Настройка DNS-сервера Mikrotik
Обновлено: 02.07.2024
Настройка DNS-клиента MikroTik и кэширующего DNS-сервера
Сервер доменных имен (DNS) является неотъемлемой частью компьютерной сети. Сегодня веб-коммуникации невозможно представить без DNS. DNS — это клиент-серверный протокол, в котором DNS-клиент запрашивает разрешение доменного имени и ответ DNS-сервера на него. MikroTik Router имеет функции DNS-клиента и DNS-сервера. DNS-клиент используется для преобразования доменного имени в IP-адрес с DNS-сервера. С другой стороны, функция DNS-сервера обеспечивает разрешение доменных имен для подключенных к нему клиентов. В этой статье мы узнаем, как настроить MikroTik DNS для обеспечения разрешения доменных имен как для самого маршрутизатора, так и для подключенных к нему клиентов.
Сервер доменных имен (DNS) и принцип его работы
Теперь, если мы используем общедоступный DNS-сервер, каждый раз, когда пользователь запрашивает любой домен; запрос проходит через ваше WAN-соединение с использованием платной полосы пропускания, а также вызывает задержку. С другой стороны, если мы используем функцию DNS маршрутизатора MikroTik, MikroTik будет кэшировать информацию DNS с корневого DNS-сервера и отвечать на DNS-запросы подключенным клиентам. Это быстрее и экономит трафик.
Кэширование конфигурации DNS в маршрутизаторе MikroTik
Функция DNS-кэширования MikroTik обеспечивает разрешение доменных имен для клиентов, подключенных к ней. Но прежде чем использовать кэширование DNS, мы должны настроить функцию DNS в MikroTik Router. Следующие шаги покажут, как настроить службу DNS в маршрутизаторе MikroTik.
Кэширующий DNS MikroTik теперь включен, и вы можете использовать любой IP-адрес MikroTik в качестве IP-адреса DNS для своего сетевого клиента. Если все в порядке, ваш клиент получит ответ от DNS-сервера кеша MikroTik. Чтобы проверить кэш DNS, перейдите в пункт меню IP > DNS и нажмите кнопку «Кэш». Вы найдете кешированное имя домена в окне DNS Cache. При желании вы можете сбросить кэшированный объект, нажав кнопку Сбросить кэш.
Помещение статической DNS-записи в MikroTik Cache DNS
Кэш DNS MikroTik динамически сохраняет запись DNS всякий раз, когда он получает новый домен. Но иногда вам может понадобиться указать статическую запись хоста, такую как ваши локальные серверы или принтеры. DNS-кэш MikroTik способен получать статическую запись хоста. Следующие шаги покажут, как разместить запись статического хоста на DNS-сервере MikroTik.
- В окне «Настройки DNS» нажмите кнопку «Статический». Появится окно DNS Static.
- Нажмите ЗНАК ПЛЮС (+). Появится окно «Новая статическая запись DNS».
- Введите имя хоста (например, ftp) в поле ввода имени и введите IP-адрес хоста в поле ввода адреса.
- Нажмите кнопку "Применить" и "ОК".
Точно так же вы можете разместить столько записей хостов, сколько хотите, выполнив описанные выше шаги.
Блокировка DNS-запросов из WAN-интерфейса
Если вы превратите свой маршрутизатор MikroTik в DNS-сервер, весь ваш IP-адрес MikroTik может использоваться в качестве IP-адреса DNS-сервера, включая IP-адрес WAN, который является общедоступным IP-адресом, и здесь возникнет проблема. Если кто-то за пределами вашей локальной сети использует ваш IP-адрес WAN в качестве IP-адреса DNS, ваш MikroTik будет доволен, предоставив ему / ей решение DNS, потребляющее вашу оплаченную пропускную способность. Таким образом, вы должны остановить запрос DNS из-за пределов вашей локальной сети. Чтобы остановить DNS-запросы из-за пределов вашей локальной сети, вы должны применить правила брандмауэра, которые будут отбрасывать все DNS-запросы, поступающие из вашего интерфейса WAN. Следующие шаги покажут, как заблокировать DNS-запрос из WAN-интерфейса.
- Перейдите в меню IP > Брандмауэр и нажмите ЗНАК ПЛЮС (+). Появится окно «Новое правило брандмауэра».
- На вкладке «Общие» выберите вход в раскрывающемся меню «Цепь», затем выберите «udp» в раскрывающемся меню «Протокол» и введите 53 в Dst. Поле ввода порта, а затем выберите интерфейс WAN (например, ether1) из In. Выпадающее меню интерфейса.
- Перейдите на вкладку "Действие" и выберите пункт "Перетащить" в раскрывающемся меню "Действие".
- Нажмите кнопку "Применить" и "ОК".
- Аналогичным образом снова нажмите ЗНАК ПЛЮС (+) и выберите ввод в раскрывающемся меню «Цепочка», затем выберите «tcp» в раскрывающемся меню «Протокол» и введите 53 в Dst. Поле ввода порта, а затем выберите интерфейс WAN из In. Выпадающее меню интерфейса.
- Нажмите кнопку "Применить" и "ОК".
Если вы столкнулись с какой-либо путаницей при правильном выполнении вышеуказанных шагов, посмотрите приведенное ниже видео о настройке кэширующего DNS-сервера MikroTik. Я надеюсь, что это уменьшит вашу путаницу.
В этой статье обсуждалась конфигурация MikroTik Cache DNS. Я надеюсь, что теперь вы сможете успешно настроить DNS-кэш MikroTik. Однако, если вы столкнетесь с какой-либо путаницей, не стесняйтесь обсуждать в комментариях или связаться со мной со страницы контактов. Я постараюсь остаться с вами.
DNS — это одна из важных служб в сети, задачей которой является переустановка доменного имени на IP-адрес или наоборот. В этой серии руководств по Mikrotik мы познакомим вас с Учебником по настройке DNS в Mikrotik, чтобы вы могли легко настроить и настроить его. Вы можете увидеть пакеты, доступные в Eldernode, если вам нужно купить Mikrotik VPS.
Присоединяйтесь к нам и узнайте, как настроить DNS в микротике с помощью WinBox и команд микротика.
Учебник по настройке DNS в Mikrotik
1- Сначала подключитесь к микротику через Winbox.
2- Затем выберите пункт DNS в меню IP.
Серверы. В этом разделе введите IP-адрес службы DNS в Интернете или в вашей сети.
Динамический сервер: если вы используете Динамический сервер, он будет назван здесь.
Разрешить удаленный запрос: выбор этого параметра позволит вам использовать микротик в качестве DNS-сервера и отвечать пользователям.
Максимальный размер пакета UDP: в этом разделе указывается окончательный размер пакета UDP.
Время ожидания сервера запросов: в этом поле указывается время, в течение которого микротик ожидает ответа сервера на свой запрос.
Общее время ожидания запроса: введите общее время ожидания ответа DNS.
Размер кэша: введите объем кэш-памяти и кэша записей DNS.
C-Size TTL: конец времени TTL определяет запись DNS в этом сегменте.
Используемый кэш: это значение будет установлено маршрутизатором mikrotik по сравнению с другими настройками.
Настроить DNS в микротик через терминал
<р>1. Сначала подключитесь к микротику по SSH или через консоль.2-Затем введите следующую команду, чтобы включить и настроить DNS.
Таким образом вы сможете настроить DNS через WinBox и Терминал в микротике.
Открыть необходимые порты для приложения на вашем компьютере относительно легко, если предположить, что ваш маршрутизатор Mikrotik имеет конфигурацию по умолчанию, ваш доступ в Интернет осуществляется через порт ethernet1, вы знаете, какие порты открывать, и адрес локальной сети компьютера, на котором запущено приложение.< /p>
В последнем случае перейдите на вкладку «Аренда» в «IP > DHCP-сервер» и найдите свое устройство, используя параметр «Имя активного хоста».
Здесь мы видим имя устройства DESKTOP-HSK7HA2, которое обычно используется ОС Windows, в которой в данный момент работает наше приложение. Запишите здесь наш IP-адрес. Дважды щелкните по нему и нажмите «Сделать статическим», чтобы убедиться, что IP-адрес нашего устройства не меняется после перезагрузки и наши необходимые изменения работают. Нажмите "ОК".
Затем мы переходим на вкладку «NAT» в «IP > Брандмауэр» и нажимаем синий плюс, чтобы добавить новое правило.
Для текущего примера мы собираемся открыть необходимые порты для Java-сервера Minecraft, который по умолчанию использует TCP-порт 25565. Для этого в текущем окне мы переходим на вкладку «Общие» и меняем эти настройки:
Chain — параметр, определяющий, в каком направлении идет необходимый нам трафик приложения. Выберите «dstnat» — наш трафик поступает из Интернета в нашу локальную сеть.
Протокол — определяет наш протокол трафика TCP/IP, который использует трафик приложения, выберите «6 (tcp)».
Дст. Порт — значение порта назначения нашего трафика, введите 25565.
В. Интерфейс — наш интерфейс, из которого в первую очередь поступает трафик, обычно откуда приходит наш интернет. Выберите «ether1» или любой другой подходящий интерфейс.
Теперь переходим на нашу вкладку «Действие», которая определяет, что роутер собирается делать с указанным нами трафиком, меняем следующие настройки:
Действие — выберите «dst-nat», что говорит о том, что наш трафик будет направляться к месту назначения через NAT в нашей локальной сети.
To Addresses — IP-адрес нашего устройства в локальной сети, который мы отметили ранее, введите его здесь.
To Ports — значение порта, которое использует трафик приложения — введите 25565.
Нажмите ОК, чтобы сохранить и применить все наши настройки. Теперь у приложения открыты необходимые порты.
2. Я хочу использовать разные адреса DNS-серверов для устройств в моей сети. Как мне это сделать?
Вы можете относительно легко изменить адреса своих DNS-серверов в любое время, если у вас есть какие-либо проблемы с DNS-серверами, которые предоставляет ваш интернет-провайдер. Одно из преимуществ устройств Mikrotik заключается в том, что они могут кэшировать ваши недавно использованные записи DNS, чтобы ускорить последующие подключения к ним.
Сначала перейдите в «IP > DHCP-клиент», на вкладке «DHCP-клиент» дважды щелкните параметр с интерфейсом, с которого вы получаете интернет-трафик, в появившихся окнах снимите флажок «Использовать одноранговый DNS», чтобы мы не будет использовать DNS-серверы, предоставляемые нашим интернет-провайдером.
Теперь в «IP > DHCP-сервер» на вкладке «Сети» дважды щелкните нашу текущую конфигурацию DHCP и введите адрес вашего маршрутизатора (!) в поле «DNS-серверы». Нажмите ОК.
И, наконец, в «IP > DNS» в поле «Серверы» введите адреса DNS-серверов, которые вы хотите использовать, нажмите «ОК».
Если все сделано правильно, вы должны увидеть появление новых записей при нажатии на кнопку «Кэш» в том же окне после нажатия OK и перезагрузки устройства.
3. Как сделать резервную копию и восстановить конфигурацию маршрутизатора Mikrotik.
Для этого мы сначала открываем терминал, нажав кнопку «Новый терминал».
Чтобы сохранить текущую конфигурацию в текущем окне терминала, введите:
export file="имя конфигурации".rsc
Нажмите Enter. Здесь «Название конфигурации» нужно заменить на любое понравившееся имя латинскими буквами. Наш сохраненный файл будет расположен в корневом каталоге устройств в разделе «Файлы», где вы можете сохранить его на свой компьютер, щелкнув его правой кнопкой мыши и выбрав «Загрузить».
ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ, что при сохранении конфигурации пароль маршрутизатора не сохраняется из соображений безопасности, который вам нужно будет установить в «Система > Пароль» при восстановлении. Файл конфигурации также не удаляется, если настройки маршрутизатора сбрасываются до значений по умолчанию.
Чтобы восстановить конфигурацию, которую вы недавно сохранили в файл, введите в окне терминала:
import file="имя конфигурации".rsc
4. Как вы обновляете свое устройство, если у вас нет интернета?
В случае, если ваш маршрутизатор не имеет доступа к Интернету и у вас есть необходимый файл обновления .npk, сохраненный на вашем компьютере, вы можете обновить свое устройство, загрузив этот файл в корень устройства в меню «Файлы». с последующей перезагрузкой устройства. Также не забудьте обновить прошивку вашего устройства в «Система > RouterBOARD», чтобы избежать ненужных ошибок и проблем при его использовании.
Это одна из самых простых ошибок, и она входит в десятку основных ошибок Mikrotik. В этой статье мы увидим, почему она так разрушительна для нашей сетевой инфраструктуры и как ее избежать.
1. Распространенная ошибка
Во время выступления на Mikrotik User Meeting USA 2016 Андис Ариньш поставил его на восьмое место в рейтинге «ТОП 10 ошибок конфигурации RouterOS» (видео), а в следующем году на Mikrotik User Meeting Europe Янис Мегис (видео ) назвал это одной из проблем, по которым чаще всего обращались в службу поддержки Mikrotik.
Начнем с типичной конфигурации маршрутизатора Mikrotik, используемого для простого просмотра веб-страниц:
/ip dns set allow-remote-requests=yes server=8.8.8.8
/ip firewall nat add action=masquerade chain=srcnat out-interface=Internet
/ip firewall filter add action= fasttrack-connection chain=forward connection-state=installed,related
Общедоступный IP-адрес активен на интерфейсе под названием «Интернет».
Через некоторое время пользователь этого подключения жалуется на снижение производительности. Хороший техник анализирует роутер Mikrotik и замечает высокую загрузку процессора и большую нагрузку неизвестного трафика на публичный интерфейс. На этом этапе я использовал команды
/tool torch и /tool profile понимают, что ЦП занят процессом DNS, а трафик — это трафик разрешения DNS: наш маршрутизатор — это открытый DNS или позаимствовать выражение, полученное от почтовых серверов, у нас есть открытый преобразователь DNS.
2. Откуда берется этот вредоносный трафик и почему он так широко распространен?
Когда наш маршрутизатор получает значительные DNS-запросы извне, это означает, что он стал конечной точкой DDOS-атаки DNS Amplification или атаки DNS Reflector. Следовательно, это не цель атаки, а один из акторов, используемых для усиления атаки. В идеале рекурсивный DNS-сервер, в нашем случае маршрутизатор Mikrotik, должен принимать запросы только от клиентов в нашей локальной сети, но неправильная настройка может привести к его запросу от любого клиента даже за пределами нашей сети. Эти серверы определяются как «открытые преобразователи», и в контексте конференции ShmooCon (2006 г.), впервые посвященной анализу этой атаки, Дэн Камински и Майк Шиффман обнародовали около 580 000 серверов, расположенных в Интернете.
Концепция усиления основана на том факте, что очень маленькие запросы разрешения DNS могут генерировать ответы гораздо большего размера, например, 60-байтовый запрос UDP может генерировать ответ 512, что в 8,5 раз больше, чем запрос. Кроме того, используя методы рефракции и отправляя запросы, поддерживающие расширение EDNS, можно достичь коэффициента усиления 66,7. CISA кодифицировала эту атаку в бюллетене
Подробнее об атаке см. в этом документе, а по этой ссылке вы найдете исполняемую версию той же атаки. Для более опытных рекомендуется проанализировать сканер dns_amp во фреймворке Metasploit:
3. Разрешение
Правильная конфигурация
В Mikrotik для решения этой проблемы достаточно двух простых правил фильтрации, которые нужно поставить во главе нашей конфигурации:
add action=drop chain=input connection-state=new dst-port=53 in-interface=Internet protocol=udp
add action=drop chain=input connection-state=new dst-port=53 in -interface=Интернет-протокол=tcp
Служба уведомлений FlashStart
Однако опыт показывает, что всегда присутствует человеческая ошибка: мы часто забываем добавить эту конфигурацию.
К счастью, существует FlashStart®, ведущий на рынке облачный инструмент для фильтрации DNS.
Одной из новых услуг является уведомление по электронной почте в случае, если наш Mikrotik ведет себя как открытый преобразователь DNS. Если вы используете FlashStart® в качестве преобразователя DNS и забыли правильную конфигурацию своего маршрутизатора, вы получите электронное письмо со следующей структурой:
Фактически, серверы Flashstart® периодически сканируют общедоступные IP-адреса, предоставленные клиентами посредством простого DNS-запроса, и, если обнаруживают, что инфраструктура может быть использована для DDOS-атаки, DNS Amplification предупреждает нас, чтобы мы могли принять соответствующие меры. корректирующие действия.
Простая услуга, но ценимая нами, системными администраторами, защищает вас от нашей забывчивости.
4. См. другие ресурсы о «Маршрутизаторе Mikrotik и FlashStart»
Flashstart – это безопасный инструмент для навигации в Интернете как локально, так и удаленно во время умной работы.
Запросите расценки и сразу же начните бесплатную пробную версию
Вы можете активировать облачную защиту FlashStart® на любом маршрутизаторе и брандмауэре для защиты настольных и мобильных устройств, а также устройств IoT в локальных сетях.
Читайте также: