OpenVPN не ВеПеЭнит один сайт.

Когда набираю в url имя сайта: каsparov.ru, то выдает заглушку от билайн, что мол заблокирован.

У тебя ДНС провайдерский, отсюда и заглушка.
Или провайдер подменяет запросы к сторонним ДНС.
Я вот только позавчера обнаружил, что у меня все запросы даже при использовании 8.8.8.8 или 1.1.1.1 подменяются провом Интерзет/Домру
Перешел на те же, только ipv6 dns-сервера, все стало ок.
Думаю DNSCrypt на роутере поднять еще.

У тебя ДНС провайдерский, отсюда и заглушка.

DNS вот этот указан: 103.86.96.100. Его предложила NordVPN.

Я вот только позавчера обнаружил, что у меня все запросы даже >при использовании 8.8.8.8 или 1.1.1.1 подменяются провом >Интерзет/Домру

Как это проверить?

https://github.com/valdikss/blockcheck/

https://antizapret.prostovpn.org/

https://www.dnsleaktest.com/ Проверь ссылку с включенным и выключенным впн. Еще попробуй отключить ipv6.

Как это объяснить и побороть?

Перестать использовать virtual private network для обхода блокировок и начать использовать shadowsocks (которое тоже туннель).

Если я весь трафик заворачиваю в vpn, то все нормально ВеПеЭнится. Все заблокированные сайты показываются. Если использую вот этот ..... Ааааа. Кажется понял. Когда заворачиваю веьс трафик в vpn, dns тоже получаю из туннеля. Нужно засунуть dns в туннель. Сейчас попробую и отпишусь.

Сейчас попробую и отпишусь.

сразу в страсбург фигач

И конечно https://dnscrypt.info/

Давно хотел спросить, но лично не знакомы. Я свой сервер так внес в реестр РКН. Что будет, если я начну такие пакеты слать на другие адреса? Хочу проверить, но неэтично же. Можно ЛОР например взять в качестве жертвы.

Нужно засунуть dns в туннель

Нет, не прокатило.

ValdikSS, vpn у меня работает и blockcheck показывает все норм, если я весь трафик заворачиваю в vpn.

Нет, не прокатило.

а сайт то работает?

Ростелеком тоже начал вносить мои серверы в реестр. Я хочу добавить генерацию пакетов, похожих на Telegram, в GoodbyeDPI, и посмотреть, что будет.

Вряд ли что-то произойдет, но интересно же.

kasparov.ru перенаправляет на http://www.kasparov.ru, у которого другие IP-адреса.

Ещё я не уверен, что OpenVPN добавляет маршруты до всех IP-адресов с домена, а не только до одного, если указывать домен.

Вряд ли что-то произойдет, но интересно же.

У меня же произошло. Достаточно слать 1-2 недели пакеты определенного размера (как у mtproxy без рандом паддинга) на нужный ip, и если повезет с провайдером - этот ip попадет в реестр.

P.S. У меня не ростелеком.

ValdikSS В самом деле kasparov.ru редиректит на зеркало с адресом 34.236.218.144.
Добавил его в список туннеля.

route 103.86.96.100 255.255.255.255 vpn_gateway
route bt.t-ru.org 255.255.255.255 vpn_gateway
route bt2.t-ru.org 255.255.255.255 vpn_gateway
route bt3.t-ru.org 255.255.255.255 vpn_gateway
route bt4.t-ru.org 255.255.255.255 vpn_gateway
route rutracker.org 255.255.255.255 vpn_gateway
route kasparov.ru 255.255.255.255 vpn_gateway
route 216.92.111.41 255.255.255.255 vpn_gateway
route 34.236.218.144 255.255.255.255 vpn_gateway
route ej.ru 255.255.255.255 vpn_gateway
route whatleaks.com 255.255.255.255 vpn_gateway

поклонникам первого канала тоже

Одного поля ягоды, просто вектор разный.

А что у вас за провайдер?

Вообще правильней держать список для туннеля в отдельном файле и по изменению добавлять в таблицу роутинга.

Нет, не правильней.

http://www.ural.net/

Что странно, доступ к моему ip они все еще не зарезали, хотя этот ip внесен в реестр.

Еще возможно это теле2 (тот же ростелеком), но через него я пускал совсем мало такого трафика.

Как это проверить?

Например так

23:01:33 athost ~ $ host rutracker.org 2606:4700:4700::1111
Using domain server:
Name: 2606:4700:4700::1111
Address: 2606:4700:4700::1111#53
Aliases: 

rutracker.org has address 195.82.146.214
rutracker.org has IPv6 address 2a03:42e0::214
rutracker.org mail is handled by 5 mail.rutracker.org.

23:05:17 athost ~ $ host rutracker.org 1.1.1.1
Using domain server:
Name: 1.1.1.1
Address: 1.1.1.1#53
Aliases: 

rutracker.org has address 5.3.3.17
rutracker.org has IPv6 address 2a02:2698:a002:1::3:17
rutracker.org mail is handled by 5 mail.rutracker.org.

Думаю DNSCrypt поднять еще

Этих технологий уже как собак, есть еще DNS over TLS, DNS over HTTPS. Настраиваются все они трудно и в линуксе полно сервисов, с которым конфликтуют: NM, resolv-conf, dnsmasq. И самое главное провайдер все равно может видеть домены в SNI (заголовки TLS), который не зашифрован, а значит и блокировать, логгировать. Шифровать SNI стали только в браузере FF Nightly.

DNS вот этот указан: 103.86.96.100. Его предложила NordVPN.

Чтобы он применился, надо выполнить /etc/openvpn/update-resolv-conf (для ubuntu based систем) или захардкодить в /etc/resolv.conf.

Нет, не правильней.

Почему? Как тогда лучше делать?

Я сегодня уже заменил на роутере dnsmasq на unbound, теперь DNS-over-TLS во все поля)
Посмотрим, как оно.
Пробовал перед этим dnscrypt-proxy. Это полный писец, тормоза до полных затыков на несколько минут. Выкинул.

Пользуюсь stubby на маломощных устройствах, быстрый и маленький.

Спасибо, попробую и stubby

stubby нет в репах ubuntu 16.04 (есть в 18.04+) и debian stable, в отличии от unbound.

Поставил на Ubuntu 16.04 вот по этой инструкции https://artkus.com/DNS-over-TLS.html только конфиг находится в /etc/unbound/unbound.conf, а адрес вписал гугловский 8.8.8.8@853 https://habr.com/ru/post/427639/ Из конфига openvpn закомментировал /etc/openvpn/update-resolv-conf. В настройках системного подключения NM указал «IPv4 автоматически, только адреса, IPv6 disabled». DNS 127.0.0.1. Вроде работает, https://www.dnsleaktest.com/ показывает смену DNS (если выбрать от cloudflare 1.1.1.1, но он тормозной). Немного тормознее стало. При таких настройках в /etc/resolv.conf всегда 127.0.0.1 и в /etc/openvpn/update-resolv-conf нет нужды. В /etc/resolv.conf NM вставляет, что указано в его гуе, ну и сам unbound прописывает при запуске.

А, забыл сказать, в начале dnsmasq отключил в NM и перезагрузил систему /etc/NetworkManager/NetworkManager.conf

[main]
plugins=ifupdown,keyfile,ofono
#dns=dnsmasq

В Hardinfo-IP Connections появляется 8.8.8.8:853 и в Wireshark http://www.imagebam.com/image/7d765c1181232354 видно.

Немного тормознее стало

Видимо потому что TCP вместо UDP.

TCP вместо UDP

задержка как со спутника получается

Уж лучше UDP OpenVPN поднять. И приватнее, чем гуглоднсы.

Пробовал перед этим dnscrypt-proxy. Это полный писец, тормоза до полных затыков на несколько минут. Выкинул.

dnscrypt-proxy использует dnscrypt v2 сервера по протоколу UDP:443 (хотя может и v1 и DNS over HTTPS aka DoH на TCP:443). UDP:443 летает. Поставь свежую версию, выбери быстрые сервера и убедись, что DoH отключен. Мой конфиг https://pastebin.com/3kJaHDFp (your-server заменить на свой). Если закомментировать server_names, dnscrypt-proxy при запуске сделает тест и покажет какие сервера самые быстрые. В моем случае NL и FR.
А DoH и DoT не умеют использовать UDP.

DNS надо юзать шифрованный, это раз.
Маршруты надо делать ipset'ов, а не доменных имен, это два - в век CDN айпишки у адресов меняются чаще, чем ты моргнуть успеваешь.

Потому:
1. Решаешь проблему DNS;
2. Настраиваешь dnsmasq на обновление ipset'ов;
3. Настраиваешь маршрутизацию ipset'ов через туннель;
4. Профит!

Вряд ли тебе поможет DD-WRT, ибо там все прибито гвоздями (хотя если dnsmasq собран с поддержкой ipset и кроме того в самой прошивке есть ipset, тогда можно вручную).

В OpenWRT это все можно через гуй.
Тебе нужны dnsmasq-full, mwan3 и ipset. Ну и плагин mwan3 для люси.

Пробовал перед этим dnscrypt-proxy. Это полный писец, тормоза до полных затыков на несколько минут. Выкинул.

Да, теперь я тоже столкнулся с затыками (юзал 2 дня). Один из серверов, который я выбрал первым, отвалился. Причем его IP пингуется, он рапортует, что работает по логу dnscrypt-proxy, но dns не резолвит. На странице статуса сервера https://status.dnscrypt.nl/ скрин http://www.imagebam.com/image/6a1eab1184952174 значится, что отвалился только IPv6 (вчера все было зеленое), но на деле и IPv4 тоже. Таким образом тормоза вызваны таймаутом, по умолчанию 2.5 сек, до переключения на новый сервер. По идее его можно уменьшить. Все-таки сервера эти наколенные поделки. Надежные от гугла, cloudflare, но на TCP 443 тормозные и следящие.

Остаются DNS OpenVPN провайдера. Кстати, в линуксе может быть утечка DNS через OpenVPN. Допустим, у вас в настройках основного интернет соединения указано «получать только адреса, использовать свой DNS 8.8.8.8». Вы подключились к OpenVPN, используете его DNS (скрипт /etc/openvpn/update-resolv-conf), но в расширенном тесте dnsleaktest.com и иногда на whoer.net проскакивает гугловский 8.8.8.8. Спрашивается, откуда он там взялся? А если бы я использовал провайдеровские DNS? (которым нет доверия). Понятно, с чужеродных IP они бы не обслуживали, но все равно неприятно.

dnscrypt-proxy при запуске или появления интернет соединения сразу подключается к выбранным dns серверам, не дожидаясь dns запроса. В Wireshark видно, что провайдер прекрасно видит этот факт, видит домены dnscrypt, сертификаты через SNI. А если подключаться к OpenVPN по голому IP, то идет всего один UDP запрос к VPN, на стороне провайдера все чисто, без лишних деталей. Сплошной шифрованный мусор, без DNS запросов.

Спрашивается, откуда он там взялся?

Потому что в /etc/resolv.conf второй строчкой идет 127.0.1.1. Это IP на котором висит dnsmasq, а управляет им Network Manager. Значит NM оставил ему параметры DNS, которые были до установки VPN.