFG[3]: cert = /home/flixis/.cert/nm-openvpn/helium.flixis.laptop-cert.pem
VPN.CFG[4]: cert-pass-flags = 0
VPN.CFG[5]: cipher = AES-128-CBC
VPN.CFG[6]: connection-type = tls
VPN.CFG[7]: dev = tun
VPN.CFG[8]: float = yes
VPN.CFG[9]: key = /home/flixis/.cert/nm-openvpn/helium.flixis.laptop-key.pem
VPN.CFG[10]: mssfix = yes
VPN.CFG[11]: remote = 176.105.255.154:9000:udp
VPN.CFG[12]: remote-cert-tls = server
VPN.CFG[13]: tls-crypt = /home/flixis/.cert/nm-openvpn/helium.flixis.laptop-tls-crypt.pem
VPN.CFG[14]: verify-x509-name = subject:C=RU, ST=Moscow, L=Moscow, O=Helium, OU=VPN, CN=main
-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
Какая-то феерическая ерунда происходит. Из разряда - "все правильно, но не работает". Аж интересно стало - качаю себе свежий минт с cinnamon (20.2), поставлю и поковыряюсь лично. Посмотрим, если оно будет так-же себя и у меня вести - разберемся.
-
FliXis
Автор темы - Сообщения: 363
- Зарегистрирован: 31 авг 2016, 14:01
- Решено: 8
- Благодарил (а): 89 раз
- Поблагодарили: 21 раз
- Контактная информация:
Утечка DNS
Только именно с корицей. Мне вот друг, сидящий на кедах говорит, что все проблемы всегда от гтк.
У меня кажется бывало еще такое, что я туда сюда перещелкивал и у меня в какой-то момент уже не показывало днс утечки на сайте. Но от чего зависит так и не понял.
-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
Докачал, поставил, но копать детально буду уже завтра.
А пока - еще такой вопрос, с которого наверное стоило начинать:
Какой DNS сервер используется как аплинк на vpn сервере? Гугл (8.8.8.8 и 8.8.4.4), Сloudflare (1.1.1.1)? Или что-то другое?
И что именно выводит dnsleaktest.com при этом? Т.е. скриншотом, или копией текста, а не пересказом пожалуйста. А то меня начали терзать смутные сомнения: дело в том, что под адресами этих товарищей скрываются кластеры по несколько сотен адресов. Т.е. скажем для гугла - вы никогда не увидите отвечающим просто 8.8.8.8. Это адрес верхнего уровня - балансер нагрузки. Сам ответ приходит с других IP - это нормально и правильно. У Cloudflare то же самое.
А пока - еще такой вопрос, с которого наверное стоило начинать:
Какой DNS сервер используется как аплинк на vpn сервере? Гугл (8.8.8.8 и 8.8.4.4), Сloudflare (1.1.1.1)? Или что-то другое?
И что именно выводит dnsleaktest.com при этом? Т.е. скриншотом, или копией текста, а не пересказом пожалуйста. А то меня начали терзать смутные сомнения: дело в том, что под адресами этих товарищей скрываются кластеры по несколько сотен адресов. Т.е. скажем для гугла - вы никогда не увидите отвечающим просто 8.8.8.8. Это адрес верхнего уровня - балансер нагрузки. Сам ответ приходит с других IP - это нормально и правильно. У Cloudflare то же самое.
-
FliXis
Автор темы - Сообщения: 363
- Зарегистрирован: 31 авг 2016, 14:01
- Решено: 8
- Благодарил (а): 89 раз
- Поблагодарили: 21 раз
- Контактная информация:
Утечка DNS
Подозрения, что все нормально работает? Да не, не работает, я даже заглушки блокировок от провайдера стал видеть, чего на 19минте вообще не возникало.
Только чуть позже смогу сказать
main window
Код: Выделить всё
Hello 176.105.255.154
from , United StatesКод: Выделить всё
172.68.12.223 None Cloudflare Moscow, Russian Federation
172.68.9.196 None Cloudflare Moscow, Russian Federation
172.68.9.57 None Cloudflare Moscow, Russian Federation Код: Выделить всё
172.68.12.223 None Cloudflare Moscow, Russian Federation
172.68.9.196 None Cloudflare Moscow, Russian Federation
172.68.9.57 None Cloudflare Moscow, Russian Federation -
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
Что не там ищем. Поставил я минт 20.2 cinnamon - у меня там никаких отклонений не видно, увы. Все правильно работает.
Судя по тому что выводит тест - это норма. Количество dns серверов или адреса могут меняться хоть после каждого запроса, если первичный адрес принадлежит кластеру а не частному единичному серверу. Т.к. куда направить запрос на обработку - определяет балансер. Повлиять на это из вне никак невозможно, и с перехватом это никак не связано. У вас в листинге все сервера подписаны cloudflare, и я так подозреваю, что аплинком служит тот самый 1.1.1.1. В таком случае этот ответ - норма, "протечки" тут нет. У кластера cloudflare как раз адреса 172.68.х.х входят в один из их диапазонов. https://ipinfo.io/AS13335/172.68.12.0/22 -
NetRange: 172.64.0.0 - 172.71.255.255-
slant
- Сообщения: 4837
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 110
- Благодарил (а): 53 раза
- Поблагодарили: 2161 раз
- Контактная информация:
Утечка DNS
Дело в том, что я вас понял так: ресолвер вашей машины не переключается на сервер доступный через vpn соединение (т.е. общается с аплинком не по защищенному туннелю), благодаря чему его запросы ваш провайдер перехватывает. Что и искал упор в конфигах - и не находил причин такого поведения. Ан нет - судя по всему у вас с этим все нормально. Если перехват и происходит, то не между вашей машиной и vpn сервером, а между vpn сервером и аплинком на который он стучится сам за dns записями.
А возможно вы просто излишне мнительно интерпретировали нормальное поведение кластера cloudflare - если там были только сервера из этого же диапазона в ответе.
А возможно вы просто излишне мнительно интерпретировали нормальное поведение кластера cloudflare - если там были только сервера из этого же диапазона в ответе.
-
FliXis
Автор темы - Сообщения: 363
- Зарегистрирован: 31 авг 2016, 14:01
- Решено: 8
- Благодарил (а): 89 раз
- Поблагодарили: 21 раз
- Контактная информация:
Утечка DNS
Но ведь должны быть нидерладские флаги. У меня несколько лет были именно они + я не видел заглушек провайдера. А теперь я их вижу + флаги русские
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя