Ник Пост Дата
ShiGhost(ShiGhost)

Здравствуйте. Имеется свой сервер antizapret. В своей локальной сети поднял unbound и указал в него dns сервер antizapret, почему то не разблокируется сайт yt3.ggpht.com, то есть возвращает DNS оригинальный IP адрес, но другие заблокированные домены работают. Если указать напрямую DNS antizapret, без использования unbound, сайт yt3.ggpht.com начинает грузиться. Кэш чистил unbound, системы и самого браузера. (unbound-control flush_zone ., ipconfig /flushdns и запуск браузера в инкогнито). Логи unbound:

[1720699666] unbound[13704:0] info: resolving yt3.ggpht.com. A IN
[1720699666] unbound[13704:0] info: response for yt3.ggpht.com. A IN
[1720699666] unbound[13704:0] info: reply from <.> 8.8.8.8#53
[1720699666] unbound[13704:0] info: query response was CNAME
[1720699666] unbound[13704:0] info: resolving yt3.ggpht.com. A IN
[1720699666] unbound[13704:0] info: response for yt3.ggpht.com. A IN
[1720699666] unbound[13704:0] info: reply from <.> 8.8.8.8#53
[1720699666] unbound[13704:0] info: query response was ANSWER
[1720699666] unbound[13704:1] info: resolving yt3.ggpht.com. AAAA IN
[1720699666] unbound[13704:1] info: resolving yt3.ggpht.com. AAAA IN
[1720699666] unbound[13704:1] info: response for yt3.ggpht.com. AAAA IN
[1720699666] unbound[13704:1] info: reply from <.> 8.8.8.8#53
[1720699666] unbound[13704:1] info: query response was nodata ANSWER
[1720699669] unbound[13704:0] info: resolving photos-ugc.l.googleusercontent.com. AAAA IN
[1720699697] unbound[13704:0] info: resolving photos-ugc.l.googleusercontent.com. HTTPS IN
[1720699697] unbound[13704:0] info: response for photos-ugc.l.googleusercontent.com. HTTPS IN
[1720699697] unbound[13704:0] info: reply from <.> 8.8.8.8#53
[1720699697] unbound[13704:0] info: query response was nodata ANSWER

unbound.conf (53,7 КБ)

2024-07-11T12:35:16.152Z
rader

У вас в файле конфигурации настроена пересылка зон на адрес google dns. В логах он и отвечает. В данном случае, какого результаты вы хотите?

2024-07-11T15:09:27.388Z
ShiGhost(ShiGhost)

В конфигурационном файле OpenVPN прописано route 8.8.8.8 255.255.255.255 vpn_gateway, то есть он перехватывает запросы. И как я выше писал, что остальные сайты, которые заблокированы открываются с такими настройками и только с yt3.ggpht.com не работает.

2024-07-11T15:39:27.077Z
rader

Понятно.
Попробуйте добавить в конфиг unbound.

server:
private-domain: “yt3.ggpht.com
domain-insecure: “yt3.ggpht.com
forward-zone:
name: “yt3.ggpht.com
forward-addr: 8.8.8.8

2024-07-11T16:11:16.845Z
Xunlei

Приветствую. Не знаю, как работает антизапрет, но есть пара замечаний:

Нет, вы указали google DNS в форфардере.

Эта строка не означает перехват запроса, а лишь указывает машрутизацию через виртуальный интерфейс.

Как при этом открываются заблокированные сайты, мне не понятно. Заблокированные сайты должны резолвиться на приватную сеть (посредством DNS сервера антизапрета), которые уже машрутизируются через тунель (остальные диапазоны адресов машрутизируются по умолчанию).

2024-07-11T16:25:23.122Z
rader

Вот я тоже не понимаю зачем так делать? Почему сразу не указать локальный адрес DNS сервера?

2024-07-11T16:32:11.426Z
ShiGhost(ShiGhost)

Не помогло.

2024-07-11T16:46:18.460Z
ShiGhost(ShiGhost)

Указывал 192.168.104.1, ничего не поменялось, а использую 8.8.8.8, вдруг если отвалиться сервер, чтобы DNS запросы дальше работали.

2024-07-11T16:48:40.843Z
ShiGhost(ShiGhost)

Насколько я знаю, внутри контейнера antizapret идёт перехват всех DNS запросов. Настраивал по инструкции на форуме.

2024-07-11T16:50:18.118Z
Xunlei

Может тогда этот домен не в списке заблокированных? Проверить можно nslookup yt3.ggpht.com 192.168.104.1

Интересно, впервые такое слышу.

2024-07-11T16:57:14.897Z
ShiGhost(ShiGhost)

Я выше уже писал, что если DNS сразу на antizapret, не через unbound, то всё работает (выдаёт ip из подсети 10.224.0.0/24), а если тот же dns адрес указать в самом unbound, и уже запрашивать ip адрес через unbound, то он возвращает оригинальный ip адрес. На счёт перехватов.

2024-07-11T17:03:47.328Z
Xunlei

Понятно. Я бы сравнил два дампа запросов c unbound и без. Может перехват на какие-то хитрые запросы не срабатывает.

Что-то вроде:

nslookup yt3.ggpht.com 192.168.104.1
nslookup yt3.ggpht.com 7f.1
nslookup yt3.ggpht.com 8.8.8.8
2024-07-11T17:08:19.605Z
ShiGhost(ShiGhost)

И что это даёт? Я выше писал, что в первом случае вернёт ip из подсети 10.224.0.0/24, а в третьем случаем оригинальный ip адрес, если учитывать что третий вариант через unbound.

2024-07-11T17:25:05.535Z
Xunlei

Даёт понимание локализации проблемы. Называется отладка. Важны не только результат выполнения, но и сама датаграмма запроса (может там разрешение вообще через TCP идёт, если запрос слишком большой, например, из-за проверки RRSIG).

2024-07-11T17:29:01.769Z
ShiGhost(ShiGhost)

У меня есть предположение, почему это может не работать. При nslookup yt3.ggpht.com, возвращается ещё домен (CNAME) photos-ugc.l.googleusercontent.com, а другие домены которые я проверял на работоспособность, не имеют CNAME. Я попробовал добавить photos-ugc.l.googleusercontent.com в include-hosts-custom.txt, но результата не дало, так же при nslookup photos-ugc.l.googleusercontent.com, возвращает оригинальный ip адрес, что через unbound, что напрямую.

2024-07-11T19:10:05.293Z
nzkhammatov(Ainur Khammatov)

https://ntc.party/t/129/436

2024-07-11T19:43:00.354Z
ShiGhost(ShiGhost)

Спасибо. Получилось, теперь через unbound грузиться yt3.ggpht.com. Конечно это проблемы полностью не решает, ибо сколько доменов заблокировано, которые с CNAME и каждый такой домен вручную добавлять такое себе.

2024-07-12T09:58:17.925Z