27 Stycznia 2021 20:36:59
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Openmediavault - DLNA
· Własny NAS na Xpenology
· instalacja entware [...
· EdgeRouter X - przek...
· [HOWTO] OpenVPN serv...
· Nowiutki RT-AC68U - ...
· [MOD] Tomato by shibby
· Instalacja Entware d...
· [MOD] FreshTomato-MI...
· wrt54g ver2 i dual w...
· Torrenty na tomato -...
· Problem z konfigurac...
· instalacja VPN na as...
· orange swiatlowd pom...
· Jakie serwery adbloc...
· Konfiguracja serwera...
· [MOD] FreshTomato-AR...
· Router - WAN i przek...
· Port forwarding z je...
· Problem z logowaniem...
Najciekawsze tematy
· [MOD] Tomato by s... [13742]
· Torrenty na tomat... [957]
· [MOD] FreshTomato... [452]
· [MOD] FreshTomato... [283]
· Instalacja Entwar... [88]
· Jakie serwery adb... [70]
· orange swiatlowd ... [28]
· Własny NAS na Xpe... [23]
· instalacja entwar... [20]
· [HOWTO] OpenVPN s... [11]
· Konfiguracja serw... [11]
· Problem z konfigu... [8]
· Nowiutki RT-AC68U... [6]
· Asus RT-AC3200 zw... [6]
· Skrętka (patchcor... [5]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [144 głosów]

Broadcom ARM
Broadcom ARM
51% [194 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [12 głosów]

Ogółem głosów: 381
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
3.236.156.34
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
Nie działający DNS przy kliencie OpenVPN - NXDOMAIN
NeoX
Hej

Mam skonfigurowanego OpenVPNa w trybie klienta, którym łączę się z podsiecią do biura.
Wszystko fajnie łączy się, widzę adresy IP w drugiej sieci. Natomiast niestety nie działa DNS, to w dziwny sposób.
Widać, że FreshTomato dodało DNSa uzyskanego przy połączneiu OpenVPN:
Pobierz kod źródłowy  Kod źródłowy
root@krzemieniecka:/tmp/etc# cat /etc/resolv.dnsmasq
search xxx.lan
nameserver 10.100.0.110
nameserver 10.100.0.111
# dns for wan:
nameserver 217.113.224.35
nameserver 217.113.224.135




Natomiast za każdym razem, kiedy próbuję na routerze odpytać domene xxx.lan, dostaje NXDOMAIN:
Pobierz kod źródłowy  Kod źródłowy

Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: query[A] y.xxx.lan from 127.0.0.1
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 10.100.0.110
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 10.100.0.111
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 10.100.0.111
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 217.113.224.35
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 217.113.224.135
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: reply  y.xxx.lan is NXDOMAIN




Ale co ciekawe, nslookup na komputerze w sieci FreshTomato zwraca poprawny adres:
Pobierz kod źródłowy  Kod źródłowy

nslookup y.xxx.lan 10.100.0.110
Server:      10.100.0.110
Address:   10.100.0.110#53

Name:   y.xxx.lan
Address: 10.100.1.23




Natomiast ten sam nslookup na konsoli routera zwraca NXDOMAIN:
Pobierz kod źródłowy  Kod źródłowy

root@krzemieniecka:/tmp/etc# nslookup y.xxx.lan 10.100.0.110
Server:    10.100.0.110
Address 1: 10.100.0.110

nslookup: can't resolve 'y.xxx.lan'






O co tu chodzi?
DNSMasq nie moze sie dogadać z serwerem, ale dlaczego skoro za routerem już mogę?
Dodam, że jako WAN mam zwykły kabel na DHCP, bez udziwnien w stylu PPPoE.

Połączony z 12 stycznia 2021 00:03:59:
Chyba sam znalazłem rozwiązanie.
Okazuje się, że OpenVPN nie współgra z "Enable DNS Rebind protection".
Po prostu serwer DNS zwraca adresy IP z puli lokalnej (nie dziwne, serwery są w sieci lokalnej), co dla DNSMasq jest ostrzeżeniem możliwego ataku DNS rebind.

Tylko, że wyłączenie tej opcji nie jest najlepszym rozwiązaniem, IMO.

Dlatego jakby ktoś miał podobny problem, to polecam dopisać do DNSMasq:
strict-order
rebind-domain-ok=/xxx.lan/

albo w ogóle wyłączyć przy VPN obsługę DNSa i z palca wpisać domene:
strict-order
server=/xxx.lan/10.100.0.110
rebind-domain-ok=/xxx.lan/
Edytowane przez NeoX dnia 12-01-2021 00:03
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 8

· Użytkowników online: 0

· Łącznie użytkowników: 24,012
· Najnowszy użytkownik: szukacz3
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

salawalas
27-01-2021 18:08
Ok. Widzę,że wrzuciłeś 2.84rc2 do repo. Gratki Pfft

pedro
27-01-2021 17:50
Zawsze możesz sobie skompilować obraz z aktualnego repo Pfft

salawalas
26-01-2021 00:06
Hej.Pedro , przewidujesz jakiś emergency security patch do nowego dnsmasq? https://www.jsof-.
..s/dnspooq/

qrs
22-01-2021 16:06

Pakete-kiero
21-01-2021 13:44
Hi, I guess you know there is this NETGEAR page for developers: https://kb.netgear
.com/2649/NETGEAR-
Open-Source-Code-f
or-Programmers-GPL

tamtosiamto
12-01-2021 17:46
ja czytalem, ze wlamanie bylo na ich serwer, a to nie ma chyba wplywu na bezpieczenstwo urzadzen

Adooni
12-01-2021 09:25

bigl
11-01-2021 20:43
Czy Tomato jest na to odporne? https://www.thereg
ister.com/2020/11/
02/application_lev
el_gateway_flaw/

pedro
09-01-2021 13:04
A, myślałem że chodzi o l/p do inita.

Adooni
08-01-2021 18:40
no najnowsze tomato ma login/pass root/admin jak dobrze pamietam

pedro
08-01-2021 17:17
username: admin password: @newdig ???

maciekkoper
08-01-2021 17:07
Jest w stanie ktoś pomóc odnośnie wgrania Tomato na Netgear R7000 po wgraniu nie da się zalogować

Adooni
05-01-2021 20:54
hm przeciez to nic nie da, nie uruchomisz bezposrednio swojego routera

grzesiek1973
05-01-2021 15:59
Czy zna ktoś wartość VPI i VCI w vectrze.

shibby
02-01-2021 12:36
dobra, dodałem 2 tutoriale, na dziś wystarczy Grin

Adooni
02-01-2021 10:19
no widze ze masz wiecej czasu Smile

shibby
02-01-2021 09:58
mówisz i masz Smile pierwszy temat już jest. Kolejne mam nadzieję wkrótce

43,366,678 unikalne wizyty