temat Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć? w Internet domowy

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

D_amian — Fri, 08 Mar 2024 18:47:28 GMT

Dzień dobry,

Od niedawna jestem szczęśliwym posiadaczem Neostrady + Paczka L + stały adres IP + dodatkowe 4 adresy IP. Wszystko na potrzeby działalności informatycznej. Wszystko działa z wyjątkiem zapytań DNS. Jako administrator muszę czasem weryfikować odpowiedzi DNS różnych serwerów i kluczowe jest wtedy aby odpowiedź ta była realizowana przez serwer, do którego wysyłam zapytanie i abym dostawał oryginalną odpowiedź (np. sprawdzenie odpowiedzi z autorytatywnego serwera domeny). Niestety najwyraźniej coś po stronie Orange przejmuje zapytania DNS i sam je realizuje. Można się o tym przekonać np. wykonując zapytanie (przykład z komputera z Linux) do nieistniejącego serwera po czym dostaniemy zupełnie poprawną odpowiedź - poniżej przykład do nie odpowiadającego w ogóle na zapytania DNS IP 1.2.3.4. Czy ktoś wie jak można włączyć takie przekierowania? Podejrzewam, że realizuje to Funbox 6 - sądzę tak, bo wysyłając zapytania przy użyciu TCP (`dig +tcp www.wp.pl`) i obserwując ruch pakiet SYN+ACK jest odsyłany w ok 1ms a najszybszy round trip jaki widziałem do internetu na tym łączu to ok 6-7ms.

W Cyber Tarczy wszystko jest wyłączone (każda opcja w profilu domyślnym), w Fun box firewall ustawiony jako zaawansowany i wpuszczony każdy ruch każdego protokołu (reguła bez żadnych warunków).

Przykład zapytania o www.wp.pl do serwera 1.2.3.4 - czemu dostaję odpowiedź od nieistniejącego serwera?:

# dig www.wp.pl @1.2.3.4

; <<>> DiG 9.18.24 <<>> www.wp.pl @1.2.3.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37989
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.wp.pl.			IN	A

;; ANSWER SECTION:
www.wp.pl.		35	IN	A	212.77.98.9

;; Query time: 10 msec
;; SERVER: 1.2.3.4#53(1.2.3.4) (UDP)
;; WHEN: Fri Mar 08 19:26:09 CET 2024
;; MSG SIZE  rcvd: 54

Przykład o www.onet.pl serwera autoratytwnego dla domeny onet.pl. Czemu nie jest to odpowiedź autorytatywna (brak flagi aa, TTL pomniejszony jakby odpowiedź była z cache):

# dig www.onet.pl @205.251.193.68

; <<>> DiG 9.18.24 <<>> www.onet.pl @205.251.193.68
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54059
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.onet.pl.			IN	A

;; ANSWER SECTION:
www.onet.pl.		50	IN	A	18.66.122.66
www.onet.pl.		50	IN	A	18.66.122.86
www.onet.pl.		50	IN	A	18.66.122.16
www.onet.pl.		50	IN	A	18.66.122.29

;; Query time: 10 msec
;; SERVER: 205.251.193.68#53(205.251.193.68) (UDP)
;; WHEN: Fri Mar 08 19:37:55 CET 2024
;; MSG SIZE  rcvd: 104

Dla porównania jak to wygląda z serwera VPN poza orange:

# dig www.wp.pl @1.2.3.4

; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> www.wp.pl @1.2.3.4
;; global options: +cmd
;; connection timed out; no servers could be reached

# dig www.onet.pl @205.251.193.68

; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> www.onet.pl @205.251.193.68
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65004
;; flags: qr aa rd; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.onet.pl.			IN	A

;; ANSWER SECTION:
www.onet.pl.		60	IN	A	99.86.91.80
www.onet.pl.		60	IN	A	99.86.91.88
www.onet.pl.		60	IN	A	99.86.91.48
www.onet.pl.		60	IN	A	99.86.91.17

;; AUTHORITY SECTION:
onet.pl.		7200	IN	NS	ns5.ringpublishing.net.
onet.pl.		7200	IN	NS	ns6.ringpublishing.net.
onet.pl.		7200	IN	NS	ns7.ringpublishing.net.
onet.pl.		7200	IN	NS	ns8.ringpublishing.net.

;; Query time: 5 msec
;; SERVER: 205.251.193.68#53(205.251.193.68)
;; WHEN: Fri Mar 08 19:38:14 CET 2024
;; MSG SIZE  rcvd: 194

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

agat13 — Fri, 08 Mar 2024 18:46:31 GMT

@D_amian dzwoń na infolinię Biznes 510600600. Tam zapytaj czy przy Internecie Firmowym jest taka możliwość. Dokładnie opisz opcję usługi. Pomogą

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Samotnick — Fri, 08 Mar 2024 19:57:33 GMT

@D_amian Włączona CyberTarcza przechwytuje zapytania do zewnętrznych DNSów. Używaj DoH. Albo korzystaj z DNSów przez VPN. Ja nie znalazłem hebla w ustawieniach do tymczasowego wyłączenia CyberTarczy.

BTW, jak dostaniesz odpowiedź 195.116.116.17 lub .117 to znaczy, że Cybertarcza blokuje.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

D_amian — Fri, 08 Mar 2024 20:08:37 GMT

Dzięki za wszystkie odpowiedzi - po weekendzie zadzwonię na infolinię biznes.

DoH niestety nie wystarczy - w swojej pracy muszę czasem sprawdzić odpowiedź z serwera autorytatywnego a takie zazwyczaj nie obsługują DoH.

Aktualnie diagnozując odpytuję DNS po zalgowaniu na jakiś serwer ale czasem zapomnę o tej konieczności i marnuję czas na szukanie błędu tam, gdzie go nie ma...

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Samotnick — Fri, 08 Mar 2024 20:25:58 GMT

@D_amian Tak to niestety działa. Może musisz wyłączyć tę usługę skoro i tak z niej nie korzystasz.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

sovteq1 — Sat, 09 Mar 2024 15:40:52 GMT

Mam dokładnie ten sam problem (również internet światłowodowy z 8 dodatkowymi adresami IP). Zgłosiłem to wczoraj na infolinii, otrzymałem informację, że problem zostanie naprawiony w ciągu 36h - czekam.

Dodatkowo zauważyłem, że orange całkowicie blokuje/przechwytuje ruch wychodzący na port 53. W przypadku umowy b2b jest to niedopuszczalne, również prowadzę działalność informatyczną i utrudnia mi to w sposób znaczny codzienną pracę.

W celach testowych postawiłem nawet serwer SSH na porcie 53. Niestety z sieci orange nie można sie na niego dostać. Z każdego innego internetu działa jak nalezy.

Apel: Orange zdecydowanie nie tędy droga, musicie się z tego wycofać.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Samotnick — Sat, 09 Mar 2024 15:59:42 GMT

@sovteq1 Nie chcą dopuścić do sytuacji w której ominiesz mechanizm ochronny. Niestety blokowanie domeny przez zwracanie niepoprawnego adresu IP nie powoduje jednoczesnej blokady wyjścia na zablokowany adres. Można więc, korzystając z DoH czy DoT, bez problemu nawiązać połączenie z blokowaną usługą.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

sovteq1 — Sat, 09 Mar 2024 16:24:52 GMT

DoH i DoT to inna bajka - te usługi działają na portach odpowiednio 443 oraz 853.

Ten wątek dotyczy blokady wychodzącego ruchu na port 53. Orange nie zwraca niepoprawnych adresów IP tylko po prostu podszywa sie pod serwery DNS i zwraca swoje dane.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Samotnick — Sat, 09 Mar 2024 17:00:38 GMT

@sovteq1 Oczywiście masz rację. Napisałem to jako ciekawostkę, że pomimo chęci blokowania przez swoje DNSy, jak również przez przechwytywanie zapytań do innych serwerów DNS na porcie 53 i tak jest możliwe nawiązanie połączenia z blokowaną przez CyberTarczę usługą.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

D_amian — Sat, 09 Mar 2024 19:09:51 GMT

DNS na porcie TCP w ogóle mi nie działał. Jednak kiedy zmieniłem ustawienie funbox firewalla w tryb zaawansowany, usunąłem wszystkie standardowe reguły i dodałem jedną "akceptuj" bez żadnych warunków spowodowało, przynajmniej DNS po TCP zaczął działać. Ale tylko DNS.

W tym przypadku można zaobserwować, że to sam funbox przejmuje komunikację obserwując ruch na karcie sieciowej - połączenie TCP jest ustanawiane zbyt szybko na na połączneie do internetu - pakiet SYN-ACK jest odsyłany w ok 1ms.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

agat13 — Sat, 09 Mar 2024 19:16:04 GMT

@sovteq1 dla b2b polecam Internet Premium z Zyxelem. Mimo tego, że usługi podobne, z tamtym nie ma problemów. Może warto zlecić zmianę FB na tryb bridge i postawić własny router? Tam nie powinni nic blokować

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Samotnick — Sat, 09 Mar 2024 19:37:21 GMT

@agat13 To raczej nic nie da. To (CyberTarcza) jest usługa core’owa i na danych komórkowych działa identycznie (przechwytuje zapytania na porcie 53). Według mnie trzeba zlecić wyłączenie tej usługi.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

agat13 — Sat, 09 Mar 2024 19:47:43 GMT

@Samotnick chyba masz rację. Na Internet Premium nie ma CT

Warto zadzwonić na infolinię i podpytać o wyłączenie

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

sovteq1 — Sat, 09 Mar 2024 22:37:27 GMT

agat13 Podpowiesz w jaki sposób przejść z neostrady na internet premium?

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

j131 — Sun, 10 Mar 2024 13:03:39 GMT

@D_amian @sovteq1

Nie jestem pewien, czy odpowiedzi sugerujące że "winna" jest Cybertarcza są poprawną interpretacją tego co się dzieje.

Ja mam normalną kliencką umowę Love z FTTH, łącze realizowane poprzez ruter FB3.

Tym samym (domyślnie) jest na nim aktywna CT, jednak w zakresie DNS ona jest zaimplementowana wyłącznie poprzez wymuszenie używania serwerów DNS operatora. Nie zaobserwowałem przechwytywania zapytań DNS przez FB3 ani CT. Z mojej sieci przykłady które podałeś wychodzą zupełnie normalnie, dostaję na dig odpowiedzi dokładnie takie same jak u @D_amian przez VPN. Wobec tego konkluduję, że to nie może chodzić o standardową CT, musicie mieć w ramach swoich usług "biznesowych" coś innego włączone. Normalna, "powszechna" CT NIE PRZECHWYTUJE ZAPYTAŃ DNS, wbrew temu co sugerują niektóre odpowiedzi.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

D_amian — Sun, 10 Mar 2024 13:21:30 GMT

CT stacjonarna ma swój regulamin, który mówi, że CT może zostać deaktywowana na życzenie klienta. Poza tym nigdzie w regulaminie CT i innych regulaminach (o świadczenie internetu domowego, Paczki do internetu firmowego) nie wspomina się o blokowaniu ruchu do internetu na jakiś konkretny port.

Na stronach orange są opisy, które sugerują, że warunkiem działania CT jest używanie DNS Orange np https://cert.orange.pl/aktualnosci/serwery-dns-jak-sprawdzic-i-zmienic-ustawienia/ Orange nigdzie nie pisze, że jest to jakoś wymuszane.

Nie mam więc formalnie podstaw oczekiwać, że w jednej usłudze do internetu komunikacja na port 53 jest zablokowana a w innej nie i oczekuję, że takich restrykcji nie ma. W tej chwili zakładam, że to co obserwujemy z przekierowaniem całego ruchu portu 53 na serwery orange jest błędem po stronie Orange.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

j131 — Sun, 10 Mar 2024 13:48:47 GMT

@D_amian

Pełna zgoda.

Co do "wymuszania" to spieszę wyjaśnić, że jest to robione relatywnie łagodnie: domyślna konfiguracja FB obejmuje serwer DHCP z ustawionym na sztywno adresem serwera DNS. I tyle. Ręczne wpisanie innego adresu na klientach czy postawienie własnego serwera DHCP nie jest w żaden sposób utrudniane. Efektywnie, jeśli używa się sprzętu operatora w domyślnej konfiguracji, to używa się mechanizmu "ochronnego" bazującego na manipulowaniu DNS. Ale to odbywa się bez przechwytywania zapytań skierowanych do innych serwerów. Tego co opisujesz (np. odpowiedź podszywająca się pod serwer 1.2.3.4) nie obserwuję na moim łączu FTTH, co potwierdza że jest to jakieś patologiczne ustawienie, bynajmniej nie "typowe" dla CT czy jakkolwiek to nazwać.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Samotnick — Sun, 10 Mar 2024 15:51:24 GMT

@j131 My piszemy o innym „smaku” CyberTarczy. Przez takie same nazwy jest kłopot z porozumieniem. Ta o której piszemy używa DNSów o adresach 195.116.116.16 i 195.116.116.116. Nie można ominąć tych serwerów bo Orange przechwytuje ruch na porcie 53 i zapytania do innych serwerów obsługuje za pomocą tych które wymieniłem. Ta usługa jest także znana jako CyberOchrona. Możesz do niej zalogować się

na stronie cybertarcza.orange.pl Przykładowy zrzut z ustawień (mazaniec jest mój):

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

j131 — Sun, 10 Mar 2024 16:48:41 GMT

OK, ale tej wersji nie ma się włączone za darmo w "Love". Może w biznesowych się ma. Na bałagan w nazewnictwie zwracane było uwagę nie raz, na AMA, w bezpośrednich postach i nawet przez króciutki momencik było jakby lepiej (Cybertarcza - Cyberochrona), ale zaraz marketing wziął górę i znowu jest bałagan i ogólna dezinformacja. Brawo Orange!

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Samotnick — Sun, 10 Mar 2024 17:11:22 GMT

@j131 Ta usługa jest w cenie oferty firmowej. Jak chcesz ją potestować to możesz to zrobić na numerze OFnK. Pierwszy miesiąc jest za darmo. Musiałem się z nią zapoznać aby zdiagnozować dlaczego znajomy nie może się ze swojego firmowego internetu dostać do swojej domeny.