Dynamic DNS nie działa na routerze Archer C80

Fronix · 24 Październik 2024 17:02

Dzień dobry!

Ktoś miał problem z tym, że w ustawieniach Dynamic DNS (DDNS) kiedy wpisuje nazwę domeny od no-ip, to po otrzymaniu potwierdzenia połączenia i następnie wpisanie tej samej nazwy domeny w wyszukiwarce, nie odnajdują one ustawień routera.

jakubd · 25 Październik 2024 14:21

To akurat nic specjalnego - WSZYSTKO zależy od twojego operatora. Może on wcale nie dawać ci zewnętrznego, routowalnego IP, albo może po prostu filtrować ruch przychodzący do twojego routera.
DODATKOWO Archer C80 domyślnie blokuje możliwość administracji routerem z Internetu/WAN. Opcja włączania (wg emulatora i instrukcji) znajduje się w System->Administration->Remote Management.
Ogólnie nie jest to zbyt dobry pomysł wystawiać tę funkcję do Internetu - zbyt często w interfejsach tych routerów znajdowane są dziury bezpieczeństwa, które nie są łatane. Do tego nie ma żadnego zabezpieczenia przed wielokrotnymi próbami logowania (zgadywania hasła), więc warto wtedy ustawić dłuuuuugie i bardzo losowe hasło.

Fronix · 25 Październik 2024 18:59

Dziękuję bardzo. Po Pana wypowiedzi mam teraz pewne wątpliwości. Planowałem zrobić to z kilku powodów – mam skonfigurowany OpenVPN na chmurze AWS, a w swojej sieci lokalnej używam Pi-Hole jako serwera DNS. Skonfigurowałem VPN tak, aby korzystał z tego DNS-a, ale zauważyłem, że w wynikach testów wykrywana jest luka DNS i ujawnia się moja prawdziwa lokalizacja.

Próbowałem skonfigurować tunel w taki sposób, aby ruch DNS przechodził przez VPN, ale napotkałem błędy. Pomyślałem więc, że może warto byłoby uzyskać dostęp do mojego serwera DNS spoza sieci lokalnej. Właśnie dlatego chciałem skonfigurować dynamiczny DNS oraz przekierować odpowiedni port do Pi-Hole.

jakubd · 28 Październik 2024 14:26

Ok, mniej więcej rozumiem teraz problem - dość mocno zakręcony i zaawansowany jak na to forum.
Nie bardzo wiem po co dostęp do lokalnego DNS poza lokalną siecią - to jednak tylko właśnie do zastosowań lokalnych ma być. Nie ma też powodu, żeby ruch DNS zapakowany w VPN miał jakikolwiek problem, jeżeli VPN jest stabilny i nie traci zbyt dużo pakietów.
Ciekawe o jakim teście mówisz w temacie ujawniania lokalizacji przez DNS.

Ogólnie dobra konfiguracja powinna pakować 100% ruchu w VPN i nie pytać o nic - TCP/UDP, każdy port. Z tym, że nijak się nie ma do ukrywania lokalizacji w sieci, bo Windows i Android w telefonie sam z siebie może po prostu przekazać koordynaty GPS. Co gorsza i usługi Google, jak i Apple potrafią powiązać ruch z różnych urządzeń z jednego konta z aktualną lokalizacją telefonu, dodając do tego skanowanie innych urządzeń (ich MAC adresów) w WiFi i w ten sposób cały misterny plan ukrycia się w sieci zadziała tylko dla kilku co głupszych usługodawców, które nie współpracują z usługami lokalizacyjnymi któregoś z gigantów reklamowych.

Ja pakuję do VPNów tylko wybrany ruch wymagany do dostępu do konkretnych sieci - co jest potrzebne w celu uzyskania dostępu do konkretnych usług w tych sieciach.

Jak nie chcemy ujawniać faktu przesłania danych czy kontaktu z siecią, to męczyć się z tym jednak inaczej i pamiętać trzeba o metadanych - sam fakt, że zachodzi ruch już jest wskazówką i między innymi dzięki temu właśnie w Niemczech zdeanonimizowali TORa.

Ogólnie to dość trudny temat i raczej właściwe transfery np. czasem lepiej wykonywać po prostu na maszynach zdalnych. Praca na lokalnym komputerze, zwłaszcza jak chcemy po prostu przeglądać Internet czy korzystać z telefonu - o anonimowości lokalizacji można zapomnieć mając w pobliżu własnego smartfona.

Fronix · 30 Październik 2024 21:46

Przepraszam za opóźnienie w odpowiedzi, ale chciałbym zapytać o jedną rzecz. Rozumiem, że na urządzeniach mobilnych, takich jak iPhone, samo ukrycie IP poprzez tunelowanie i szyfrowanie może nie wystarczyć, ponieważ – jak wspomniałeś – korporacje mogą uzyskać informacje o urządzeniu, na przykład poprzez adres MAC.

Przeprowadziłem test na stronie browserscan.net. Jest tam opcja "DNS leak test", która pokazuje mi serwery DNS z polskimi adresami IP, przypisane do Google LLC, oraz kilka innych adresów z Polski (np. ip-api). Dzieje się tak tylko wtedy, gdy używam mojego lokalnego DNS. Natomiast kiedy go wyłączę, wtedy pojawiają się serwery DNS przypisane do Cloudflare, które obsługuje VPN.

Moje pytanie brzmi: czy korzystanie z lokalnego DNS w jakiś sposób ogranicza działanie VPN? Niestety nie mam wystarczającej wiedzy w tym zakresie i trochę mnie to dziwi, a jednocześnie ciekawi. Kiedy lokalny DNS jest wyłączony, połączenie z DNS Cloudflare w VPN działa prawidłowo i nie pokazuje się komunikat "Wyszukiwania DNS są narażone na ryzyko wycieku". Co ciekawe, nawet kiedy jestem w innej lokalizacji poza siecią lokalną, nie mam już tego problemu ani komunikatu – cały ruch DNS przechodzi przez tunel VPN do serwerów Cloudflare.

jakubd · 31 Październik 2024 08:31

Lokalny DNS - jak rozumiem chodzi o ten w routerze?
Router swoją konfigurację DNS (domyślnie) pobiera od operatora i większość ruchu DNS kieruje właśnie do niego. Możesz po prostu przestawić DNSy, z których korzysta serwer DNS routera, na te z cloudflare.

Co do samego DNS-VPN - połączeniu VPN jest obojętny DNS, może poza momentem nawiązywania połączenia, jeżeli adres serwera docelowego jest podany w postaci domeny a nie IP. Potem już ruch DNS jest mu obojętny - albo komputer będzie wrzucał do niego ruch, albo... nie będzie. I może się zdarzyć, że głupio ustawiony resolver na lokalnej maszynie wyśle zapytania do nie tego serwera DNS, do którego chcieliśmy.

Fronix · 31 Październik 2024 17:38

Mam DNS Pi-hole ustawiony jako primary DNS na routerze. W GUI OpenVPN na AWS skonfigurowałem ten primary DNS jako Pi-hole. Chciałbym, aby mój ruch DNS przechodził przez Pi-hole, kiedy jestem połączony z VPN na AWS. Mimo że podałem ten DNS, nadal występują wycieki DNS z Polski.