Priorita DNS vo Win 10

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod jany1 13. 5. 2024 06:57

Na internete existuje DNS server s IP adresou 1.2.3.4, ktory riesi nejake autoritativne dotazy napr. pre

Kód: Vybrat vše
domena1.ab
domena2.ab


Tieto domeny na realnom internete neexistuju, ale kto si v PC nastavi pre DNS IP adresu 1.2.3.4, tak tie domeny uvidi a naozaj to funguje.
Ak nastavim v routery aby DHCP server prideloval uzivatelovi IP adresu DNS servera 1.2.3.4, tak v nastaveniach sietoveho adaptera vidim, ze je pridelena spravne (ipconfig /all), ale DNS dotazy na domena1.ab, resp. domena2.ab sa uz nevyriesia.
Ako keby windows pouzil ine DNS servery na riesenie tychto domen.
V PC som len uzivatel, takze nedokazem zmenit nastavenia sietoveho adaptera. Mam vsak kontrolu nad routerom, ale ako som uz napisal, tak Win 10 ako keby ignoroval IP adresu ktoru dostane od DHCP.

Toto som vyriesil, ked som na openwrt nastavil aby dnsmasq pre konkretnu domenu pouzil konkretny DNS. Ked klient pouzije v url napr. domena1.ab a poziadavka dorazi na resolver v routery, tak automaticky ho posiela na DNS s IP 1.2.3.4 a dotaz je vyrieseny uspesne.

Potreboval by som vyriesit tymto sposobom napr. example.com. Example.com vsak na internete existuje. Na DNS servery 1.2.3.4 existuje zona pre example.com (samozrejme existuje aj web server, kde je iny obsah ako na realnom example.com).
Ak uzivatel za openwrt routerom (kde dnsmasq je nastaveny (vid predosly odsek)) s Win 10 pouzije v url example.com, tak ho riesi DNS 1.2.3.4 a zobrazi sa mu nie original example.com, ale ten na ktory ho poslal DNS 1.2.3.4.
Toto vsak nefunguje na PC, kde su nastave len uzivatelske prava. Ako keby system pouzil iny DNS aj ked router mu natvrdo prikazuje, ktory DNS server ma pre example.com pouzit.
jany1
Junior

Odeslat příspěvekod JirkaVejrazka 13. 5. 2024 07:47

Pokud se bavis o pouziti prohlizecem, tak ty dnes postupne opousteji pouzivani systemoveho DNS a prechazeji na DoH (DNS over HTTPS). V nastaveni prohlizece hledej "DoH" nebo "Secure DNS" a to vypni.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod jany1 13. 5. 2024 08:35

Aha cize namiesto portu 53, pouziju 443 ? A kedze tie 2 nerealne domeny sa nenajdu, tak potom pouzije 53?
jany1
Junior

Odeslat příspěvekod JirkaVejrazka 13. 5. 2024 09:36

Ne, na portech v podstate nezalezi. Podstatna informace je ta, ze v pripade pouziti DoH se prohlizec nikdy nezepta DNS server 1.2.3.4, ale vzdy jen nejakeho velkeho DNS poskytovatele (CloudFlare, Google), ktery ty domeny pochopitelne nezna.

A protoze ten dotaz je kompletne sifrovany, tak se do hry nevlozi ani tvuj dnsmasq.

Mas dve moznosti - vypnout DoH v prohlizecich pouzivanych uzivateli, nebo zajistit, aby ty domeny realne existovaly v Internetu.

Port 53 se nepouzije. Neni duvod, protoze "domena neexistuje" je validni odpoved na ten DNS dotaz. Nikdo nemuze vedet, ze na svem DNS serveru jsi schopny jejich jmena prelozit na IP adresu.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod jany1 13. 5. 2024 23:10

Skusil som napr. v google chrome
Kód: Vybrat vše
chrome://settings/security

Používať zabezpečené DNS som disabloval, ale nepomohlo.

V edge
Kód: Vybrat vše
nastavenia -> Ochrana osobnych udajov, vyhladavanie a sluzby -> zabezpecenie

Pouzit zabezpecene dns na urcenie sposobu vyhladania sietovej adresy pre webove lokality som disabloval, ale nepomohlo.
Vymazanie cache v browsery.
Ked som skusil do url napisat example.com, tak DNS so spustenim tcpdump odpovedal takto
Kód: Vybrat vše
23:46:12.599791 IP 4.3.2.1.47671 > 192.168.20.10.53: 32293+ A? example.com. (33)
23:46:12.600031 IP 192.168.20.10.53 > 4.3.2.1.47671: 32293* 1/0/0 A 1.2.3.4 (49)
23:46:12.604742 IP 4.3.2.1.34149 > 192.168.20.10.53: 56706+ AAAA? example.com. (33)
23:46:12.605013 IP 192.168.20.10.53 > 4.3.2.1.34149: 56706* 0/1/0 (75)

IP su vymyslene. Ono to vyzera, ze naozaj browser kontaktuje spravny dns 1.2.3.4, ale preco to neprelozi na IP aka je nastavena na DNS servery, ale na originalnu IP pre example.com
Naposledy upravil jany1 dne 14. 5. 2024 15:21, celkově upraveno 1
jany1
Junior

Odeslat příspěvekod r34ktor 14. 5. 2024 13:49

Zkus, jak se chová portable Firefox, když mu v about:config přepneš předvolbu security.enterprise_roots.enabled na false.
Knowledge is power
Greinerův poznatek o zhroucení: Důvod, proč se počítač zhroutil, je vždy za hranicí tvých znalostí.
r34ktor
Pokročilý
Uživatelský avatar

Odeslat příspěvekod JirkaVejrazka 14. 5. 2024 13:52

Co to ma spolecneho s DNS?

-- 14. 5. 2024 14:55 --

IP su vymyslene. Ono to vyzera, ze naozaj browser kontaktuje spravny dns 1.2.3.4, ale preco to neprelozi na IP aka je nastavena na DNS servery, ale na originalnu IP pre example.com


Pro puvodniho tazatele - tezko neco diagnostikovat, kdyz nevidime originalni data. To jsou ty IP a domeny adresy tajne?

Sice to ten vypis nenapovida, ale existuje moznost, ze kontaktuje ten "originalni" server pres IPv6 ?
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod jany1 14. 5. 2024 15:28

Kurna! Na niektorych PC neni problem, funguje to presne tak ako chcem. Problem robia len PC, kde bohuzial nie som admin, len user (admina kontaktovat nemozem). PC su zrejme aj v domene ... fakt neviem ako to tam je nastavene a preco to neresolvuje tak ako chcem

Kód: Vybrat vše
1.2.3.4 Verejna IP DNS servera
4.3.2.1 IP klienta, ktory kontaktuje DNS server
192.16.20.10 LAN IP DNS servera, kde je  spusteny TCPDump


Ani DNS server a ani klient nepoznaju IPv6 siete a su nakonfigurovane na IPv4, neviem preco je vo vypise AAAA?
jany1
Junior

Odeslat příspěvekod JirkaVejrazka 14. 5. 2024 15:38

Aha, takze DNS server ma dve sitova rozhrani? A je nastaveny tak, aby odpovidal na obou stejne?

Reseni je jednoduche - zjisti (tcpdump), jestli se nejak lisi dotazy a odpovedi na tech strojich, kde to funguje a na tech strojich, kde ne.

Ani DNS server a ani klient nepoznaju IPv6 siete a su nakonfigurovane na IPv4, neviem preco je vo vypise AAAA?


Jiste to nevim, ale tipnul bych si, ze predpoklad, ze klienti neznaji IPv6, neni spravny.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod jany1 14. 5. 2024 16:38

Ano to mozem skusit ako to zachyti tcpdump na PC kde to funguje a na PC kde to nefunguje.
Filter na tcpdump mam nastaveny aby zachytil vsetko na porte 53.

EE DNS nema 2 rozhrania, ale je za NATom
jany1
Junior

Odeslat příspěvekod jany1 15. 5. 2024 00:01

r34ktor píše:Zkus, jak se chová portable Firefox, když mu v about:config přepneš předvolbu security.enterprise_roots.enabled na false.

Takto to nefunguje.

Skusal som sa pripojit z jednej siete (openwrt), na ktorej je PC s Win10. Na PC som uzivatel (nemam admin prava). Vystup tcpdump na porte 53 vyzera nasledovne

Kód: Vybrat vše
00:31:46.247262 IP 4.3.2.1.48085 > 192.16.20.10.53: 1760+ A? example.com. (33)
00:31:46.247492 IP 192.16.20.10.53 > 4.3.2.1.48085: 1760* 1/0/0 A 1.2.3.4 (49)
00:31:46.442037 IP 4.3.2.1.47740 > 192.16.20.10.53: 16158+ A? www.example.com. (37)
00:31:46.442059 IP 4.3.2.1.46692 > 192.16.20.10.53: 30922+ AAAA? www.example.com. (37)
00:31:46.442302 IP 192.16.20.10.53 > 4.3.2.1.47740: 16158* 1/0/0 A 1.2.3.4 (53)
00:31:46.442426 IP 192.16.20.10.53 > 4.3.2.1.46692: 30922* 0/1/0 (79)


Iny PC s win10 kde mam admin prava, ale ako admin nemusim nic upravovat. Tcpdump

Kód: Vybrat vše
00:41:26.077810 IP 4.3.2.1.50647 > 192.16.20.10.53: 12251+ A? www.example.com. (37)
00:41:26.077833 IP 4.3.2.1.43199 > 192.16.20.10.53: 27347+ Type65? www.example.com. (37)
00:41:26.078088 IP 192.16.20.10.53 > 4.3.2.1.50647: 12251* 1/0/0 A 1.2.3.4 (53)
00:41:26.078243 IP 192.16.20.10.53 > 4.3.2.1.43199: 27347* 0/1/0 (79)


Na tom druhom PC to krasne preklada na spravnu IP adresu co je nastavena na DNS servery.
Na tom prvom PC to uz nefunguje a preklada to na oficialnu IP.
Ten PC, kde mam len user prava, bude zrejme nieco blokovat, ale neviem co.
Zaujmave je ze domena1.ab, resp. domena2.ab funguju OK (vid moj prvy prispevok).

Kód: Vybrat vše
1.2.3.4 Verejna IP DNS servera
4.3.2.1 IP klienta, ktory kontaktuje DNS server
192.16.20.10 LAN IP DNS servera, kde je  spusteny TCPDump
jany1
Junior

Odeslat příspěvekod JirkaVejrazka 15. 5. 2024 05:02

Ja tuhle hru s hadanim toho, kdy 1.2.3.4 znamena spravnou adresu a kdy ne, odmitam hrat. Sifry si lusti sam.

Kazdopadne ty vypisy tcpdump nejsou stejne. Vic ale neporadim, vesteni z neuplnych informaci me prestalo bavit.
Naposledy upravil JirkaVejrazka dne 15. 5. 2024 08:06, celkově upraveno 1
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod jany1 15. 5. 2024 06:01

Ono je v podstate jedno, ake su IP adresy. Nechcem tu zverejnovat IP adresu DNS servra. Klientota by som mohol, pretoze je to mobilny operator a pravdepodobne je z CGN za ktorou su stovky dalsich klientov,

Ano mas pravdu, tie tcpdump vypisy nie su rovnake a ja sa snazim zistit kde je problem.
Ten DNS v podstate funguje spravne (vid ten druhy vypis).

Problem je urcite niekde v PC (vid prvy vypis), ale je to firemny PC a ja nemam pristup k admin uctu tohto PC. A admina kontaktovat nemozem, lebo to co chcem by urcite neschvalil a poslal by ma do *****.

Nie som expert na tcpdump logy, ale vypis hovori (asi)
1. riadok. IP adresa 4.3.2.1 na porte 48085 kontaktuje DNS server na IP 192.168.20.10 na porte 53 a chce prelozit domenove meno example.com
2. riadok. DNS server 192.168.20.10 na porte 53 posiela IP adrese 4.3.2.1 odpoved, ze example.com je na IP 1.2.3.4.

Dalsi riadok je to iste, plus subdomena www a dalsi je pre IPv6 (to neviem preco).

BTW IP adresa DNS servera a weboveho servera, kde je web example.com su rovnake (1.2.3.4). To len na okraj aby to nemylilo.
jany1
Junior

Odeslat příspěvekod JirkaVejrazka 15. 5. 2024 07:38

Aha, takze se snazis obejit firemni bezpecnostni politiku. Tim spis ti s tim nepomuzu.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod jany1 15. 5. 2024 12:39

Ano snazim sa obist firemnu politiku :-)
Este mozno by som k tomu napisal asi tolko.
Ten firemni PC ma 2 sietove karty
1. ETH LAN. Ta nema pristup na inet len lokalnu siet. DNS su nastavene na prim. 10.0.1.2 a sek 10.0.1.3. Tie riesia nejake lokalne subnety.
2. Wifi. Ta ma pristup na inet

Teraz nie som pri firemnom PC, ale nslookup vypisuje timeouty. Pripada mi to ako keby priorita bola nastavena na DNS servery na LAN sieti. Ak sa neresolvuje nic z miestnych DNS serverov, tak sa kontatuju nejake ine resolvery, ale uz verejne napr. google, cloudflare, prip. nejake windowsacke. A ked resolvery nevyriesia dotaz ani tam, tak potom sa kontaktuje resolver na openwrt. To by davalo logiku, lebo domena1.ab, resp. domena2.ab (ktore pozna len moj DNS na IP 1.2.3.4) sa resolvuju bez problemov, ale uz example.com, ktory realne na internete existuje sa vyriesi nie z 1.2.3.4, ale z ineho resolvera.

Hladal som nejaky portable soft, ktory mozem spustit na firemnom PC a zistit co sa konkretne deje pri konkretnom DNS dotaze, ale nic som nenasiel. Mozno by to wireshark vyriesil, ale bez admin prav to nepojde.
jany1
Junior


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků