Dzień dobry,
Od niedawna jestem szczęśliwym posiadaczem Neostrady + Paczka L + stały adres IP + dodatkowe 4 adresy IP. Wszystko na potrzeby działalności informatycznej. Wszystko działa z wyjątkiem zapytań DNS. Jako administrator muszę czasem weryfikować odpowiedzi DNS różnych serwerów i kluczowe jest wtedy aby odpowiedź ta była realizowana przez serwer, do którego wysyłam zapytanie i abym dostawał oryginalną odpowiedź (np. sprawdzenie odpowiedzi z autorytatywnego serwera domeny). Niestety najwyraźniej coś po stronie Orange przejmuje zapytania DNS i sam je realizuje. Można się o tym przekonać np. wykonując zapytanie (przykład z komputera z Linux) do nieistniejącego serwera po czym dostaniemy zupełnie poprawną odpowiedź - poniżej przykład do nie odpowiadającego w ogóle na zapytania DNS IP 1.2.3.4. Czy ktoś wie jak można włączyć takie przekierowania? Podejrzewam, że realizuje to Funbox 6 - sądzę tak, bo wysyłając zapytania przy użyciu TCP (`dig +tcp www.wp.pl`) i obserwując ruch pakiet SYN+ACK jest odsyłany w ok 1ms a najszybszy round trip jaki widziałem do internetu na tym łączu to ok 6-7ms.
W Cyber Tarczy wszystko jest wyłączone (każda opcja w profilu domyślnym), w Fun box firewall ustawiony jako zaawansowany i wpuszczony każdy ruch każdego protokołu (reguła bez żadnych warunków).
Przykład zapytania o www.wp.pl do serwera 1.2.3.4 - czemu dostaję odpowiedź od nieistniejącego serwera?:
# dig www.wp.pl @1.2.3.4
; <<>> DiG 9.18.24 <<>> www.wp.pl @1.2.3.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37989
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.wp.pl. IN A
;; ANSWER SECTION:
www.wp.pl. 35 IN A 212.77.98.9
;; Query time: 10 msec
;; SERVER: 1.2.3.4#53(1.2.3.4) (UDP)
;; WHEN: Fri Mar 08 19:26:09 CET 2024
;; MSG SIZE rcvd: 54
Przykład o www.onet.pl serwera autoratytwnego dla domeny onet.pl. Czemu nie jest to odpowiedź autorytatywna (brak flagi aa, TTL pomniejszony jakby odpowiedź była z cache):
# dig www.onet.pl @205.251.193.68
; <<>> DiG 9.18.24 <<>> www.onet.pl @205.251.193.68
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54059
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.onet.pl. IN A
;; ANSWER SECTION:
www.onet.pl. 50 IN A 18.66.122.66
www.onet.pl. 50 IN A 18.66.122.86
www.onet.pl. 50 IN A 18.66.122.16
www.onet.pl. 50 IN A 18.66.122.29
;; Query time: 10 msec
;; SERVER: 205.251.193.68#53(205.251.193.68) (UDP)
;; WHEN: Fri Mar 08 19:37:55 CET 2024
;; MSG SIZE rcvd: 104
Dla porównania jak to wygląda z serwera VPN poza orange:
# dig www.wp.pl @1.2.3.4
; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> www.wp.pl @1.2.3.4
;; global options: +cmd
;; connection timed out; no servers could be reached
# dig www.onet.pl @205.251.193.68
; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> www.onet.pl @205.251.193.68
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65004
;; flags: qr aa rd; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.onet.pl. IN A
;; ANSWER SECTION:
www.onet.pl. 60 IN A 99.86.91.80
www.onet.pl. 60 IN A 99.86.91.88
www.onet.pl. 60 IN A 99.86.91.48
www.onet.pl. 60 IN A 99.86.91.17
;; AUTHORITY SECTION:
onet.pl. 7200 IN NS ns5.ringpublishing.net.
onet.pl. 7200 IN NS ns6.ringpublishing.net.
onet.pl. 7200 IN NS ns7.ringpublishing.net.
onet.pl. 7200 IN NS ns8.ringpublishing.net.
;; Query time: 5 msec
;; SERVER: 205.251.193.68#53(205.251.193.68)
;; WHEN: Fri Mar 08 19:38:14 CET 2024
;; MSG SIZE rcvd: 194
