DNS запросы через VPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
mocr
Сообщения: 6
Зарегистрирован: 23 фев 2018, 18:15

Приветствую, с микротиками только познакомился, пока глаза разбегаются в настройках.
Замучал меня провайдер подменяя DNS запросы, блокировка ресурсов не так страшна, больше раздражает подпихивание время от временеи рекламы и акций всяких, типа "иптв заполцены!". Ну суть не в этом, захотелось мне DNS обезопасить, чтоб и на персональных и на мобильных и др.устройствах работало без настройки. Вначале подумал про DNSCrypt, но не поддержиает его микротик, поэтому решил заворачивать DNS запросы в vpn (весь трафик заворачивать не нужно). Пока намереваюсь сделать так - поднять впн соединение (SSTP, PPTP или L2TP), не заворачивая на него весь трафик, перехватывать весь трафик на 53 порту и отправлять его на микротик, а микротику в DNS указать локальный удаленный ип впн сервера (на котором dnsmasq к примеру), ну или сразу трафик заворачивать на удаленный локальный ип впн сервера.

Подскажите, может быть это уже предусмотрено и есть другие неочевидные для меня варинаты настройки, так же буду рад примерам, чтобы полегче настраивать было.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

mocr писал(а): 23 фев 2018, 18:33 Приветствую, с микротиками только познакомился, пока глаза разбегаются в настройках.
Замучал меня провайдер подменяя DNS запросы, блокировка ресурсов не так страшна, больше раздражает подпихивание время от временеи рекламы и акций всяких, типа "иптв заполцены!". Ну суть не в этом, захотелось мне DNS обезопасить, чтоб и на персональных и на мобильных и др.устройствах работало без настройки. Вначале подумал про DNSCrypt, но не поддержиает его микротик, поэтому решил заворачивать DNS запросы в vpn (весь трафик заворачивать не нужно). Пока намереваюсь сделать так - поднять впн соединение (SSTP, PPTP или L2TP), не заворачивая на него весь трафик, перехватывать весь трафик на 53 порту и отправлять его на микротик, а микротику в DNS указать локальный удаленный ип впн сервера (на котором dnsmasq к примеру), ну или сразу трафик заворачивать на удаленный локальный ип впн сервера.

Подскажите, может быть это уже предусмотрено и есть другие неочевидные для меня варинаты настройки, так же буду рад примерам, чтобы полегче настраивать было.
Так зачем отлавливать? Вы эезнаете какие днс выдаете на машины.
Маршруты до этих серверов пропишите через впн и все дела

А провайдеру можно написать претензию. Их обязывают доступ закрывать. ДНС это не доступ, по крайней мере у меня прокатило - перестали перехватывать


mocr
Сообщения: 6
Зарегистрирован: 23 фев 2018, 18:15

некоторые устройства обращаются только к своим зашитым днсам, на некоторых вручную специально забиты днсы, гугловские или яндексовские или опенднс и я их поменять не могу (друзья например приходят со своим устройствами, которые только через эти днсы ходить настроены), в общем хотелось бы охватить сразу все, поэтому и хочу редиректить.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

mocr писал(а): 23 фев 2018, 18:48 некоторые устройства обращаются только к своим зашитым днсам, на некоторых вручную специально забиты днсы, гугловские или яндексовские или опенднс и я их поменять не могу (друзья например приходят со своим устройствами, которые только через эти днсы ходить настроены), в общем хотелось бы охватить сразу все, поэтому и хочу редиректить.
Ну перехватывать не сложно.
В принципе можно все запросы на 53 порт отправлять черех впн ,.. страшного не будет, и достаточно просто сделать


mocr
Сообщения: 6
Зарегистрирован: 23 фев 2018, 18:15

Начал настраивать, sstp клиент, галку Add Default Route не поставил, подключается без проблем, получает ip правильный (Local Address 10.10.х.х), через SSTP интерфейс пингую удаленный сервер по локальному ip без проблем, вот только в настройках SSTP интерфейса стоит "Remote Address 1.0.0.1" и добавляется маршрут 1.0.0.1/32, который я не могу удалить, подскажите что я сделал не так?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

mocr писал(а): 23 фев 2018, 21:55 Начал настраивать, sstp клиент, галку Add Default Route не поставил, подключается без проблем, получает ip правильный (Local Address 10.10.х.х), через SSTP интерфейс пингую удаленный сервер по локальному ip без проблем, вот только в настройках SSTP интерфейса стоит "Remote Address 1.0.0.1" и добавляется маршрут 1.0.0.1/32, который я не могу удалить, подскажите что я сделал не так?
Да все так в общем то, ремот адрес значит поставили вот такой у вас .. или вы сами его и ставили?
Вообще все равно на самом деле - sstp сам интерфейс можно указывать как шлюз и не париться адресами... может их вообще не быть ..


mocr
Сообщения: 6
Зарегистрирован: 23 фев 2018, 18:15

Не ставил, само поставилось и маршрут тоже сам, ладно, буду дальше настраивать пробовать, просто смутило.


mocr
Сообщения: 6
Зарегистрирован: 23 фев 2018, 18:15

спасибо за советы, удивительно, но все получилось с первого раза :-), отпишусь как делал, вдруг кому пригодится:
Есть удаленный сервер с sstp и настроеным днс (ip 10.10.x.254)
1) настроил sstp клиент на mikrotik, без Add Default Route.
2) добавил маршрут - 10.10.x.x/32 отправляем на sstp-интерфейс.
3) на mikrotik поставил только 1 DNS 10.10.x.254, поставил галку Allow Remote Requests. На клиентах вручную или через DHCP можно раздавать любые DNS.
4) (только для подключения с сертификатами) добавил статическую DNS запись sstp сервера, т.к. в сертификате FQDN, а до подключения DNS не доступен.
5) заворачиваем все днс запросы
add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=tcp dst-port=53
add chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=53 protocol=udp dst-port=53
где 192.168.88.1 локальный ип mikrotik.

Получаем что если sstp подключено - все DNS запросы идут через VPN, если sstp выключен имена не резолвятся (если не кэшированы), мне в принципе это и надо было.

Если вдруг заметите где то ошибку или можно сделать лучше, буду рад если поправите.


Ответить