Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Бесшумно перенаправляю DNS-запросы на NextDNS (если на устройстве установлен ручной DNS-сервер), UniFi Network
 
#1
03.10.2025 22:30:00
Я работаю с внешкольной программой и настраиваю их сеть. Я почти всё завершил, но у меня есть один вопрос: возможно ли молча перенаправлять все DNS-запросы на их экземпляр NextDNS? У меня уже настроена и работает NextDNS, но, конечно, обойти её можно, если человек достаточно разбирается в технике и сможет вручную настроить DNS-параметры на своих устройствах. Я прочитал кучу постов на эту тему, но всё ещё не совсем понимаю, что именно нужно делать (похоже, что-то связанное с DNAT). Я хочу применить это скрытое перенаправление на несколько VLAN. Может быть, кто-нибудь предоставит мне пошаговые инструкции для выполнения этого? Спасибо! На этом сайте используется UDM-Pro. ***Отредактировано для включения устройства шлюза***
 
 
 
#2
10.11.2025 01:11:00
Окей. Я нашёл одну проблему. Я настроил как параметр Encrypted DNS в GUI, так и настроил всё через инструмент NextDNS CLI. Это вызвало конфликт (у меня есть два профиля NextDNS: один для персонала и один для студентов/гостей). Я отключил конфигурацию Encrypted DNS в GUI Unifi OS. Также я изменил мой интернет-сервер DNS на Auto в соответствии с постом, который я нашёл на форумах NextDNS, и буду смотреть, как это будет работать с конфигурацией CLI, которая у меня установлена. Но, к сожалению, это не решает проблему с пользовательскими параметрами DNS. Решил только проблему с назначением правильного профиля NextDNS.
 
 
 
#3
09.11.2025 23:39:00
@athurdent Я не могу заставить это работать правильно. Я уверен, что что-то неправильно настроил, но не уверен, что именно. Вот что я сделал:

В разделе Internet Blade в приложении Network я установил основной DNS-сервер на 127.0.0.1, потому что читал, что это простой способ убедиться, что весь трафик проходит через экземпляр NextDNS (включая трафик от самого шлюза).

Затем в разделе Network я установил как основной шлюз, так и опции DNS-сервера на автоматические, вот так (что, по моему пониманию, означает, что устройства получат IP основного шлюза в качестве своего DNS-сервера):

Я также настроил соответствующую информацию в разделе CyberSecure для зашифрованного DNS.

Все это работает, как надо. Когда клиенты в любой сети подключаются через DHCP, весь трафик маршрутизируется через экземпляр NextDNS и фильтрация работает как ожидается. На странице аналитики NextDNS я вижу 100% зашифрованный DNS:

Однако всё рушится, когда я настраиваю статическую IP-информацию, и я легко могу обойти NextDNS, несмотря на настроенные правила брандмауэра, которые должны блокировать всё, кроме трафика, использующего IP-адреса NextDNS. Я уверен, что где-то допустил ошибку.

Мои правила брандмауэра следующие (исходная зона — Internal, зона назначения — External):

В конфигурации исходной зоны я выбрал сеть для студентов и оставил все параметры вот так для моего правила Allow NextDNS:

Мои параметры назначения для Allow NextDNS выглядят вот так (не уверен, нужно ли мне указывать номера портов или просто оставить как любые?):

Затем я настроил правило блокировки прямо под моим правилом разрешения, как на картинке, которую ты мне отправил:

Несмотря на эту настройку, я всё равно могу просто установить свой собственный DNS-сервер на своих устройствах и посетить любой сайт, и когда я перейду на test.nextdns.io, он скажет, что это не настроено.

Буду благодарен за помощь в определении того, где я ошибся. Спасибо!
 
 
 
#4
20.11.2025 20:43:00
Это произошло потому, что ты установил инструмент NextDNS CLI, который вносит изменения в Unifi OS.
 
 
 
#5
20.11.2025 18:02:00
Не совсем понимаю, что ты имеешь в виду под модифицированной консолью. Я использую стандартную Unifi OS.
 
 
 
#6
10.11.2025 09:23:00
Извините, мы не можем помочь с модифицированными консолями.
 
 
 
#7
10.11.2025 01:21:00
Окей, нашёл проблему. Похоже, когда я пытаюсь блокировать через приложения, это не работает, но если использую прямые номера портов, то всё работает как надо. Есть идеи, почему так происходит?
 
 
 
#8
10.11.2025 01:16:00
Кроме того, я не думаю, что мне потребуется правило разрешения на внешней зоне. Мне просто нужно правило блокировки, так как эти устройства используют шлюз как ретранслятор, а не выполняют прямые запросы к NextDNS.
 
 
 
Страницы: 1
Читают тему (гостей: 1)