настройка DNS на Микротик

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Подскажите, как лучше (вопрос понятно не корректный, вероятно много вариантов в зависимости от задач) настроить службу DNS на Микротик.

1. Видел в Инете где то мнение, что ставить DNS-сервером сам роутер нельзя (или плохо, опасно) - не понял что имелось ввиду - атаки ? Или это бред ?

2. Если провайдер раздает DNS (по PPOE или DHCP) "брать" их или нет и убирать галки типа "use peer DNS" и настраивать свои DNS ? Или это как хочется ?

3. Защита 53 порта когда нужна (понятно сто раз тема мусолится, но уточнить хочу) ? Для постоянного белого WAN-IP вероятно более актуально, если сам роутер выставляется в качестве DNS-сервера ? Нужна ли она (защита) для мобильных Интернет-подключений, особенно когда адрес от провайдера получен "серый" - там ведь и "мышь не проскочит" или это заблуждение ?

4. В винде клиента с фиксированным IP-адресом DNS тогда как ставить - адрес роутера (если на нем настроили DNS-сервер) или еще гугл, яндекс добавлять на "всякий пожарный" тоже ? Если они уже указаны на роутере то по логике зачем ещё то верно или нет? Если DNS-серверов много указано (и в роутере и пиры получены от прова и на Винде плюс еще не скажется ли это на "времени" поиска имен и доступа в Инет ?

5. Статические записи в DNS роутера зачем нужны ? Туда можно занести клиентов своей внутренней сети и суффикс домена "придумать" и обращаться к ним по этим именам ? Если в локальной сети несколько роутеров, а статические записи добавлены на одном другие роутеры будут их "знать" ? Можно ли сообщать данные о своих статических записях DNS VPN-клиентам роутера ?

Если кого то сильно повеселю своими вопросами - не проблема ... Понимаю, что лекцию никто читать не будет, благодарен за четкие и конкретные ответы, если ещё кто-то по делу что-то добавит - покорно благодарю ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 04 фев 2019, 20:48 Подскажите, как лучше (вопрос понятно не корректный, вероятно много вариантов в зависимости от задач) настроить службу DNS на Микротик.
Лишь как вспомогательную.
Sertik писал(а): 04 фев 2019, 20:48 1. Видел в Инете где то мнение, что ставить DNS-сервером сам роутер нельзя (или плохо, опасно) - не понял что имелось ввиду - атаки ? Или это бред ?
Роутер на то и роутер = что должен в обычном средне-простом использовании оказывать ряд стандартных услуг.
Считаю что роутер может и должен быть DNS-сервером при домашнем использовании. Не ставить же рядом с роутером линукс :-)
Также, в мелких задачах, в отдельных сетях, которые изолированы, также DNS делаю на микротике, там нагрузки нет,
поэтому также не заморачиваюсь и включаю DNS и в этом случаи.
Sertik писал(а): 04 фев 2019, 20:48 2. Если провайдер раздает DNS (по PPOE или DHCP) "брать" их или нет и убирать галки типа "use peer DNS" и настраивать свои DNS ? Или это как хочется ?
Тут всё от сущности зависит, что и как у Вас роутер настроен, а если два провайдера, два рррое, а если провайдеры не дружат, и
при обращении к своему DNS'у они ждут запросы лишь со своего адреса (рррое), всё это не просто.
Если дома, простая конфигурация = конечно же брать и галочку эту использовать, на Ростелекоме (у меня в регионе) DNS'ы
отдаются, проблем нет. Домашние пользователи проблем не замечали.
Sertik писал(а): 04 фев 2019, 20:48 3. Защита 53 порта когда нужна (понятно сто раз тема мусолится, но уточнить хочу) ? Для постоянного белого WAN-IP вероятно более актуально, если сам роутер выставляется в качестве DNS-сервера ? Нужна ли она (защита) для мобильных Интернет-подключений, особенно когда адрес от провайдера получен "серый" - там ведь и "мышь не проскочит" или это заблуждение ?
Ну тут тоже всё относительно, если надо быстро запустить, думаю пока можно не делать,
если настраиваете роутер уже с конфигов и шаблонов, можно защиту всунуть, лишним не будет.
Sertik писал(а): 04 фев 2019, 20:48 4. В винде клиента с фиксированным IP-адресом DNS тогда как ставить - адрес роутера (если на нем настроили DNS-сервер) или еще гугл, яндекс добавлять на "всякий пожарный" тоже ? Если они уже указаны на роутере то по логике зачем ещё то верно или нет? Если DNS-серверов много указано (и в роутере и пиры получены от прова и на Винде плюс еще не скажется ли это на "времени" поиска имен и доступа в Инет ?
а) не ставить на клиентах внешние подключения, да, я уже предвещаю вопрос: "почему?", да потому что каждый раз
комп такой будет обращаться на внешний ресурс, мало что это трафик, + такому клиенту надо давать Интернет,
а иногда задачи стоят = подключить машину БЕЗ доступа к Интернету.
б) в организации DNS - должен быть выделенный, на базе роутера использовать нежелательно, объясняю ряд нюансов:
1) у нас программисты сделали ПО, это ПО ссылается на сервер по доменному имени, скажем masha.ru, ПО работает
как в офисе, так и с дома/с любого подключения. Но чтобы с офиса юзера не обращались на сервер по внешнему адресу,
и опять же, чтобы им не давать интернет, не натить их, и чтобы запросы не ходили через роутер, когда сервер доступен
по серому адресу тут я использую (это есть только в DNS'а более полных) функцию view - которая позволяет
использовать внутри конфигурации DNS'а сразу две ОДИНАКОВЫЕ зоны с привязкой их по ACL листам.
И получается, пришёл запрос с локальной сети - я отдал на запрос адрес из локальной зоны,
пришёл запрос с глобала - все получили адрес сервера с внешним адресом.
Просто,удобно.
2) на счёт виндов и клиентов - запихивать кучу DNS'ов тоже такой вариант, а если надо сменить, изменить,
а если нет доменной системы, и прочее, поэтому я пошёл по такому пути(давно это было, возможно сейчас
это можно сделать проще, но работает и кушать не просит) - я сделал 3 виртуальные машины, так как у меня
3 провайдера, естественно там был DNS-сервер для каждого провайдера, то есть эта машина сидела в провайдером
пуле, обращалась на DNS'ы провайдера, и другим концом была в моей сети.
И я сделал 4-ю виртуалку, которая была чисто внутри и работала основным главным сервером для всей организации,
и в ней я также делал в конфигурации исключения, нужно было взять зону какую-ту с провайдера 2, я описывал, что
зона такая то, бери с DNS-2 (а он для меня был в локальной сети по серому адресу).
И как итог: на компах используется один адрес главного DNS сервера, он всегда доступен.
Могу на нём делать подмены, замены, или явные указания для различных зон,
+ когда у меня умирает провайдер (особенно когда мы были на спутнике, падали и DNS провайдера),
поэтому такой схемой я резервирую запросы.
И ещё по запросам: винда отдала запрос и ждёт, пока не придёт ответ, а уже сервер DNS сам решит, кто
как ответит, думаю в этом моменте так быстрее.
Sertik писал(а): 04 фев 2019, 20:48 5. Статические записи в DNS роутера зачем нужны ? Туда можно занести клиентов своей внутренней сети и суффикс домена "придумать" и обращаться к ним по этим именам ? Если в локальной сети несколько роутеров, а статические записи добавлены на одном другие роутеры будут их "знать" ? Можно ли сообщать данные о своих статических записях DNS VPN-клиентам роутера ?
Ну да, берёте зону, придумываете, описываете, клиентов вносите, но лучше делать это в полном DNS-сервере, и при отправке писем, в логах,
при обращениях локальных Вы будете видеть что это был. Удобно.
Чтобы все видели эти данные - DNS должен быть (условно) один главный и дальше - подчичённые. Ну и в настройках виндов, устройств указывать
DNS и всё, при возможности будете видеть зоны, но надо и реверсную зону тоже делать, это когда по IP имя получаете.
ВПН - если указать ВПН-клиентам использовать сервер локальный Ваш = то скорее всего они должны работать с ним и всё должно работать,
вопрос такой - слегка простой, если нет преград то всё должно работать.
Sertik писал(а): 04 фев 2019, 20:48 Если кого то сильно повеселю своими вопросами - не проблема ... Понимаю, что лекцию никто читать не будет, благодарен за четкие и конкретные ответы, если ещё кто-то по делу что-то добавит - покорно благодарю ...
:-)
Прочтите всё раза по два, и все мои абзацы примите за полный комплексный ответ, возможно в одном абзаце, я
ответил на 1 вопрос, а в другом сразу на 3....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо большое. Прочитаю раз по несколько для переваривания. Единственно, в чем сам виноват сразу не оговорил в вопросах своих, что всё это спрашивал не для организации, а только для частного использования, т.е. домашних сетей где нет возможности никакой и желания DNS где то еще делать кроме как на самом Микротике. Поэтому все вопросы мои были только по настройке DNS на Микротике (название топика).

1. Как я понял из Вашего ответа - когда на роутере несколько шлюзов в Интернет с получением DNS от разных провайдеров могут быть проблемы ... Нужно как то "заманглить" эту ситуацию так, чтобы на каждый WAN-канал обращения и ответы соответственно шли только через канал соответствующего провайдера да ? В так называемой нами "Вашей" схеме маркировок каналов это ведь и так учитывается - "откуда пришел туда и ушел" и как-то отдельно DNS-коннекты по 53 порту маркировать не надо так или нет ?

2. Так и не понял как работает, но заметил, что если много DNS-серверов указано на домашнем ПК (и от Микротик-роутера и дополнительно ещё в Виндовс), то как то при вводе строки в браузере Интернет "долго думает", как мне кажется - пытается их по очереди перебирать что ли при поиске имен или это мои неправильные домыслы ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 05 фев 2019, 10:40 1. Как я понял из Вашего ответа - когда на роутере несколько шлюзов в Интернет с получением DNS от разных провайдеров могут быть проблемы ... Нужно как то "заманглить" эту ситуацию так, чтобы на каждый WAN-канал обращения и ответы соответственно шли только через канал соответствующего провайдера да ? В так называемой нами "Вашей" схеме маркировок каналов это ведь и так учитывается - "откуда пришел туда и ушел" и как-то отдельно DNS-коннекты по 53 порту маркировать не надо так или нет ?
Всё сложнее, сначала надо понять что у нас на клиентах прописано, если на клиентах прописан ДНС-роутера, то надо уже на роутере (шлюз по умолчанию) смотреть, и прописывать ДНСы-провайдера того, кто у нас по-умолчанию бегает. Ибо клиент посылает запрос, DNS-роутера принял запрос, и уже от себя
будет запрос на ДНСы провайдера отсылать. Поэтому при наличии двух каналов, с ДНСами всё сложнее, и надо продумывать что куда и как,
опять же, если клиента (одного) мы перевели на второй канал, запрос он послал, днс-микротика принял, запрос был хитрый, скажем в зону ответственности
второго провайдера, а микротик отдал запросы в днс провайдера1, всё, будет таймаут и сайт не откроется.

Поэтому я писал уже, не манглить надо, надо думать сначала, что и как, и уже планировать...а то мангл-мангл. :-)
Простой способ и при наличии двух разных провайдеров = использовать отдельный сервер ДНС и на нём
как-то разруливать...
Поэтому ещё раз = это не просто если сильно углубляться и делать как надо.
P.S.
Дома у меня виртуалка, крутиться линукс, в DHCP у меня прописан отдавать DNS - это айпи этой виртуалки.
Как я говорил, в DHCP можно много менять, не только шлюз, но и DNS и так далее...
Sertik писал(а): 05 фев 2019, 10:40 2. Так и не понял как работает, но заметил, что если много DNS-серверов указано на домашнем ПК (и от Микротик-роутера и дополнительно ещё в Виндовс), то как то при вводе строки в браузере Интернет "долго думает", как мне кажется - пытается их по очереди перебирать что ли при поиске имен или это мои неправильные домыслы ?
Ну это к спецам по виндам надо, везде есть таймауты, винда ждёт ответа и потом лишь пересылает запрос на другой днс, у днсов тоже есть таймауты,
я вижу что проще прописать один сервер в клиенте, а уже на роутере или на днсе разрулить ситуацию, тем более что в ДНС-серверах в конфигурациях
всегда указаны минимум 2-4 внешних IP провайдервских ДНСа + теже может быть и Яндекс и Гугол ДНСы....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Ещё один вопрос:

В DNS галка "Allow Remote Requests" - кто-то пишет что без нее Интернет работать не будет, так как "внешние DNS-cерверы не будут отвечать на запросы клиентов нашей сети", что вроде логично.

Кто-то пишет что ее можно ставить только в "самом крайнем случае" и якобы так же написано в Микротиковском мануале вот цитата, например:
по-умолчанию "Allow Remote Requests" как раз выключен и в мануале его советуют включать только в случае необходимости. По крайней мере в девайсах, купленных в 2015 году это было так. И, если, верить мануалу на сайте производителя, то это так и до сих пор ( https://wiki.mikrotik.com/wiki/Manual:IP/DNS )
Когда ёё ставить то надо ? И когда дропать по 53 порту всех кто туда лезет ? Запутался уже ...

Вот Вам еще "цитаты" с Инета:
а что у вас в правилах фаервола ? доступ открыт на 53 порт на микротик ? но это изначально плохая идея делать днс сервер на микротике задосят вас
Доступ на 53 UDP порт открыт только для DNS-серверов провайдера (созданы правила для src и dst IP-адресов).
1. Включите remote-requests
2. Убирите правила, ограничивающие доступ изнутри к dns-портам и интерфейсам.
3. Запретите udp.53 только на внешний интерфейс, что бы не статть амплификатором.

Проверил на своем, такая схема работает.
Как правильно то ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 05 фев 2019, 13:42 В DNS галка "Allow Remote Requests" - кто-то пишет что без нее Интернет работать не будет, так как "внешние DNS-cерверы не будут отвечать на запросы клиентов нашей сети", что вроде логично.
Когда ёё ставить то надо ? И когда дропать по 53 порту всех кто туда лезет ? Запутался уже ...
Эх, Sertik, удивляете меня всё больше, и увы, не в позитивном направлении.... :sh_ok:

1) DNS микротику нужен самому, для каких-то моментов, поэтому при подключении по рррое лучше галочку о получении DNS включать (в обычной схеме)
2) Когда микротик получает список DNS'ов по рррое - то они видны в закладке DNS
3) Если откроете консоль (терминал), то при тестировании можете писать ping ya.ru и имя ya.ru будет резолвиться
4) Но при использовании Винбокса, сам Винбокс параметры ДНСов берёт с винды, где он запущен, поэтому иногда
надо понимать такой момент и бывает что с компа может пинг идти, а с роутера нет или наоборот. Поэтому проверять
доступность каналов лучше с консоли(терминалом) и сначала лучше по IP только
5) эта галочка, вернее "Allow Remote Requests" - переведу её я сам - "Разрешить Удалённые Запросы" - по факту, если
Мы(Вы) галочку ставите, Вы позволяете делать запросы в ДНС роутера. Заметьте, я не сказал кто и откуда, всё,
галочку Вы поставили, то формально де факто ВЫ включили явно "наружу" ДНС-сервер в микротике.
ЕЩЁ раз, по умолчанию, роутер сам возмёт ДНСы, ему эта галка не нужна, если ДНСы будут на роутере получены автоматом,
но чтобы клиенты сети (домашней, ДМЗ, внешней) могли делать запросы - галочку надо включать.
То есть для домашнего использования - галочку надо ставить, иначе роутер как ДНС будет молчать.
ЭТО понятно?

6) а вот теперь последствия этой галочки, но сначала преамбула: в линукс многие сервисы можно прикрепить(binding)
к тому или иному интерфейсу, то есть если я поднимаю прокси-сервер и говорю ему работать только на внутренней
сетевой карте с таким то серым адресом, то понятно, что на внешней сетевой карте его не будет, и порт прокси 8080
никак не будет доступен хакером, а значит такой логической настройкой можно уже и сервис и сервер защитить без
громоздкого файрвола. ТО есть лучше отключить или до-настроить то, что не надо потом ещё прикрывать.

В микротике всё проще (с одной стороны плюс), но есть и минус, когда Вы галочку поставили, когда включили
ДНС-на-микротике, Вы его включили на всех текущих доступных интерфейсах с IP адресами.
Это значит с ether, с виланов, с eoip, и так далее, где стоит любой адрес - микротик с этого адреса будет
принимать/ждать запросы в ДНС и туда же будет отвечать...ОТСЮДА следует, что включив сам ДНС-микротика,
который нужен особенно при домашнем использовании, мы открываем порт 53 на внешнем(внешних) интерфейсов,
и побуждаем наш роутер (наше подключение) в будущем быть атакованным с большей вероятностью.
Отсюда следует, что порт 53 надо защищать, блокировать, и прочее прочее.
И всё это справедливо, если я линукс машину с ДНСом открою в мир, тоже пойдут удары, атаки или запросы
на резолв того или иного сайта. Там защита делается более извращённо.

Надеюсь что такие вопросы больше не будут, ну честно, основы надо знать...
Очень удивили.... :cry_ing:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Поэтому при наличии двух каналов, с ДНС-ами всё сложнее, и надо продумывать что куда и как,
опять же, если клиента (одного) мы перевели на второй канал, запрос он послал, днс-микротика принял, запрос был хитрый, скажем в зону ответственности
второго провайдера, а микротик отдал запросы в днс провайдера1, всё, будет таймаут и сайт не откроется.
Можно ли в Вашей схеме маркировки тогда указать адреса DNS-ов первого провайдера для "ISP1" , а адреса DNS-второго провайдера для ISP2 соответственно и указанным адресам клиентов там же чтобы таких глюков с DNS не было и все запросы ходили как надо ?
Или маршруты прописать для DNS-адресов провайдеров через соответствующие роутинг-марки ?
И/или ещё в /route rules указать для таких то адресов (DNS соответствующих провайдеров) look-only in table ... (соответственно) ?

Напишите - как сделать правильно ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 05 фев 2019, 14:24 Можно ли в Вашей схеме маркировки тогда указать адреса DNS-ов первого провайдера для "ISP1" , а адреса DNS-второго провайдера для ISP2 соответственно и указанным адресам клиентов там же чтобы таких глюков с DNS не было и все запросы ходили как надо ?
Или маршруты прописать для DNS-адресов провайдеров через соответствующие роутинг-марки ?
И/или ещё в /route rules указать для таких то адресов (DNS соответствующих провайдеров) look-only in table ... (соответственно) ?

Напишите - как сделать правильно ?
Вы как будто меня не читаете

1) Я использую отдельный ДНС, у меня нет такой конструкции...!!!!!!!!

2) Я выше описал, что тут не всё просто, а Вы опять не видите, надо понять какой клиент,
куда обратился, его запрос принял днс-микротика, уже микротик будет от себя делать
новый исходящий запрос, вот тут и надо сложить, что если клиент Вася, сидит на канале2,
и + хочет сделать запросы в ДНС, то надо именно Васины запросы перехватывать,
маркировать наверно, подставлять исходящий адрес от провайдера два, отправлять сразу
на ДСНы провайдера2, получать ответ и ему возвращать напрямую...
А мож ещё всё не так.....Я не могу ответить то, чего не делал и не знаю.
Сделайте, протестируйте, поделитесь.....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Насчет удивлений - ну я же уже снимал шапку ... Откуда я возьму "базовые знания", основы то бишь ? Я же этому не учился ... :cry_ing: Всё из Интернета методом копи-паста, научного и антинаучного тыка и т .д..(а там чуши полно - не я в этом виноват, пишут такие же чайники). Это же Россия матушка, Вы забыли ? Так, что не расстраивайтесь - это же не моя работа, а хобби и ответственности за свои знания я тут не несу. Хотя сам негодую до беспредела, когда врачи ничего не знающие попадаются (и работают в моей узкой специальности) - всё чаще к сожалению... (но это уже моё образование и моя работа, меня этому системно учили, постоянно учусь сам и работаю 20 лет, ну и вероятно способности к этому кое-какие есть) ... А ещё "физики" и "лирики" это как известно совсем разные люди... Врачи это не то и не другое, но ближе к лирикам всё же по складу - в нашей работе, как показывает вся история медицины у талантливого врача всё держится не только (и может быть не столько) на конкретных знаниях (безусловно их обязательное наличие никто не оспаривает) - а больше на уникальной интуиции, желании, особых индивидуальных качествах, которые нельзя измерить существующими пока в науке способами ... Ну "чувствует" хороший врач пациента как говорят (как в автосервисе хороший мастер машину или Вы - роутер и сети ...)

ЕЩЁ раз, по умолчанию, роутер сам возмёт ДНСы, ему эта галка не нужна, если ДНСы будут на роутере получены автоматом,
но чтобы клиенты сети (домашней, ДМЗ, внешней) могли делать запросы - галочку надо включать.
То есть для домашнего использования - галочку надо ставить, иначе роутер как ДНС будет молчать.
ЭТО понятно?
Своими словами уточняю (для меня тупого бестолкового доктора):

1. Если Микротик получает DNS от провайдера (путём "use peer DNS" через любой вид разрешенных в Микротик автоматических получений настроек типа DHCP-клиент или PPOE) то сам роутер DNS эти возьмёт и на нем всё резолвится будет. Так ? Хорошо. Но Вы не уточнили что галка "use peer DNS" должна быть включена - а то не возьмет :-)
2.
но чтобы клиенты сети (домашней, ДМЗ, внешней) могли делать запросы - галочку надо включать.
- Это Вы имеете ввиду - если у этих клиентов DNS-сервером стоит адрес роутера видимо ? Если же у них стоит не адрес роутера, а Яндекс с Гуглом скажем - они обойдутся без него и сами возьмут правльно же ? Можно ведь компу в Винде поставить и адрес роутера и ещё адреса как я уже спрашивал/писал. Снова не уточнили, а еще педант ::yaz-yk:
3. Защита 53 порта таким образом, нужно только, когда включена галка "Allow remoute ..." Тут в Инете пишут кучу вариантов настройки правил для защиты роутера. Просто хотел чтобы Вы привели правильное правило - вот и уточнял. Может ещё кто "не сильно знающий" читает наши излияния и ему пригодиться точный ответ знающего человека вместо того чтобы полдня ерунду неправильную в Инете читать ? :ya_hoo_oo:
Чтобы Микротик не "досили" нужно ведь защищать порт 53 так чтобы на него не было запросов с WAN-интерфейсов ? Правильно же ? Тогда возникают дальше вопросы - а если нам это нужно (для кого-то кого мы "знаем" то для них можно сделать исключение - так ведь ?
С внутренних интерфейсов запросы к своему DNS разрешаются (не запрещаются, разрешены по умолчанию, понятно).
Что правильно запрещать "запросы" или "ответы" ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Вы как будто меня не читаете

1) Я использую отдельный ДНС, у меня нет такой конструкции...!!!!!!!!

2) Я выше описал, что тут не всё просто, а Вы опять не видите, надо понять какой клиент,
куда обратился, его запрос принял днс-микротика, уже микротик будет от себя делать
новый исходящий запрос, вот тут и надо сложить, что если клиент Вася, сидит на канале2,
и + хочет сделать запросы в ДНС, то надо именно Васины запросы перехватывать,
маркировать наверно, подставлять исходящий адрес от провайдера два, отправлять сразу
на ДСНы провайдера2, получать ответ и ему возвращать напрямую...
А мож ещё всё не так.....Я не могу ответить то, чего не делал и не знаю.
Сделайте, протестируйте, поделитесь.....
Так я понял, что у Вас такого нет, но мне то нужно то, что спрашиваю ... У меня нет отдельного ДНС и не будет - мне ещё этих сложностей не хватало ... Я же исхожу из того, что Учитель всё знает и всё может ... :nez-nayu:

Ученик исходит из того, что учитель не использует ответы типа "наверное" - я же думал, что Вы то знаете точно как делается ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить