Nie można wyświetlić tego widżeta.
Nie można wyświetlić tego widżeta.
Nie można wyświetlić tego widżeta.

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

ROZWIĄZANE

Poziom 13, Tropiciel Przestworzy
  • 7
  • 28
  • 0

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Dzień dobry,

 

Od niedawna jestem szczęśliwym posiadaczem Neostrady + Paczka L + stały adres IP + dodatkowe 4 adresy IP. Wszystko na potrzeby działalności informatycznej. Wszystko działa z wyjątkiem zapytań DNS. Jako administrator muszę czasem weryfikować odpowiedzi DNS różnych serwerów i kluczowe jest wtedy  aby odpowiedź ta była realizowana przez serwer, do którego wysyłam zapytanie i abym dostawał oryginalną odpowiedź (np. sprawdzenie odpowiedzi z autorytatywnego serwera domeny). Niestety najwyraźniej coś po stronie Orange przejmuje zapytania DNS i sam je realizuje. Można się o tym przekonać np. wykonując zapytanie (przykład z komputera z Linux) do nieistniejącego serwera po czym dostaniemy zupełnie poprawną odpowiedź - poniżej przykład do nie odpowiadającego w ogóle na zapytania DNS IP 1.2.3.4. Czy ktoś wie jak można włączyć takie przekierowania? Podejrzewam, że realizuje to Funbox 6 - sądzę tak, bo wysyłając zapytania przy użyciu TCP (`dig +tcp www.wp.pl`) i obserwując ruch pakiet SYN+ACK jest odsyłany w ok 1ms a najszybszy round trip jaki widziałem do internetu na tym łączu to ok 6-7ms.

 

W Cyber Tarczy wszystko jest wyłączone (każda opcja w profilu domyślnym), w Fun box firewall ustawiony jako zaawansowany i wpuszczony każdy ruch każdego protokołu (reguła bez żadnych warunków).

 

Przykład zapytania o www.wp.pl do serwera 1.2.3.4 - czemu dostaję odpowiedź od nieistniejącego serwera?:

 

# dig www.wp.pl @1.2.3.4

; <<>> DiG 9.18.24 <<>> www.wp.pl @1.2.3.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37989
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.wp.pl.			IN	A

;; ANSWER SECTION:
www.wp.pl.		35	IN	A	212.77.98.9

;; Query time: 10 msec
;; SERVER: 1.2.3.4#53(1.2.3.4) (UDP)
;; WHEN: Fri Mar 08 19:26:09 CET 2024
;; MSG SIZE  rcvd: 54

Przykład o www.onet.pl serwera autoratytwnego dla domeny onet.pl. Czemu nie jest to odpowiedź autorytatywna (brak flagi aa, TTL pomniejszony jakby odpowiedź była z cache):

 

# dig www.onet.pl @205.251.193.68

; <<>> DiG 9.18.24 <<>> www.onet.pl @205.251.193.68
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54059
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.onet.pl.			IN	A

;; ANSWER SECTION:
www.onet.pl.		50	IN	A	18.66.122.66
www.onet.pl.		50	IN	A	18.66.122.86
www.onet.pl.		50	IN	A	18.66.122.16
www.onet.pl.		50	IN	A	18.66.122.29

;; Query time: 10 msec
;; SERVER: 205.251.193.68#53(205.251.193.68) (UDP)
;; WHEN: Fri Mar 08 19:37:55 CET 2024
;; MSG SIZE  rcvd: 104

Dla porównania jak to wygląda z serwera VPN poza orange:

 

# dig www.wp.pl @1.2.3.4

; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> www.wp.pl @1.2.3.4
;; global options: +cmd
;; connection timed out; no servers could be reached
# dig www.onet.pl @205.251.193.68

; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> www.onet.pl @205.251.193.68
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65004
;; flags: qr aa rd; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.onet.pl.			IN	A

;; ANSWER SECTION:
www.onet.pl.		60	IN	A	99.86.91.80
www.onet.pl.		60	IN	A	99.86.91.88
www.onet.pl.		60	IN	A	99.86.91.48
www.onet.pl.		60	IN	A	99.86.91.17

;; AUTHORITY SECTION:
onet.pl.		7200	IN	NS	ns5.ringpublishing.net.
onet.pl.		7200	IN	NS	ns6.ringpublishing.net.
onet.pl.		7200	IN	NS	ns7.ringpublishing.net.
onet.pl.		7200	IN	NS	ns8.ringpublishing.net.

;; Query time: 5 msec
;; SERVER: 205.251.193.68#53(205.251.193.68)
;; WHEN: Fri Mar 08 19:38:14 CET 2024
;; MSG SIZE  rcvd: 194
1 ZAAKCEPTOWANE ROZWIĄZANIE

Rozwiązanie:

Ekspert AMA
  • 64
  • 318
  • 45

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Chciałbym tylko dodać, co przekazałem zainteresowanym zmianą w wiadomości prywatnej, zmiana będzie dostępna po kontakcie na Infolinię, o czym poinformuję na forum.

Wyświetl rozwiązanie w oryginalnym poście

42 ODPOW. 42

Poziom 42, Mistrz Międzygalaktyczny
  • 14470
  • 59453
  • 722

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

@D_amian  dzwoń na infolinię Biznes 510600600. Tam zapytaj czy przy Internecie Firmowym jest taka możliwość. Dokładnie opisz opcję usługi. Pomogą 


Poziom 32, Pasjonat Galaktyczny
  • 2350
  • 11247
  • 92

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

@D_amian Włączona CyberTarcza przechwytuje zapytania do zewnętrznych DNSów. Używaj DoH. Albo korzystaj z DNSów przez VPN. Ja nie znalazłem hebla w ustawieniach do tymczasowego wyłączenia CyberTarczy.

BTW, jak dostaniesz odpowiedź 195.116.116.17 lub .117 to znaczy, że Cybertarcza blokuje.


Poziom 13, Tropiciel Przestworzy
  • 7
  • 28
  • 0

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Dzięki za wszystkie odpowiedzi - po weekendzie zadzwonię na infolinię biznes.

 

DoH niestety nie wystarczy - w swojej pracy muszę czasem sprawdzić odpowiedź z serwera autorytatywnego a takie zazwyczaj nie obsługują DoH.

 

Aktualnie diagnozując odpytuję DNS po zalgowaniu na jakiś serwer ale czasem zapomnę o tej konieczności i marnuję czas na szukanie błędu tam, gdzie go nie ma...


Poziom 32, Pasjonat Galaktyczny
  • 2350
  • 11247
  • 92

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

@D_amian Tak to niestety działa. Może musisz wyłączyć tę usługę skoro i tak z niej nie korzystasz.


Poziom 12, Tropiciel Przestworzy
  • 7
  • 28
  • 0

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

Mam dokładnie ten sam problem (również internet światłowodowy z 8 dodatkowymi adresami IP). Zgłosiłem to wczoraj na infolinii, otrzymałem informację, że problem zostanie naprawiony w ciągu 36h - czekam. 

 

Dodatkowo zauważyłem, że orange całkowicie blokuje/przechwytuje ruch wychodzący na port 53. W przypadku umowy b2b jest to niedopuszczalne, również prowadzę działalność informatyczną i utrudnia mi to w sposób znaczny codzienną pracę.

 

W celach testowych postawiłem nawet serwer SSH na porcie 53. Niestety z sieci orange nie można sie na niego dostać. Z każdego innego internetu działa jak nalezy.

 

sovteq1_0-1709998832503.png

 

 

Apel: Orange zdecydowanie nie tędy droga, musicie się z tego wycofać.


Poziom 32, Pasjonat Galaktyczny
  • 2350
  • 11247
  • 92

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

@sovteq1 Nie chcą dopuścić do sytuacji w której ominiesz mechanizm ochronny. Niestety blokowanie domeny przez zwracanie niepoprawnego adresu IP nie powoduje jednoczesnej blokady wyjścia na zablokowany adres. Można więc, korzystając z DoH czy DoT, bez problemu nawiązać połączenie z blokowaną usługą.


Poziom 12, Tropiciel Przestworzy
  • 7
  • 28
  • 0

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

DoH i DoT to inna bajka - te usługi działają na portach odpowiednio 443 oraz 853.

 

Ten wątek dotyczy blokady wychodzącego ruchu na port 53. Orange nie zwraca niepoprawnych adresów IP tylko po prostu podszywa sie pod serwery DNS i zwraca swoje dane.

 

 


Poziom 32, Pasjonat Galaktyczny
  • 2350
  • 11247
  • 92

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

@sovteq1 Oczywiście masz rację. Napisałem to jako ciekawostkę, że pomimo chęci blokowania przez swoje DNSy, jak również przez przechwytywanie zapytań do innych serwerów DNS na porcie 53 i tak jest możliwe nawiązanie połączenia z blokowaną przez CyberTarczę usługą.


Poziom 13, Tropiciel Przestworzy
  • 7
  • 28
  • 0

Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć?

DNS na porcie TCP w ogóle mi nie działał. Jednak kiedy zmieniłem ustawienie funbox firewalla w tryb zaawansowany, usunąłem wszystkie standardowe reguły i dodałem jedną "akceptuj" bez żadnych warunków spowodowało, przynajmniej DNS po TCP zaczął działać. Ale tylko DNS.

W tym przypadku można zaobserwować, że to sam funbox przejmuje komunikację obserwując ruch na karcie sieciowej - połączenie TCP jest ustanawiane zbyt szybko na na połączneie do internetu - pakiet SYN-ACK jest odsyłany w ok 1ms.