Mikrotik dns разрешает удаленные запросы что это такое

Обновлено: 05.07.2024

Пт, 18 января 2019 г., 14:52

Здравствуйте, прежде всего. простите мой плохой английский. Я постараюсь быть максимально ясным и понятным.

У меня микротик с RouterOS версии 6.41.2.

Он используется уже пару лет, и я им очень доволен. Никогда не перезагружался, за исключением случаев, когда в доме отключается электричество. Действительно стабильно!

Вчера я попытался создать "локальный DNS" для своей домашней сети. Я не знаю, правильны ли мои условия, поскольку я не сетевой гуру. .
Я имею в виду, что я хочу, чтобы мои сетевые адреса для моих устройств были статическими, используя сервер dhcp на микротике и привязывая MAC-адреса к определенным IP-адресам.
Также я хочу, чтобы, например, "mikrotik.local" и "server1.local" ссылались на "192.168.1.1" и "192.168.1.100"

Мне удалось сопоставить статические IP-адреса с моими MAC-адресами.
Мне также удалось заставить работать «локальный DNS» (server1.local). но если я сделал это правильно, я не знаю! Что я сделал, так это зашел (на страницу администрирования маршрутизатора).
"IP" -> "DNS" -> "СТАТИЧЕСКИЙ" -> "ДОБАВИТЬ НОВЫЙ".
Затем в этих полях я ввел Имя -> "server1.local" и Адрес -> "192.168.1.100"

Кроме того, (я не знаю, была ли эта галочка раньше, но я так думаю?) в DNS я поставил галочку «Разрешить удаленные запросы» (вот почему мне нужна помощь с моими правилами брандмауэра, поскольку я читал, что мне нужно как-то настроить это). Дело в том, что я ДОЛЖЕН поставить галочку «Разрешить удаленные запросы», иначе мой домашний интернет не работает. Это нормально?

И последнее, что я сделал, я думаю. было добавить "192.168.1.1" в качестве динамического сервера в разделе DNS. (У меня уже было два динамических сервера здесь раньше).

ТЕПЕРЬ все работает так, как я хочу. Но.

<р>1. Я сделал это правильно?
2. «Разрешить удаленные запросы». как правильно настроить брандмауэр для этого?
3. Версия моего маршрутизатора 6.41.2, следует ли мне обновить ее до 6.43.8? Я действительно думал, что он обновляется автоматически. Как обновить?
4. Есть ли что-то еще, что мне нужно сделать?

Пожалуйста, объясните как можно проще. Я никогда не использовал скрипт или терминал в routeros, если мне нужно это сделать.

Спасибо за помощь.

С уважением.
Томас

Пт, 18 января 2019 г., 15:52

<р>1. Обновите прошивку до последней версии!!
2. Опубликуйте свою конфигурацию, чтобы мы могли прокомментировать вашу настройку.
/export hide=private file=yourlatestconfig

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

Пт, 18 января 2019 г., 16:32

Я с @anav: обновите до 6.42.11 (последняя долгосрочная на данный момент) или 6.43.8 (последняя стабильная)

"IP" -> "DNS" -> "СТАТИЧЕСКИЙ" -> "ДОБАВИТЬ НОВЫЙ".
Затем в этих полях я ввел Имя -> "server1.local" и Адрес -> "192.168.1.100"

Это примерно так.

Возможно, вам придется добавить некоторые правила, ограничивающие подключения к самому маршрутизатору (покажите экспортированные настройки, чтобы мы могли прокомментировать, какие правила необходимо добавить). Если вы начали с установки последних версий ROS по умолчанию, все будет в порядке.

Дело в том, что у меня ДОЛЖЕН быть установлен флажок "Разрешить удаленные запросы", иначе мой домашний интернет не работает. Это нормально?

Это нормально. «удаленный» здесь означает «любое устройство, не являющееся этим маршрутизатором». так что квалифицируются хосты локальной сети или Интернета.

Не . список DNS-серверов в разделе DNS используется самим DNS-сервером для пересылки запросов, если маршрутизатор не знает ответа (либо статически установленного, как вы, либо кэшированного из предыдущих запросов). Маршрутизатор не должен запрашивать сам себя, иначе он войдет в бесконечный цикл.

Место, где вы должны добавить IP-адрес маршрутизатора, находится в IP > DHCP SERVER -> NETWORK. так что он будет использоваться хостами локальной сети, которые получают свою IP-конфигурацию от DHCP-сервера, работающего на вашем RB. И это должен быть единственный IP-адрес DNS-сервера, настроенного там. Проверьте на какой-нибудь клиентской машине, что она действительно содержит только этот адрес. Кажется, я помню, что DHCP-клиент (работающий на маршрутизаторе) также может передавать динамические DNS-серверы в конфигурацию DHCP-сервера.

Пн, 03 декабря 2012 г., 18:50

Если в кэше DNS у вас не установлен флажок «Разрешить удаленные запросы», а локальной сети маршрутизатора назначен адрес 192.168.1.1, клиенты DHCP для маршрутизатора назначаются из 192.168.1.0/24, а маршрутизатор получает DNS-серверы от PPPoE. клиенты смогут использовать кеш DNS на 192.168.1.1?

Я вижу документы, но все еще не уверен.

Что именно меняет параметр «Разрешить удаленные запросы»?

Пн, 03 декабря 2012 г., 19:07

Разрешить удаленные запросы:

enabled = будет DNS-сервером, отвечающим на DNS-запросы.
disabled = будет DNS-клиентом, не отвечающим на DNS-запрос. Используется только для локального разрешения DNS. (сам микротик)

Пн, 03 декабря 2012 г., 19:20

Поэтому, вероятно, было бы неплохо сделать это для защиты кеша DNS, если включен параметр «Разрешить удаленные запросы»?

/ip фильтр брандмауэра
add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.1.0/24

/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp

Пт, 07 декабря 2012 г., 00:12

Да, вы должны запретить другим использовать ваш DNS-сервер и разрешить его использование только вашей сети. Используя фильтры, как вы сказали.

Пт, 18 января 2019 г., 20:37

Не так быстро.
Это зависит от действующих правил фильтрации.
Например, я отбрасываю все остальные правила в конце и работаю по принципу - если не разрешено, то отброшено.

Итак, мои правила ввода таковы.
добавить action=accept chain=input comment="Разрешить LAN DNS-запросы-UDP" dst-port=53 \
in-interface-list=LAN protocol=udp
add action=accept chain =input comment="Разрешить DNS-запросы локальной сети - TCP" dst-port=\
53 in-interface-list=LAN protocol=tcp

Любой другой трафик через порт 53 будет отброшен моим последним правилом.
добавить action=drop chain=input comment="УДАЛИТЬ ВСЕ ОСТАЛЬНОЕ"

Если вы хотите быть немного более параноиком, вы всегда можете добавить эти правила в цепочку пересылки ДО
первого принятого установленного правила.
add action=drop chain=forward comment="Drop LAN DNS DNS query-UDP" dst-port=53 \
in-interface-list=WAN protocol=udp
add action=drop chain =forward comment="Отбрасывать DNS-запросы локальной сети - TCP" dst-port=\
53 in-interface-list=WAN protocol=tcp

Однако, поскольку последним правилом в моей прямой цепочке является правило отбрасывания всего остального, я не думаю, что мне это нужно.

Чт, 25 декабря 2014 г., 22:07

всех с Рождеством
я пытаюсь сделать туториал по микротику, и я хотел бы знать, что означает Разрешить удаленные запросы?
Я знаю, что мне нужно его проверить, чтобы иметь доступ в Интернет. Пожалуйста, не могли бы вы ответить с одним или двумя примерами того, как это работает.
спасибо

Чт, 25 декабря 2014 г., 22:42

Вы имеете в виду ту, что в меню "/ip dns"?

Разрешить ли другим устройствам использовать RouterOS в качестве DNS-сервера. Если этот параметр не отмечен, клиентские устройства должны использовать другое устройство, установленное в качестве их DNS-сервера. Независимо от этого параметра, запросы, исходящие от самой RouterOS (например, из сценария с помощью команды «:resolve»), будут проверять определенные там записи DNS и использовать определенные серверы, если маршрутизатор не знает ответа.

Вам не нужно включать эту опцию для подключения к Интернету. Если вы отключите его, вы можете назначить своим клиентским устройствам другой DNS, например, Google 8.8.8.8. Вот для чего нужна настройка DNS в «/ip dhcp-server network». Или, если вы не используете DHCP, вы можете указать клиентам вводить этот другой IP-адрес в своих сетевых настройках.

Как правило, DNS-сервер не обязательно должен находиться в той же подсети. Должен быть только шлюз по умолчанию.

Пт, 26 декабря 2014 г., 2:15

Большое спасибо за ответ.
вот фото, которое я загружаю.
так в двух словах это означает что вариант пусть роутер решит dns?
Что такое удаленные запросы? означает ли это, что он разрешает или разрешает запросы из-за пределов локальной сети на сервер или в Интернет?
или когда хост в моей сети запрашивает данные за пределами моей локальной сети в Интернет, микротик пропускает эти данные в мою сеть.
скажем, я выполняю ping-запрос на Yahoo со своего компьютера, затем данные уходят на сервер Yahoo, и когда они хотят вернуться, если этот параметр не установлен, они не смогут вернуть пакет, если этот параметр не установлен. проверить.

Пт, 26 декабря 2014 г., 6:06

Эти настройки применяются, только если клиенты используют собственный адрес маршрутизатора в качестве преобразователя DNS.

Если ваши клиенты используют какой-либо внешний преобразователь, эти настройки никак на них не повлияют.

Если вы не установите флажок Разрешить удаленные запросы, маршрутизатор будет разрешать имена только для себя (например, если у вас есть имя хоста в его VPN-клиенте и т. д.). Если вы установите этот флажок, маршрутизатор будет действовать как преобразователь для *любой* другой машины, которая запросит его.

К сожалению, нет возможности разрешить только клиентам локальной сети (есть запрос на функцию, но кто знает, будет ли она когда-нибудь реализована). Поэтому, когда вы включаете Разрешить удаленные запросы, вы должны убедиться, что вы разрешаете входящий порт 53 только для ваших клиентов и блокируете остальной мир с помощью брандмауэра. В противном случае вы создадите открытый резолвер, а это плохо.

Чрезмерное цитирование бесполезно и раздражает. Если вы используете его, подумайте, сможете ли вы обойтись без него.

Пт, 26 декабря 2014 г., 14:08

Когда вы пингуете Yahoo.com с клиентского устройства, клиентское устройство сначала подключается к DNS-серверу, указанному в его собственных настройках, запрашивая у него IP-адрес, которому соответствует «yahoo.com».

Если на вашем клиентском устройстве (например, 192.168.88.254) в качестве DNS-сервера определен 8.8.8.8, оно свяжется со шлюзом по умолчанию (например, 192.168.88.1) и попросит его переслать пакет на 8.8.8.8 и отправить поддержите ответ. Шлюз подключается к 8.8.8.8 через Интернет и в конечном итоге возвращает ответ клиенту. Только после этого клиент запрашивает у шлюза по умолчанию подключение к IP-адресу, который он только что получил через DNS.

Та же самая процедура происходит, если DNS-сервер клиентского устройства настроен на 192.168.88.1, но если параметр «Разрешить удаленные запросы» не отмечен, обмен DNS с 192.168.88.1 завершится ошибкой, и вы не будете удалось пропинговать "yahoo.com". Если вы уже знаете IP-адрес, на котором находится «yahoo.com», вы все равно можете пропинговать этот IP-адрес, так как он не требует поиска DNS.

11 июля 2018 г., 10:44

Хорошо, извините за натыкание, но в основном я проверяю «разрешить удаленные запросы» и добавляю общедоступный IP-адрес этого маршрутизатора mikrotik в качестве DNS-сервера для «внешнего» компьютера, и он не может разрешить DNS. Я использую RouterOS v6.40.8. Я даже сделал правило брандмауэра, цепочка - dstnat, протокол - udp, dst.port - 53, действие - редирект, на порты - 53

<р>. чего мне не хватает? почему я не могу использовать свой маршрутизатор в качестве внешнего DNS и использовать в нем статические маршруты?

11 июля 2018 г., 10:53

Вы не выполняете dstnat для подключений к самому маршрутизатору. Скорее вы добавляете правило FW в chain = input, разрешающее конкретное соединение. Что-то вроде

возможно, добавив src-address=xx.yy.ww.zz, чтобы разрешить подключения только с выбранных удаленных хостов (не забудьте разрешить хосты в локальной сети!).

11 июля 2018 г., 11:35

Попытался использовать эти правила брандмауэра (думаю, если вы не установите это правило, оно будет принято автоматически!?).

Дело в том, что я указал общедоступный IP-адрес непосредственно в конфигурации DNS TCP/IP внешнего компьютера моего маршрутизатора, и это все равно ничего не решает. даже несмотря на то, что я вижу около 285 принятых пакетов UDP с вашим первым правилом брандмауэра.

Не знаю, что я делаю не так. я думал, что мне нужно только проверить, что «Разрешить удаленные запросы» и все готово (с общедоступным IP-адресом на интерфейсе WAN)

11 июля 2018 г., 13:17

Я читал здесь несколько тем, и кто-то сказал, что маршрутизатор не должен находиться в режиме DNS-клиента, а должен находиться в режиме DNS-сервера. как я могу это проверить, когда он работает как клиент, а когда как сервер?

11 июля 2018 г., 15:03

allow-remote-requests=yes разрешает исключительно процессу DNS прослушивать входящие запросы через UDP-порт 53 и обрабатывать эти запросы. Сам процесс DNS не заботится об исходном адресе этих запросов. Таким образом, будет ли обслуживаться конкретный клиент или нет, зависит от настроек брандмауэра. Типичный брандмауэр игнорирует любые пакеты, поступающие со стороны WAN, за исключением тех, о которых он знает (благодаря отслеживанию соединений), что они являются ответами на пакеты, ранее отправленные через интерфейс WAN. Порядок правил в брандмауэре имеет значение, поэтому правило action=accept chain=input protocol=udp dst-port=53 должно находиться в правильном месте в списке, чтобы выполнять то, что вы от него ожидаете.

Вт, 27 марта 2018 г., 10:05

Вчера я получил MikroTik hAP ac2. Я настроил его. Это хороший теплый кирпич. RouterOS намного проще, чем OpenWrt.

В разделе IP > DNS я установил флажок «Разрешить удаленные запросы» и вижу три DNS-сервера в файле /etc/resolv.conf

После снятия флажка `192.168.80.1` был удален из /etc/resolv.conf.

Согласно моему тесту, 192.168.80.1 – это кэширующий DNS-сервер в RouterOS, который обрабатывает каждый DNS-запрос и, возможно, перенаправляет внешние DNS-запросы на адреса 84.200.69.80 и 84.200.70.40. Таким образом, нет смысла использовать 84.200.69.80 и 84.200.70.40 в качестве серверов имен, когда 192.168.80.1 является основным сервером имен.

Я чего-то не понимаю?

Поддержка MikroTik

Вт, 27 марта 2018 г., 11:02

Вы путаете вещи.

"Разрешить удаленные запросы" просто позволяет другим устройствам использовать RouterOS в качестве DNS-сервера. Снимите этот флажок, и RouterOS сможет использовать его только для себя.

Адреса DNS-сервера, полученные вашим DHCP-клиентом, совершенно не связаны. Вы настраиваете это в настройках DHCP-сервера.

Вт, 27 марта 2018 г., 12:03

Вы путаете вещи.

Похоже, DHCP-сервер RouterOS использует настройки DNS из `IP > DNS` со следующими настройками. Должен ли я установить параметр DNS-сервера в «IP> DHCP-сервер> Параметры»?

Настройки кэша DNS: (установка флажка «Разрешить удаленные запросы» добавляет 192.168.80.1 в /etc/resolv.conf в дополнение к 84.200.69.80 и 84.200.70.40)

Поддержка MikroTik

Вт, 27 марта 2018 г., 12:32

Вт, 27 марта 2018 г., 13:25

Поддержка MikroTik

Вт, 27 марта 2018 г., 14:00

Вт, 27 марта 2018 г., 14:32

Что у вас находится в разделе:
IP>DHCP SERVER>вкладка [Сети]? Отсюда ваши устройства получают настройки DNS.

Вт, 27 марта 2018 г., 14:53

Что у вас находится в разделе:
IP>DHCP SERVER>вкладка [Сети]? Отсюда ваши устройства получают настройки DNS.

Вт, 27 марта 2018 г., 15:23

Я полагаю, что поведение по умолчанию, если IP>DHCP SERVER>[Networks]-DNS пусто, — это то, что вы видите. Если вам нужен маршрутизатор только для DNS, установите его IP-адрес здесь.

Сб, 31 марта 2018 г., 11:33

Это ответ, который я получил.

Я объясню, как это работает в RouterOS, и надеюсь, вы найдете ответы на все свои вопросы.

Например, ISP -> GW -> LAN:
1) Вы не настраиваете «DNS-серверы в сетевой конфигурации DHCP-сервера GW» — устройство будет перенаправлять DNS-сервер, полученный от `ISP`, в `LAN ` устройства.
2) Вы настраиваете «DNS-серверы в сетевой конфигурации DHCP-сервера «GW»» — устройство будет передавать настроенные DNS-серверы устройствам «LAN».
3) «dns-none», настроенный в разделе «DNS-серверы на сетевой конфигурации DHCP-сервера «GW»» — устройство не будет перенаправлять ни один из динамических DNS-серверов на устройства «LAN».
В настоящее время доступна опция релиз-кандидата:
*) dhcpv4-server — добавлена опция «dns-none» в «/ip dhcp-server network dns».

Похоже, Артур С. не знал о проблеме, о которой вы говорили.
В чем проблема? Я тоже не знаю, в чем проблема.

Читайте также: