temat Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było? w Internet domowy

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu — Wed, 08 Jan 2025 06:33:36 GMT

Niestety nie jest to takie proste - albo ktoś w Orange albo bliżej nieokreślonych (chyba) służbach (lub niezwykle utalentowany haker z dostępem do infrastruktury operatorskiej - nie wiem, może jakieś APT?) mnie bardzo nie lubi albo jest jakiś MEGA problem z wyłączaniem tego blokowania CT, a mianowicie:

1. Zakupiona usługa "Internet światłowodowy 1Gbit/s" w pakiecie na 24M z 8-adresową podsiecią PUBLICZNYCH adresów IPv4 (czyli takich widocznych bezpośrednio w internecie i z dostępem do tegoż "dobra" również beż żadnych "dziwnych" ograniczneń) - tutaj nie mam żadnych zastrzeżeń: sprawna i szybka, profesjonalna obsługa zarówno przez handlowca/opiekuna jak i ekipę monterów przybyłą na miejsce, data uruchomienia usługi (niestety również CT): 2024-12-06

2. Problemy zauważyłem dopiero przy przenoszeniu/uruchamianiu usług - DNSSEC przestał działać, po krótkiej weryfikacji okazało się, że ruch DNS (port 53/udp) jest po prostu przechwytywany przez bliżej nieokreślone urządzenie w sieci Orange. Poszło zgłoszenie do CERT ORANGE - odpowiedź raczej szybka i ignorancka, żebym sobie dokonfigurował usługę i urządzenie poprzez kontakt z BOK, ale tutaj akurat rozumiem, że mają ważniejsze sprawy niż konfigurowanie CT (i statutowo inny zakres działań), data 2024-12-13

3. Tego samego dnia (2024-12-13) poszła reklamacja przez BOK, już nie pamiętam, ale chyba najpierw telefonicznie i rozmowa z konsultantem (to na pewno), a następnie też mailowo (potwiedzenie otrzymałem mailem, więc możliwe, że też przesłałem reklamację na maila)

4. Reklamacja została UZNANA i otrzymałem odpowiedź mailową w dniu 2024-12-19 o godzinie 11:51 (timezone Europe/Warsaw). Nawet oficjalnego PDFa otrzymałem z podpisem doradcy (z imienia i nazwiska, co ostatnio rzadko się zdarza - doceniam). Po chwili DNS zaczął normalnie działać, ruch nie był w żaden sposób blokowany i również DNSSEC zaczął funkcjonować, więc z uwagi właśnie na BEZPIECZEŃSTWO pozostawiłem go włączonego. Data 2024-12-19, wczesne popołudnie (możemy przyjąć, że ok. godz 13-14) - tutaj wszystko działa, jest OK - nie ma żadnego przechwytywania/blokowania!

5. Po upływie ok 24h (doby), nagle coś dziwnego zaczyna się dziać i usługi zależne od DNS przestają działać. Ponieważ mam własny serwer DNS i również buforuję oraz częściowo filtruję ten ruch dla niektórych usług, to ma to pewne opóźnienia, więc prawdopodobnie ruch na porcie 53/udp w sieci Orange zaczął być przechwytywany/filtrowany wcześniej niż to zauważyłem (czyli gdy zaczęły mi się składać usługi). Data 2024-12-20, godziny popołudniowe (możemy przyjąć, że stało się to gdzieś pomiędzy godziną 13 i 15).

6. Tego samego dnia (2024-12-20), po godzinie 16 dokonałem analizy, zebrałem logi/screeny i ponownie zgłosiłem do CERT ORANGE, tym razem "Poważny incydent w sieciach/systemach Orange", bo co innego jest działanie CT, a co innego gdy nagle coś/ktoś włącza jakieś przechwytywanie ruchu bez żadnego uprzedzenia i mojej autoryzacji na wynajętym przeze mnie łączu z pulą publicznych adresów IP - coś takiego jest po prostu niedopuszczalne na żadnym łączu biznesowym. Zgłoszenie poszło również do BOK na maila (te same logi/screeny).

7. Jak na razie (mamy wieczór dnia 2025-01-07, czyli minęło 18 dni) nie mam absolutnie żadnej odpowiedzi, a ruch na porcie 53/udp nadal jest filtrowany i przechwytywany (przez bliżej nieokreślone urządzenia w sieci Orange (ale na pewno używają oprogramowania 'dnsmasq' w wersji '2.89'), nad którymi chyba nawet operator do końca nie ma kontroli, co mój przypadek niestety dobitnie pokazuje - normalnie, aż strach się bać!).

Zdaję sobie sprawę, że po drodze były Święta i Nowy Rok (i nawet "6-ciu Króli"), ale coś takiego na usłudze biznesowej w ogóle nie powinno się zdarzyć - operator ustawia swoje urządzenia w tryb "bridge" i mamy bezpośredni dostęp do publicznej sieci internet, bez żadnych blokad i ograniczeń (w ramach obowiązującego prawa) o ile nie zgłoszone zostały żadne nadużycia (chyba po coś są te informacje i adresy 'abuse' w rekordach 'whois' ?!). Czy Ktoś z Was może miał taki przypadek? Co tutaj można zrobić, bo przyznam szczerze, że usługa publicznych adresów IP, bez bezpośredniego dostępu do publicznej sieci internet, tylko nie wiadomo jak, gdzie, kiedy i przez kogo blokowanej/filtrowanej jakoś specjalnie nie jest mi potrzebna - mam w umowie i płacę jednak za publiczne adresy IPv4 z dostępem do publicznej sieci internet?!

Dla mnie, przyznam szczerze, że jest to niepojęte i absolutnie niedopuszczalne - zastanawiam się, czy w ogóle tego gdzieś nie zgłosić? - bo brzydko mówiąc jestem zwyczajnie "robiony w balona" i doi się ze mnie kasę za niedziałającą usługę. Dla porządku wklejam dzisiejszy screen z malinki (szybka diagnoza DNS 'root-hints' przy pomocy 'dig').

_____________________

*Ukryłem numer zgłoszenia oraz wydzieliłem z tematu "Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć? - moderator Wojciech.

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

j131 — Tue, 07 Jan 2025 19:32:40 GMT

@wiesheu
Ale jak to, nie możesz zrezygnować z usługi CT w wersji komercyjnej??? W punkcie 4 w ramach reklamacji co właściwie zrobiono? W umowach dla klientów indywidualnych CT jest obligatoryjna, ale w wersji darmowej, takiej która NIE przechwytuje ruchu DNS. Dzięki temu mój serwer DNS działa sobie w sposób niezakłócony.

Co na to @Rosiu ?

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

hasuzlasu — Wed, 08 Jan 2025 06:49:04 GMT

@wiesheu narazie nie chce nic sugerować ale podejrzewam przyczynę

na początek mały research:

czy wystawiłeś to rpi na zewnątrz? ssh? jaki port? jesli tak to

czy logując się na roota używasz hasła czy klucza?

prócz pi-hole/adguarda masz inne usługi apki odpalone?

sprawdzałeś auth.log? faillog?

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

pirenej — Wed, 08 Jan 2025 07:52:27 GMT

@wiesheunapisał(-a)Dla porządku wklejam dzisiejszy screen z malinki (szybka diagnoza DNS 'root-hints' przy pomocy 'dig').

a możesz pokazać ten sam dig bez +short?

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu — Wed, 08 Jan 2025 10:33:54 GMT

Dzięki @j131 , fajnie, że nie tylko ja zauważam, że coś tutaj jest grubo nie tak - słusznie zwróciłeś uwagę na pkt.4 gdzie opisałem, że reklamacja została oficjanie uznana i ruch został puszczony bez żadnych blokad/filtrowania, po czym, po upływie ok. jednej doby (24h) znowu nie wiadomo jak i skąd zostało włączone jakieś filtrowanie => patrz pkt.5. Obstawiam, że dla BOKu (i ich systemów) jest już po sprawie i mam prawdopodobnie gdzieś w ich systemach "odfajkowane" że sprawa rozwiązana, ale klient to "pieniacz" i "wymyśla" jakieś dziwne rzeczy (które możliwe, że dla 99% klientów faktycznie nie mają żadnego znaczenia). Też chętnie poznam opinię @Rosiu w tej sprawie.

Widzę, że kolega @hasuzlasu trochę mnie sprawdza XD, ale zakładam dobre intencje, więc chętnie rozwieje wątpliwości - portu 22 to nie używam już chyba od ponad 15L, malinka nie jest wystawiona na zewnątrz (choć jeśli sprawy obiorą kierunek prawny, to pewnie będę musiał wystawić jakąś maszynę bezpośrednio do tej publicznej podsieci IPv4 i prawidłowo zebrać materiał dowodowy), haseł też już raczej nie używam jeśli nie muszę, bo logowanie kluczem jest wygodniejsze i bezpieczniejsze, a na root'a to nie loguję się bezpośrednio odkąd pamiętam, czyli od zawsze:) odnośnie odpalonych usług, to chyba jednak zbyt "intymne", nawet jak dla mnie pytanie na to publiczne forum (ale oczywiście pod sprawę cywilno-prawną lub karną dostarczę wszystkie tego typu informacje - na pewno nie ma tam nic, co normalnie działając, mogłoby zakłócać ruch wychodzący na porcie 53/udp i nawet zainstalowana wersja 'dnsmasq' jest trochę inna '2.89-1' a nie '2.89', no i przed aktualizacją była zupełnie inna, a problem był ten sam). Standardowo w auth.log i faillog nic (nawet podejrzanego) nie ma i z wiadomych przyczyn nie podzielę się screenem. Poza tym, moje doświadczenia (również z innymi urządzeniami) pokazują, że "duzi gracze" najczęściej mają jakieś 'backdoor'y' lub 'exploity' gdzieś na poziomie jądra systemu danego hosta (lub ściślej stosu sieciowego systemu lub urządzenia) i bardzo często swojej obecności nie ujawniają absolutnie w żadnych logach, a dziwnie działające urządzenia, po restarcie zaczynają funkcjonować prawidłowo/normalnie (czysta 'presence' tylko w RAM - z poziomu służb bardzo pożądana, stąd moja sugestia/przypuszczenie), naturalnie można to wtedy zrzucić także na jakąś 'wyciekającą pamięć', błędy implementacyjne lub konfiguracyjne, ale jeśli po zgłoszeniu takich "dziwnych zachowań" i w porozumieniu z producentem urządzenia otrzymujesz specjalny firmware do zbadania sprawy, a po jego wgraniu do jednego z urządzeń, nagle dwa inne, niezależnie działające urządzenia w tej samym segmencie sieci, w tym samym momencie się restartują, to już nie jest przypadek:)

Dla zainteresowanych i kolegi @pirenej wrzucam screeny, żeby widać było, że ta "malinka" jest w miarę czysta i "nie grzebana" (przynajmniej sieciowo). Odnośnie 'dig', to niby daje odpowiedź autorytarną 'aa' dla zapytania do konkretnego serwera, ale już dla '.' i 'ns' niestety nie (choć wydaje mi się, że każdy serwer 'root-hints' powinien być autorytarny dla strefy '.'), no i te niewiarygodnie szybkie (jak na serwery 'root-hints') i zbieżne czasy odpowiedzi oraz to samo oprogramowanie ze zgodną wersją sugeruje jakiś przechwytywacz gdzieś bardzo blisko (możliwe, że w samym modemie - Fun/LiveBoxie).

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

pirenej — Wed, 08 Jan 2025 11:03:48 GMT

a jaki masz router? Czy to dnsmasq to nie z niego?

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

Rosiu — Wed, 08 Jan 2025 11:21:25 GMT

@wiesheu podeślij pls na priv numer zgłoszenia do nas (bo pewnie dostałeś zwrotkę za takim dłuuuugim numerem). Pociągnę sprawę.

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu — Wed, 08 Jan 2025 12:35:24 GMT

Dzięki @pirenej za zainteresowanie, ale niestety nie podzielę się tutaj nazwą urządzenia - mogę tylko napisać, że NIE JEST TO (zniesławiony) TP-LINK, ani żadne inne popularne, konsumenckie rozwiązanie konfigurowane przez klikadełko via WEB GUI i na pewno nie przechwytuje DNS (pisałem, że przez jedną dobę było OK, a urządzenie nie było wtedy dotykane i nie ma tam żadnego otwartego oprogramowania typu 'dnsmasq') - także 'Salt Typhoon' raczej nie podejrzewam (choć w Stanach ostro namieszali i to właśnie przez dostęp dla 'law enforcement' do sieci operatorskich), bardziej bym był skłonny uwierzyć w lokalne podwórko - mentalnie osiadłe na schyłku PRL oraz filmach "Dług" i "Układ zamknięty" (mentalnie to takie "polskie").

@Rosiudzięki za info - puściłem Ci wiadomość na priv

Wszystkim pozostałym bardzo dziękuję za zainteresowanie, weryfikację oraz pomoc (czy nawet próbę pomocy) - jak na razie status mamy taki:

Druga reklamacja została rozpatrzona pozytywnie (zaraz po dzisiejszym poście otrzymałem telefon i SMS), a ruch DNS tak jak był przechwytywany i DNSSEC nie działał, tak dalej jest przechwytywany (przez 'dnsmasq' w wersji '2.89') i DNSSEC nie działa XD

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

pirenej — Wed, 08 Jan 2025 16:16:07 GMT

@wiesheunapisał(-a)
Dzięki @pirenej za zainteresowanie, ale niestety nie podzielę się tutaj nazwą urządzenia - mogę tylko napisać, że NIE JEST TO (zniesławiony) TP-LINK, ani żadne inne popularne, konsumenckie rozwiązanie konfigurowane przez klikadełko via WEB GUI i na pewno nie przechwytuje DNS

Nie chodziło o nazwę urządzenia, tylko o stopień Twojego panowania nad nim i czy możesz podejrzeć ruch pomiędzy nim, a ONT. Tajemniczy jesteś, a zarazem rozgadany, popisując się wiedzą o wartości teleturniejowej. Wiele mamy tutaj przypadków podobnie rozgadanych pytających, piszących o wszystkim, ale najmniej o szczegółach istotnych. Cała Twoja nadzieja w @Rosiu i że nie zlejesz podobnie jego zapytań.

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu — Wed, 08 Jan 2025 16:52:27 GMT

@pirenej Jeśli masz ochotę, to zapraszam do kontaktu na priv, możesz mi podesłać też swój profil na LinkedIn, to odpowiem swoim (z aktualnym zdjęciem i zweryfikowany dowodem osobistym) jeśli uznam, że Twój profil jest równie wiarygodny co mój - taki trochę standard teraz (lub "znak naszych czasów"), że nie chodzimy pokazując wszędzie kim jesteśmy, czym się zajmujemy, co mamy, czego używamy i co potrafimy - parafrazując, to taki trochę "Zero Trust" lub "Least Privilege" 😄

Wiedza i panowanie (na razie możesz wierzyć mi na słowo lub nie - jak wolisz) na poziomie certyfikowanego inżyniera sieciowego i specjalisty cybersec (również certyfikowanego). Mogę przejrzeć ruch, mogę nawet podłożyć sprzętowego/transparentnego TAPa i zgrać wszystko np 'wiresharkiem' lub 'tcpdump' do .pcap, tylko powiedź mi co to da, jeśli problem jest gdzieś poza zakresem mojej jurysdykcji - np. w urządzeniu lub sieci Orange - lub co zrobię, gdzie/komu wyślę ten plik? a nawet jeśli go prześlę, to przecież zawsze będzie można to podważyć tekstem, że "na pewno coś źle zrobiłem" lub coś pominąłem, albo nie mam kwalifikacji, autoryzacji, jestem za młody albo za stary i co ja w ogóle wymyślam, itd. bo przecież "internet działa" ?! XD - z kolegą @Rosiu już się kontaktem wymieniłem, mam nadzieję, że zaprosi mnie do tego "teleturnieju" i uda nam się problem rozwiązać.

Przepraszam jeśli kogokolwiek jeszcze uraziłem swoim rozgadaniem lub tajemniczością - wydaje mi się, że wszystkie szczegóły istotne podałem - konkretne daty kontaktów z BOKiem oraz CERT Orange, a także zrzuty z odpytań DNS, może jak znajdę czas, to z innego łącza i z innej lokalizacji wrzucę obrazek jak to powinno wyglądać (każdy 'root-hints' ma inne oprogramowanie i w innej wersji oraz każdy powinien udzielać odpowiedzi autorytarnej 'aa' dla strefy '.' czy też mieć niezerowe czasy odpowiedzi, bo to jednak maszyny z różnych lokalizacji na świecie).

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

pirenej — Wed, 08 Jan 2025 17:00:30 GMT

@wiesheunapisał(-a)
@pirenej Jeśli masz ochotę, to zapraszam do kontaktu na priv

nie mam ochoty. To jest forum, a jego rolą jest umożliwienie dzielenia się wiedzą i rozwiązywania problemów dla korzyści społeczności, a nie wielbienie własnych kompetencji.

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

j131 — Wed, 08 Jan 2025 19:31:39 GMT

@wiesheunapisał(-a)
...
Druga reklamacja została rozpatrzona pozytywnie (zaraz po dzisiejszym poście otrzymałem telefon i SMS), a ruch DNS tak jak był przechwytywany i DNSSEC nie działał, tak dalej jest przechwytywany (przez 'dnsmasq' w wersji '2.89') i DNSSEC nie działa XD

Powodzenia, bo widać że na naszej pomocy Ci nie zależy, sam wiesz wszystko i tak najlepiej. Tylko czemu ci w takim razie nie działa coś tak oczywistego jak DNS?🤔

Po tym co napisałeś już taki pewny że to CT nie jestem. To może być jednak coś u Ciebie, ale zbyt tajne byś to pokazał, nawet samemu sobie, o nas, wrogich szpiegach nie wspominając. 😂

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu — Wed, 08 Jan 2025 21:36:45 GMT

@pirenejserio nie wiem, o co Ci chodzi - najpierw zadajesz prawie że "szkolne" pytania jakby weryfikujące konfigurację i moje kompetencje - odpowiadam, to dopytujesz o "stopień panowania nad urządzeniem", gdy ponownie grzecznie i merytorycznie odpowiadam, to sugerujesz, że wielbię własne kompetencje - już widzę, że zwyczajnie od samego początku nie chcesz mi pomóc, a jedynie wyciągasz (lub chcesz wyciągnąć) informacje, które ja uważam, że są bez znaczenia i nie mają żadnego wpływu na to, że na światłowodzie Orange jest coś, co przechwytuje i blokuje ruch DNS (i mimo zlecenia wyłączenia przez BOK ta blokada/usługa CT nadal blokuje ten ruch) - jeśli nie chcesz mi pomóc, to zwyczajnie nie udzielaj się w tym wątku i nie odpowiadaj na moje posty

@j131- bardzo zależało mi na Waszej pomocy i dlatego zdecydowałem się napisać o tym na forum, bo napotkałem przeszkodę, której nie mogę sam pokonać i szczerze mówiąc, to nie wiem, gdzie jest problem, bo najprawdopodobniej jest gdzieś poza obszarem mojej odpowiedzialności, czyli CT na urządzeniu (Fun/LiveBox) lub w sieci Orange, ale BOK twierdzi, że wszystko jest OK (już nawet 2x mi wyłączali CT), a CERT Orange nabrał przysłowiowej "wody w usta" - jedyna nadzieja w koledze @Rosiu

Na podparcie mojej tezy, że w mojej sieci i na moich urządzeniach jest wszystko w porządku, a także, żeby podzielić się wiedzą z użytkownikami forum dołączam screeny z tej samej 'malinki' ale po przełączeniu się na łącze backupowe po LTE (też w sieci Orange), czyli urządzenie końcowe to samo, z tym samym oprogramowaniem, router brzegowy ten sam (i z tą samą konfiguracją firewalla), jedyne co się zmieniło, to odpiąłem na chwilę (od swojego routera) Orange'owy modem światłowodowy (Fun/LiveBox) - tak powinny wyglądać odpowiedzi od serwerów 'root-hints' przy poprawnej (nie przechwytywanej i nie blokowanej) komunikacji DNS, czyli mamy 'aa' (odpowiedź autorytarna) i różne serwery mają różne oprogramowanie oraz różne czasy odpowiedzi (DNSSEC po LTE też działa, ale oszczędzę tutaj tej diagnostyki):

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

pirenej — Wed, 08 Jan 2025 22:51:32 GMT

@wiesheunapisał(-a)
odpiąłem na chwilę (od swojego routera) Orange'owy modem światłowodowy (Fun/LiveBox)

to w nim jest to dnsmasq. Masz usługę biznesową, więc jest on jakoś inaczej przygotowany niż pod usługę konsumencką. Ale znany był fakt, zaobserwowany również przeze mnie, że żądania do 1.1.1.1 przechwytywał funbox. Teraz, po aktualizacjach firmware podobno już tak nie robi, ale tego już nie mam jak sprawdzić, bo schowałem to urządzenie do szuflady precz. Tak czy owak, zjawisko jest pokrewne z Twoim przypadkiem, a możliwe że firmware dla usługi biznesowej nie był aktualizowany w tym zakresie. Masz zewnętrzny ONT?

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu — Thu, 09 Jan 2025 11:24:22 GMT

OK, Dzięki @pirenej - wygląda na to, że mamy diagnozę i naszego winowajcę - nowy Funbox6, podsumujmy jeszcze tylko co udało nam się ustalić:

Jest sobie mały, lokalny i kompletnie nieznany dostawca internetu, nazwijmy go umownie "Pomarańczą" (żeby nikogo nie stygmatyzować i żeby się nikomu z niczym nie kojarzyło), który sprzedaje usługę razem z urządzeniem, nad którym nie ma panowania (lub nie do końca je ma), w którym pewnych usług (do których klient nie ma dostępu) nie da się wyłączyć, a nawet jeśli BOK to zrobi, to mogą się one znienacka same włączyć, a BOK (wygląda na to, że) nie analizuje dokładnie zgłoszeń, tylko przyklepuje jako rozwiązane i to mimo, że problem pozostaje - jest znany i udokumentowany - zamiast zaproponować aktualizację, asystę zdalną, wysłanie technika, rekonfigurację lub wymianę/zmianę urządzenia, które (przynajmniej teoretycznie) powinno być pod ich całkowitym panowaniem (w sensie firmware - oprogramowanie sprzętowe/systemowe i kluczowe parametry konfiguracyjne wymagane dla prawidłowej pracy świadczonych usług) - widzę tutaj sporo możliwości poprawy i optymalizacji, ale to jeszcze mały, lokalny dostawca, więc dajmy mu czas i szansę. Już widać, że sprawy idą w dobrym kierunku, bo dostawca ten powołał organizację "CANT" mającą na celu "ochronę" użytkowników przed zagrożeniami, ale ponieważ stara zasada mówi "nie gryź ręki, która ci jeść daje" to organizacja ta nie może tych wszystkich ludzi ochronić przed największym zagrożeniem pochodzącym od samej "Pomarańczy" - jak widać problemem jest, ta sama ręka, która sięga do mojej, czyli użytkownika kieszeni (ale możemy to zmienić).

Rozwiązanie 1 - jeśli nie mam żadnych swoich urządzeń i innego połączenia z internetem:

Kontakt z BOK, okazanie całkowitej nieporadności, kajanie się w popiele, błaganie o litość i prośba o wymianę urządzenia na takie, które nie będzie złośliwe, nad którym da się zapanować i będzie spełniało swoją rolę (najlepiej żeby nie było za bardzo "inteligentne" i nie miało zbyt wielu "ficzerów"). W moim przypadku to tylko zakończenie sieci światłowodowej operatora - niestety nie mam ONT, dostałem "wszystkomającego" cudownego Funboxa6, któremu nie ufam i którego funkcje są mi całkowicie niepotrzebne, a wystarczyła by wkladka (SFP/SFP+) - włożyłbym, podłączył do swojego routera i było by po sprawie - wszak najlepiej działają odpowiednio dobrane i zaopiekowane urządzenia, nad którymi ma się panowanie. Będę próbował, może mi wymienią na ONT, albo coś "bez wad" uniemożliwiających prawidłowe świadczenie usługi.

Rozwiązanie 2 (tymczasowe) - mamy jakiś drugi, zapasowy internet i jakieś swoje urządzenie lub (stary) komputer/laptopa:

Ta cudowna właściwość, którą wdrożyłem u siebie nazywa się "Policy Based Routing (PBR)" i można to zrealizować na większości urządzeń sieciowych (typu router) oraz systemów operacyjnych (w tym na pewno na linuxie oraz prawdopodobnie na bsd). Przy pomocy tego rozwiązania, możemy część wychodzącego ruchu sieciowego skierować przez drugie/inne/zapasowe połączenie z internetem - jeśli ma ono tylko służyć awaryjnie i do przekierowania ruchu DNS (porty 53/udp + 53/tcp), to nie musi być jakiejś specjalnie dużej przepustowości, bo bardziej liczy się jakość (czyli np niewielkie opóźnienia/pingi i stabilność). Tutaj zamieszczę trochę odnośników, gdzie można odnaleźć, jak można to zrobić na niektórych, popularnych urządzeniach:

https://www.cisco.com/c/en/us/td/docs/routers/asr920/configuration/guide/iproute/iri-xe-3s-asr920-book/iri-xe-3s-asr920-book_chapter_01.pdf

https://www.juniper.net/documentation/us/en/software/junos/routing-policy/topics/concept/firewall-filter-option-filter-based-forwarding-overview.html

https://www.arubanetworks.com/techdocs/AOS-CX/10.08/HTML/ip_route_4100i-6000-6100-6200/Content/Chp_PBR/pol-bas-rou-pbr.htm

https://draytek.pl/przyklady/nat-routing-algorytm-dzialania-loadbalance-routepolicy/#przyklad

https://community.tp-link.com/en/home/forum/topic/645070

https://help.mikrotik.com/docs/spaces/ROS/pages/152600617/Per+connection+classifier#Perconnectionclassifier-ConfigurationExample

https://serverfault.com/questions/1127862/why-is-linux-policy-based-routing-pbr-not-working-for-ping

Mam nadzieję, że postem tym poprawię niektórym użytkownikom humor przed weekendem, a i bardziej techniczni znajdą coś do dłubania dla siebie - niestety, ale jak widać okazało się, że to nie 'SaltTyphon' ani żadne inne APT, czy służby, także "w pi.... cały misterny plan". Chętnie też uchylę trochę rąbka tajemnicy o sobie, żeby nie być takim tajemniczym, otóż "jestem Król Julian i możecie mnie wielbić na klęczkach" (ale nie ma przymusu - tylko prawdziwi pasjonaci).

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

pirenej — Thu, 09 Jan 2025 12:09:29 GMT

@wiesheunapisał(-a)
OK, Dzięki @pirenej - wygląda na to, że mamy diagnozę i naszego winowajcę - nowy Funbox6, podsumujmy jeszcze tylko co udało nam się ustalić

super, że sobie poradziłeś, ale jeżeli to ja pomogłem, to źle oznaczyłeś rozwiązanie.

Nie odpowiedziałeś, czy masz zewnętrzny ONT. Czy możesz?

Z pozostałych tajemnic: FB6 w jakiej roli u Ciebie występuje? Jako bridge aka modem, czy jako router, za którym stoi Twój Właściwy Router? Czy do FB masz admin-dostęp i możesz wyłuskać wersję firmware i ujawnić tutaj?

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu — Thu, 09 Jan 2025 12:43:36 GMT

Mogę odpowiedzieć - niestety, ale mam Funbox6 z wewnętrznym ONT. FB6 występuje w roli 'bridge' (lub jak kto woli 'modem/gateway') dla tej 8-adresowej (/29) podsieci publicznych adresów IPv4. Bridge jest na jednym porcie, więc na pozostałych portach mam standardowy/normalny FB6 z NAT z prywatną podsiecią 192.168.x.x/24 - dorzucam screeny z wersją firmware (poniżej).

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

pirenej — Thu, 09 Jan 2025 12:54:35 GMT

A więc, jeżeli @Rosiu zadeklarował pomoc, niech Ci pomoże wyrwać zewnętrzny ONT. Podłączysz swój sprzęt bezpośrednio, a FB6 dołączysz do składowiska sprzętów zbędnych.

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

ŁysaKaszankaINC — Fri, 10 Jan 2025 08:29:13 GMT

Moim zdaniem post @pirenej jest rozwiązaniem.

Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu — Fri, 10 Jan 2025 11:01:24 GMT

@ŁysaKaszankaINC, nie będę się wykłócał - możecie zgłosić do moderacji i wskazać właściwy post, który uważacie za rozwiązanie.

Ja wskazałem swój post, ponieważ w mojej opinii jest on bardziej kompletny - nie tylko zawiera rozwiązanie uznaniowe, gdzie polegasz na pewnej uznaniowości i dobrej woli operatora, montera, handlowca, infolinii, itd., bo z tego co widzę, to uzyskanie zewnętrznego ONT nie jest w cale takie łatwe, ale także rozwiązanie pomostowe/zastępcze, gdzie można sobie poradzić, nawet jeśli ktoś Ci kładzie przysłowiowe "kłody pod nogi" i mówi, że "coś się nie da" lub częściej, że "nie ma takich możliwości technicznych" (czy wręcz wprost, że "czarne jest białe" lub na odwrót => patrz moje posty, gdzie BOK wprost pisał w swoich oficjalnych pismach, że CT jest wyłączona, a Funbox6 dalej przechwytywał zapytania DNS i nikt nie wiedział, o co mi chodzi, bo przecież jest OK?!:), a Ty z uwagi na swoje doświadczenie, wykształcenie, certyfikację, wiedzę, intelekt, itd. wiesz, że tak nie jest i zwyczajnie starasz się rozwiązać swój problem, ale gdzieś się kończy Twoja jurysdykcja, odpowiedzialność, czy wręcz prawo zabrania podjęcia Ci pewnych działań, dla Twojego własnego dobra i dobra całej społeczności - fajnie, że Was tutaj spotkałem i że mi pomogliście, za co bardzo dziękuję (koledze @pirenej również, bo Jego post faktycznie przypieczętował to, co od dawna podejrzewałem i na co zwracałem uwagę od samego początku) - teraz czekam na szczęśliwy finał. 🙂