Утечка DNS

[FliXis]

Если перехват и происходит, то не между вашей машиной и vpn сервером, а между vpn сервером и аплинком на который он стучится сам за dns записями.

Но это невозможно, да и это не происходит у других пользователей(на других система) этого же впн, не происходит у меня на телефоне, на винде и т.п. только в минте такое.

[slant]

Но это невозможно

Невозможно - перехватывать запрос dns, если он действительно идет через vpn на участке клиент-сервер. Если такое возможно - у вас проблемы гораздо серьезнее чем "утечка" dns. Это уже компрометация ключей как минимум.

да и это не происходит у других пользователей(на других система) этого же впн, не происходит у меня на телефоне, на винде и т.п. только в минте такое.

Тогда пожалуйста, приведите примеры "такого" в виде скриншотов/прямого копирования текста на основе которого вы делаете выводы об "утечке". Т.е. не ваш пересказ с выводом - "утечка", а именно то, что вас к такому выводу приводит.
Я не отрицаю что у вас может быть проблема ПОХОЖАЯ на "утечку", но вывод о ней вы скорее всего делаете не совсем правильный. Т.к. именно "утечки" в вашем понимании тут нет, либо виноват сам vpn сервер. Запрос идет через тунель - т.е. недоступен для просмотра/модификации на участке "ваша машина - сервер vpn". Пока, все что вы предоставили, говорит об этом однозначно.

[FliXis]

Это уже компрометация ключей как минимум.

Нет, тогда бы и на других устройствах так было.

Тогда пожалуйста, приведите примеры "такого" в виде скриншотов/прямого копирования текста на основе которого вы делаете выводы об "утечке".

Как выглядит вывод сайта днслик с моба(с того же самого инета через вафлю), с винды(тоже естественно с того же инет). А так же вот скрин заглушки провайдера, которую выдает один сайт, который я не буду указывать, если он почему-то заблочен, значит его, вероятно, и нельзя указывать. Как я уже упоминал, на винде и с телефона этой заглушки я не вижу.

Кроме того, на сайте https://dnsleak.com тоже не все гладко. Там в самом низу под записями Нидерландов опять же выскакивает Россия. Так не бывает, что утечки нет, а куда не плюнуть все указывает на from RF. Утечка есть это факт, но найти и исправить, видимо, не получится у нас.

[FliXis]

Поставил я минт 20.2 cinnamon - у меня там никаких отклонений не видно, увы. Все правильно работает.

И флагов родной страны при этом нет?

Так, а вот здесь уже непорядок. При подключении vpn оно должно было на другой сервер полезть за адресом. Видимо именно

А по какой причине это может быть? В этом может быть виноват NM?

[rogoznik]

И русских флагов нет?

А у него их быть и не должно - он на Украине живет

[FliXis]

А у него их быть и не должно - он на Украине живет

Блин, я как-то не подумал. Ну или Украинских

[slant]

И флагов родной страны при этом нет?

Нет. У меня балансер cloudflare практически всегда перебрасывает на польшу. А балансер гугла - по разным странам, чаще тоже польшу но и германию и нидерланды может выбрать.

А по какой причине это может быть? В этом может быть виноват NM?

А там оно и полезло на другой сервер. Просто т.к. аплинком cloudflare является по всей видимости у dns на vpn сервере, я слегка затупил спросить именно про ответ сайта, и повелся на "испорченный телефон" (ваши слова что "течет") а не на факт (скриншот или прямой вывод сайта). Т.к. как я уже говорил - 1.1.1.1 как ваш dns сервер вы там не увидите - это адрес балансера всего кластера, он сам ответы не шлет.
Но если бы речь шла не о кластере, или действительно ресолвер стучался не туда - NM уже вряд ли был бы виноват. NM - это вообще то, в основном конфигурилка других сервисов в системе, сам он мало чего делает непосредственно. В частости на счет DNS - он просто передает полученные адреса DNS сервера из DHCP ответа в systemd-resolvd или другой ресолвер. Один раз, при конфиграции линка. Далее - не его забота.

[madesta]

заглушки провайдера

А когда вы ходите с телефона, Windows, Linux Mint, то для Интернет используется один и тот же провайдер или они в этих случаях разные? Например, телефон - мобильный оператор, Windows - тот провайдер что в офисе, Linux Mint - тот что дома.

[FliXis]

А когда вы ходите с телефона, Windows, Linux Mint, то для Интернет используется один и тот же провайдер или они в этих случаях разные?

Тот же самый конечно. С виндой дуалбут. А с телефоном вафля до роутера с тем же оператором. А в комп из этого же роутера шнур.
Вот в чем самая большая странность. Что ни в чем по сути, кроме операционной системы разницы нет.

[FliXis]

Мужики! Оказывается это FireFox 90.0.2 сливала from. Я совсем забыл, что помимо того, что перешел с 19 минта на 20й еще изменилось то, что я перешел с хромиума на лису.(т.к. в хромиуме гугло-синхронизацию вырубили).

Простите, кому грубо отвечал насчет NM в начале топика, ну и кому голову заморочил.

Отдельная благодарность тов. slant

А там оно и полезло на другой сервер.

Благодарю за помощь и прошу прощения, что пришлось так сильно повозиться и даже систему пришлось устанавливать из-за меня. У меня в прошлом были проблемы с утечкой в 17(или18) минте, потому и грешил на NM. А оказалось, что это страная лиса.
А начала лиса лить потому, что я в настройках врубил какую-то недавно вышедшую функцию dns over https. Звучало неплохо, а что это означает я и не в курсе, вообще в сетях почти ничего не понимаю. Отключил и все стало нормально.

[FliXis]

Рано обрадовался, на самом деле.
Флаги то конечно заменились на португальские, но вот некоторые заглушки провайдера я все равно вижу, причем в двух браузерах.

[madesta]

Звучало неплохо, а что это означает я и не в курсе

Я бы сначала обратился к первоисточнику. А там написано, что "В 2019 году мы завершили развёртывание DoH для всех пользователей Firefox для ПК в Соединённых Штатах. В настоящий момент мы работаем над развёртыванием DoH в большем количестве стран." И где упоминание о том, что это уже работает в России или любой другой стране бывшего СССР? К тому же для России следует иметь ввиду наличие пакетов Яровой, которые обязывают провайдеров накапливать, хранить и по запросу госорганов предоставлять определенную информацию, типа куда в интернете ходил и т.п. Полагаю, что вследствие этого Opera недавно вырубила для российского региона встроенный в её браузер VPN.

т.к. в хромиуме гугло-синхронизацию вырубили

Google ещё весной, по-моему, предупреждала о том, что вырубит синхронизацию для всех браузеров, кроме Google Chrome. Вопрос в том, что нуждается в синхронизации. Если пароли, дополнения (расширения) и проч. обычные данные, то вы можете попробовать Vivaldi, который также использует синхронизацию (при наличии учётки в vivaldi.net), а для устанавливаемых расширений тот же магазин Google, который используют Chrome и Chromium. Причём в расширенной настройке появляется возможность использования встроенного почтового клиента (правда настройка в нём почты Яндекс у меня завершилась неудачей).

[slant]

Флаги то конечно заменились на португальские, но вот некоторые заглушки провайдера я все равно вижу, причем в двух браузерах.

А вот это совсем не однозначный признак. Методов перекинуть на заглушку - довольно много, и DNS участвует далеко не во всех. Можно перехватывать непосредственно запрос самого броузера, даже по https (если удалось в цепочку сертификатов в строиться) - классический MitM. Чтобы разобраться что именно происходит в таком случае - нужно уже самому свой трафик слушать анализатором и разбирать детально что провайдер с протоколами мудрит.
Либо, как вариант, попытаться настроить свой фаерволл в параноидальном режиме: Полный запрет ходить вообще куда угодно с обычного интерфейса кроме адреса VPN сервера, и разрешение ходить куда угодно через тунель. И посмотреть что будет.

А начала лиса лить потому, что я в настройках врубил какую-то недавно вышедшую функцию dns over https. Звучало неплохо, а что это означает я и не в курсе, вообще в сетях почти ничего не понимаю.

А это отдельный независимый от системного ресолвер - который работает исключительно для броузера. Причем лезет на собственный отдельный DNS сервер заранее прописанный. И которому плевать на системные настройки.

[stasAiver]

FliXis, помнится, в Огнелисе, тоже сталкивался с провайдерскими заглушками. DoH через 'Настройки' был бесполезен.
Но можно ведь шаловливыми ручками, через about:config. Здесь подробнее.

[FliXis]

Вопрос в том, что нуждается в синхронизации.

Только браузерные закладки. Причем закладки лисы и хрома. В идеале, чтобы оба браузера по части закладок были синхронизированы между собой. Как на компе, так и на телефоне. Но я не нашел опенсорс-решения для подобного. Хоть сам пиши, блин.

Можно перехватывать непосредственно запрос самого броузера, даже по https (если удалось в цепочку сертификатов в строиться) - классический MitM.

Тогда бы это означало, что минт в очередной раз взломали

Либо, как вариант, попытаться настроить свой фаерволл в параноидальном режиме: Полный запрет ходить вообще куда угодно с обычного интерфейса кроме адреса VPN сервера, и разрешение ходить куда угодно через тунель.

А не знаете в подробностях, как такое провернуть во встроенном брендмауре минта Gufw Firewall 20.04.1?

Здесь подробнее.

Попозже попробую, это подошло бы для тех моментов, когда я не использую впн.
Правда, там в комментах вроде мелькало, мол устарело руководство

[slant]

Тогда бы это означало, что минт в очередной раз взломали

Нет. Это бы означало что один из центров выдающих корневые сертификаты для сайтов выдал промежуточный доверенный сертификат роскомпозору или какой-то еще схожей организации. Или те его сперли где-то. И этот сертификат еще не отозван.

А не знаете в подробностях, как такое провернуть во встроенном брендмауре минта Gufw Firewall 20.04.1?

Никогда этой GUI надстройкой не пользовался, понятия не имею. Фаерволов в линуксе до не давнего времени был ровно один - iptables. Все остальное - разные интерфейсы к оному, сами по себе ничего не делающие. Сейчас появился второй фаервол в новых ядрах - nftables, но с ним я на практике почти не работал еще. А в 20-ке именно он. Теперь еще мануалы курить надо.

[FliXis]

Это бы означало что один из центров выдающих корневые сертификаты для сайтов выдал промежуточный доверенный сертификат

Но тогда бы я видел заглушку на всех устройствах...

[slant]

Но тогда бы я видел заглушку на всех устройствах

Если бы на них использовался одинаковый броузер - непременно. Сертификаты - это к броузерам относится а не целиком к устройству (если по простому). У каждого броузера может быть собственный доверенный набор.

[madesta]

Как на компе, так и на телефоне

Так для этого браузер Chrome, наверное, будет самый подходящий, поскольку по умолчанию он втыкается в Android. Или опасаетесь, что Google постоянно следит за вами? Так у вас же была синхронизация на cromium.