- OpenWRT23.05.2
- Маршрутизатор: Linksys WRT3200ACM
- Настроен OpenVPN (NordVPN)
- У NordVPN есть статический IP-адрес, за который я плачу (чтобы такие сервисы, как потоковое вещание, не жаловались на использование VPN)
- У меня есть 2 подсети: одна напрямую подключена к WAN, другая — через устройство tun для VPN.
- Я использую AdGuardHome (AGH) на своем маршрутизаторе для обработки DNS-запросов из обеих подсетей.
- AGH upstream настроен на DNS-серверы NordVPN.
Проблема: Когда я связываюсь с DNS-серверами NordVPN за пределами VPN-туннеля, он разрешает с помощью другого набора серверов, чем если бы я делал это внутри VPN-туннеля. Это означает, что если я делаю что-то вроде попытки использовать Amazon Prime Video с устройства в VPN, он не разрешит мне, потому что я в VPN. Если я вручную настраиваю DNS-сервер на своем клиенте напрямую на DNS-серверы NordVPN, он работает.
Моя рабочая теория заключается в том, что доступ к DNS-серверам осуществляется извне VPN-туннеля с помощью AGH, но изнутри VPN-туннеля, если вручную настроить мой клиент для этого при использовании VPN.
Когда я использую такой сайт, как ipleak.net, я ясно вижу, что разрешение DNS-сервера при использовании AGH и ручной настройки клиента отличается, несмотря на то, что в обоих случаях настроено использование одних и тех же вышестоящих DNS-серверов.
Я считаю, что если я смогу каким-то образом заставить AGH отправлять DNS-запросы через VPN-туннель, я смогу не только защитить свои DNS-запросы от посторонних глаз (например, моего интернет-провайдера), но и заставить все это работать правильно.
Я просто не знаю, как задать правило для этого. У меня настроена маршрутизация на основе политик (PBR) (которая обрабатывает разделение трафика VPN и не-VPN друг от друга). Я пробовал задать правило для срабатывания с внешнего порта 53, однако, мне кажется, это неверный путь — я считаю, что оно ищет внешние запросы, поступающие на маршрутизатор для порта 53, а не от маршрутизатора на порт 53.
Я считаю, что существует правило брандмауэра, которое можно настроить, но я просто недостаточно знаком с правилами FW4, чтобы даже попытаться это сделать, поскольку я неоднократно убеждался, что бессистемное вмешательство в правила FW время от времени приводит к зависанию системы.
Я надеюсь, что кто-нибудь поможет мне отследить, что именно мне нужно сделать, чтобы добиться этого. Я не могу быть единственным человеком, который когда-либо хотел, чтобы DNS-трафик с маршрутизатора проходил через VPN. Я не хочу, чтобы ВЕСЬ трафик перенаправлялся в VPN, так как мне нужно, чтобы порты были открыты/доступны для пересылки в системы моей локальной сети, и именно так я дошел до этой точки в первую очередь.
Любая помощь будет оценена по достоинству. Спасибо.