Настройка DNS-сервера Mikrotik

Обновлено: 20.11.2024

Настройка DNS-клиента MikroTik и кэширующего DNS-сервера

Сервер доменных имен (DNS) является неотъемлемой частью компьютерной сети. Сегодня веб-коммуникации невозможно представить без DNS. DNS — это клиент-серверный протокол, в котором DNS-клиент запрашивает разрешение доменного имени и ответ DNS-сервера на него. MikroTik Router имеет функции DNS-клиента и DNS-сервера. DNS-клиент используется для преобразования доменного имени в IP-адрес с DNS-сервера. С другой стороны, функция DNS-сервера обеспечивает разрешение доменных имен для подключенных к нему клиентов. В этой статье мы узнаем, как настроить MikroTik DNS для обеспечения разрешения доменных имен как для самого маршрутизатора, так и для подключенных к нему клиентов.

Сервер доменных имен (DNS) и принцип его работы

Теперь, если мы используем общедоступный DNS-сервер, каждый раз, когда пользователь запрашивает любой домен; запрос проходит через ваше WAN-соединение с использованием платной полосы пропускания, а также вызывает задержку. С другой стороны, если мы используем функцию DNS маршрутизатора MikroTik, MikroTik будет кэшировать информацию DNS с корневого DNS-сервера и отвечать на DNS-запросы подключенным клиентам. Это быстрее и экономит трафик.

Кэширование конфигурации DNS в маршрутизаторе MikroTik

Функция DNS-кэширования MikroTik обеспечивает разрешение доменных имен для клиентов, подключенных к ней. Но прежде чем использовать кэширование DNS, мы должны настроить функцию DNS в MikroTik Router. Следующие шаги покажут, как настроить службу DNS в маршрутизаторе MikroTik.

Кэширующий DNS MikroTik теперь включен, и вы можете использовать любой IP-адрес MikroTik в качестве IP-адреса DNS для своего сетевого клиента. Если все в порядке, ваш клиент получит ответ от DNS-сервера кеша MikroTik. Чтобы проверить кэш DNS, перейдите в пункт меню IP > DNS и нажмите кнопку «Кэш». Вы найдете кешированное имя домена в окне DNS Cache. При желании вы можете сбросить кэшированный объект, нажав кнопку Сбросить кэш.

Помещение статической DNS-записи в MikroTik Cache DNS

Кэш DNS MikroTik динамически сохраняет запись DNS всякий раз, когда он получает новый домен. Но иногда вам может понадобиться указать статическую запись хоста, такую ​​как ваши локальные серверы или принтеры. DNS-кэш MikroTik способен получать статическую запись хоста. Следующие шаги покажут, как разместить запись статического хоста на DNS-сервере MikroTik.

  • В окне «Настройки DNS» нажмите кнопку «Статический». Появится окно DNS Static.
  • Нажмите ЗНАК ПЛЮС (+). Появится окно «Новая статическая запись DNS».
  • Введите имя хоста (например, ftp) в поле ввода имени и введите IP-адрес хоста в поле ввода адреса.
  • Нажмите кнопку "Применить" и "ОК".

Точно так же вы можете разместить столько записей хостов, сколько хотите, выполнив описанные выше шаги.

Блокировка DNS-запросов из WAN-интерфейса

Если вы превратите свой маршрутизатор MikroTik в DNS-сервер, весь ваш IP-адрес MikroTik может использоваться в качестве IP-адреса DNS-сервера, включая IP-адрес WAN, который является общедоступным IP-адресом, и здесь возникнет проблема. Если кто-то за пределами вашей локальной сети использует ваш IP-адрес WAN в качестве IP-адреса DNS, ваш MikroTik будет доволен, предоставив ему / ей решение DNS, потребляющее вашу оплаченную пропускную способность. Таким образом, вы должны остановить запрос DNS из-за пределов вашей локальной сети. Чтобы остановить DNS-запросы из-за пределов вашей локальной сети, вы должны применить правила брандмауэра, которые будут отбрасывать все DNS-запросы, поступающие из вашего интерфейса WAN. Следующие шаги покажут, как заблокировать DNS-запрос из WAN-интерфейса.

  • Перейдите в меню IP > Брандмауэр и нажмите ЗНАК ПЛЮС (+). Появится окно «Новое правило брандмауэра».
  • На вкладке «Общие» выберите вход в раскрывающемся меню «Цепь», затем выберите «udp» в раскрывающемся меню «Протокол» и введите 53 в Dst. Поле ввода порта, а затем выберите интерфейс WAN (например, ether1) из In. Выпадающее меню интерфейса.
  • Перейдите на вкладку "Действие" и выберите пункт "Перетащить" в раскрывающемся меню "Действие".
  • Нажмите кнопку "Применить" и "ОК".
  • Аналогичным образом снова нажмите ЗНАК ПЛЮС (+) и выберите ввод в раскрывающемся меню «Цепочка», затем выберите «tcp» в раскрывающемся меню «Протокол» и введите 53 в Dst. Поле ввода порта, а затем выберите интерфейс WAN из In. Выпадающее меню интерфейса.
  • Нажмите кнопку "Применить" и "ОК".

Если вы столкнулись с какой-либо путаницей при правильном выполнении вышеуказанных шагов, посмотрите приведенное ниже видео о настройке кэширующего DNS-сервера MikroTik. Я надеюсь, что это уменьшит вашу путаницу.

В этой статье обсуждалась конфигурация MikroTik Cache DNS. Я надеюсь, что теперь вы сможете успешно настроить DNS-кэш MikroTik. Однако, если вы столкнетесь с какой-либо путаницей, не стесняйтесь обсуждать в комментариях или связаться со мной со страницы контактов. Я постараюсь остаться с вами.

DNS — это одна из важных служб в сети, задачей которой является переустановка доменного имени на IP-адрес или наоборот. В этой серии руководств по Mikrotik мы познакомим вас с Учебником по настройке DNS в Mikrotik, чтобы вы могли легко настроить и настроить его. Вы можете увидеть пакеты, доступные в Eldernode, если вам нужно купить Mikrotik VPS.

Присоединяйтесь к нам и узнайте, как настроить DNS в микротике с помощью WinBox и команд микротика.

Учебник по настройке DNS в Mikrotik

1- Сначала подключитесь к микротику через Winbox.

2- Затем выберите пункт DNS в меню IP.

<р>3. Теперь в этом разделе вы сможете изменить настройки DNS на любой из вариантов:

Серверы. В этом разделе введите IP-адрес службы DNS в Интернете или в вашей сети.

Динамический сервер: если вы используете Динамический сервер, он будет назван здесь.

Разрешить удаленный запрос: выбор этого параметра позволит вам использовать микротик в качестве DNS-сервера и отвечать пользователям.

Максимальный размер пакета UDP: в этом разделе указывается окончательный размер пакета UDP.

Время ожидания сервера запросов: в этом поле указывается время, в течение которого микротик ожидает ответа сервера на свой запрос.

Общее время ожидания запроса: введите общее время ожидания ответа DNS.

Размер кэша: введите объем кэш-памяти и кэша записей DNS.

C-Size TTL: конец времени TTL определяет запись DNS в этом сегменте.

Используемый кэш: это значение будет установлено маршрутизатором mikrotik по сравнению с другими настройками.

Настроить DNS в микротик через терминал

<р>1. Сначала подключитесь к микротику по SSH или через консоль.

2-Затем введите следующую команду, чтобы включить и настроить DNS.

Таким образом вы сможете настроить DNS через WinBox и Терминал в микротике.

Открыть необходимые порты для приложения на вашем компьютере относительно легко, если предположить, что ваш маршрутизатор Mikrotik имеет конфигурацию по умолчанию, ваш доступ в Интернет осуществляется через порт ethernet1, вы знаете, какие порты открывать, и адрес локальной сети компьютера, на котором запущено приложение.< /p>

В последнем случае перейдите на вкладку «Аренда» в «IP > DHCP-сервер» и найдите свое устройство, используя параметр «Имя активного хоста».

Здесь мы видим имя устройства DESKTOP-HSK7HA2, которое обычно используется ОС Windows, в которой в данный момент работает наше приложение. Запишите здесь наш IP-адрес. Дважды щелкните по нему и нажмите «Сделать статическим», чтобы убедиться, что IP-адрес нашего устройства не меняется после перезагрузки и наши необходимые изменения работают. Нажмите "ОК".

Затем мы переходим на вкладку «NAT» в «IP > Брандмауэр» и нажимаем синий плюс, чтобы добавить новое правило.

Для текущего примера мы собираемся открыть необходимые порты для Java-сервера Minecraft, который по умолчанию использует TCP-порт 25565. Для этого в текущем окне мы переходим на вкладку «Общие» и меняем эти настройки:

Chain — параметр, определяющий, в каком направлении идет необходимый нам трафик приложения. Выберите «dstnat» — наш трафик поступает из Интернета в нашу локальную сеть.

Протокол — определяет наш протокол трафика TCP/IP, который использует трафик приложения, выберите «6 (tcp)».

Дст. Порт — значение порта назначения нашего трафика, введите 25565.

В. Интерфейс — наш интерфейс, из которого в первую очередь поступает трафик, обычно откуда приходит наш интернет. Выберите «ether1» или любой другой подходящий интерфейс.

Теперь переходим на нашу вкладку «Действие», которая определяет, что роутер собирается делать с указанным нами трафиком, меняем следующие настройки:

Действие — выберите «dst-nat», что говорит о том, что наш трафик будет направляться к месту назначения через NAT в нашей локальной сети.

To Addresses — IP-адрес нашего устройства в локальной сети, который мы отметили ранее, введите его здесь.

To Ports — значение порта, которое использует трафик приложения — введите 25565.

Нажмите ОК, чтобы сохранить и применить все наши настройки. Теперь у приложения открыты необходимые порты.

2. Я хочу использовать разные адреса DNS-серверов для устройств в моей сети. Как мне это сделать?

Вы можете относительно легко изменить адреса своих DNS-серверов в любое время, если у вас есть какие-либо проблемы с DNS-серверами, которые предоставляет ваш интернет-провайдер. Одно из преимуществ устройств Mikrotik заключается в том, что они могут кэшировать ваши недавно использованные записи DNS, чтобы ускорить последующие подключения к ним.

Сначала перейдите в «IP > DHCP-клиент», на вкладке «DHCP-клиент» дважды щелкните параметр с интерфейсом, с которого вы получаете интернет-трафик, в появившихся окнах снимите флажок «Использовать одноранговый DNS», чтобы мы не будет использовать DNS-серверы, предоставляемые нашим интернет-провайдером.

Теперь в «IP > DHCP-сервер» на вкладке «Сети» дважды щелкните нашу текущую конфигурацию DHCP и введите адрес вашего маршрутизатора (!) в поле «DNS-серверы». Нажмите ОК.

И, наконец, в «IP > DNS» в поле «Серверы» введите адреса DNS-серверов, которые вы хотите использовать, нажмите «ОК».

Если все сделано правильно, вы должны увидеть появление новых записей при нажатии на кнопку «Кэш» в том же окне после нажатия OK и перезагрузки устройства.

3. Как сделать резервную копию и восстановить конфигурацию маршрутизатора Mikrotik.

Для этого мы сначала открываем терминал, нажав кнопку «Новый терминал».

Чтобы сохранить текущую конфигурацию в текущем окне терминала, введите:

export file="имя конфигурации".rsc

Нажмите Enter. Здесь «Название конфигурации» нужно заменить на любое понравившееся имя латинскими буквами. Наш сохраненный файл будет расположен в корневом каталоге устройств в разделе «Файлы», где вы можете сохранить его на свой компьютер, щелкнув его правой кнопкой мыши и выбрав «Загрузить».

ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ, что при сохранении конфигурации пароль маршрутизатора не сохраняется из соображений безопасности, который вам нужно будет установить в «Система > Пароль» при восстановлении. Файл конфигурации также не удаляется, если настройки маршрутизатора сбрасываются до значений по умолчанию.

Чтобы восстановить конфигурацию, которую вы недавно сохранили в файл, введите в окне терминала:

import file="имя конфигурации".rsc

4. Как вы обновляете свое устройство, если у вас нет интернета?

В случае, если ваш маршрутизатор не имеет доступа к Интернету и у вас есть необходимый файл обновления .npk, сохраненный на вашем компьютере, вы можете обновить свое устройство, загрузив этот файл в корень устройства в меню «Файлы». с последующей перезагрузкой устройства. Также не забудьте обновить прошивку вашего устройства в «Система > RouterBOARD», чтобы избежать ненужных ошибок и проблем при его использовании.

Это одна из самых простых ошибок, и она входит в десятку основных ошибок Mikrotik. В этой статье мы увидим, почему она так разрушительна для нашей сетевой инфраструктуры и как ее избежать.

1. Распространенная ошибка

Во время выступления на Mikrotik User Meeting USA 2016 Андис Ариньш поставил его на восьмое место в рейтинге «ТОП 10 ошибок конфигурации RouterOS» (видео), а в следующем году на Mikrotik User Meeting Europe Янис Мегис (видео ) назвал это одной из проблем, по которым чаще всего обращались в службу поддержки Mikrotik.

Начнем с типичной конфигурации маршрутизатора Mikrotik, используемого для простого просмотра веб-страниц:

/ip dns set allow-remote-requests=yes server=8.8.8.8
/ip firewall nat add action=masquerade chain=srcnat out-interface=Internet
/ip firewall filter add action= fasttrack-connection chain=forward connection-state=installed,related

Общедоступный IP-адрес активен на интерфейсе под названием «Интернет».

Через некоторое время пользователь этого подключения жалуется на снижение производительности. Хороший техник анализирует роутер Mikrotik и замечает высокую загрузку процессора и большую нагрузку неизвестного трафика на публичный интерфейс. На этом этапе я использовал команды

/tool ​​torch и /tool ​​profile понимают, что ЦП занят процессом DNS, а трафик — это трафик разрешения DNS: наш маршрутизатор — это открытый DNS или позаимствовать выражение, полученное от почтовых серверов, у нас есть открытый преобразователь DNS.

2. Откуда берется этот вредоносный трафик и почему он так широко распространен?

Когда наш маршрутизатор получает значительные DNS-запросы извне, это означает, что он стал конечной точкой DDOS-атаки DNS Amplification или атаки DNS Reflector. Следовательно, это не цель атаки, а один из акторов, используемых для усиления атаки. В идеале рекурсивный DNS-сервер, в нашем случае маршрутизатор Mikrotik, должен принимать запросы только от клиентов в нашей локальной сети, но неправильная настройка может привести к его запросу от любого клиента даже за пределами нашей сети. Эти серверы определяются как «открытые преобразователи», и в контексте конференции ShmooCon (2006 г.), впервые посвященной анализу этой атаки, Дэн Камински и Майк Шиффман обнародовали около 580 000 серверов, расположенных в Интернете.

Концепция усиления основана на том факте, что очень маленькие запросы разрешения DNS могут генерировать ответы гораздо большего размера, например, 60-байтовый запрос UDP может генерировать ответ 512, что в 8,5 раз больше, чем запрос. Кроме того, используя методы рефракции и отправляя запросы, поддерживающие расширение EDNS, можно достичь коэффициента усиления 66,7. CISA кодифицировала эту атаку в бюллетене

Подробнее об атаке см. в этом документе, а по этой ссылке вы найдете исполняемую версию той же атаки. Для более опытных рекомендуется проанализировать сканер dns_amp во фреймворке Metasploit:

3. Разрешение

Правильная конфигурация

В Mikrotik для решения этой проблемы достаточно двух простых правил фильтрации, которые нужно поставить во главе нашей конфигурации:

add action=drop chain=input connection-state=new dst-port=53 in-interface=Internet protocol=udp
add action=drop chain=input connection-state=new dst-port=53 in -interface=Интернет-протокол=tcp

Служба уведомлений FlashStart

Однако опыт показывает, что всегда присутствует человеческая ошибка: мы часто забываем добавить эту конфигурацию.
К счастью, существует FlashStart®, ведущий на рынке облачный инструмент для фильтрации DNS.

Одной из новых услуг является уведомление по электронной почте в случае, если наш Mikrotik ведет себя как открытый преобразователь DNS. Если вы используете FlashStart® в качестве преобразователя DNS и забыли правильную конфигурацию своего маршрутизатора, вы получите электронное письмо со следующей структурой:

Фактически, серверы Flashstart® периодически сканируют общедоступные IP-адреса, предоставленные клиентами посредством простого DNS-запроса, и, если обнаруживают, что инфраструктура может быть использована для DDOS-атаки, DNS Amplification предупреждает нас, чтобы мы могли принять соответствующие меры. корректирующие действия.

Простая услуга, но ценимая нами, системными администраторами, защищает вас от нашей забывчивости.

4. См. другие ресурсы о «Маршрутизаторе Mikrotik и FlashStart»

Flashstart – это безопасный инструмент для навигации в Интернете как локально, так и удаленно во время умной работы.
Запросите расценки и сразу же начните бесплатную пробную версию

Вы можете активировать облачную защиту FlashStart® на любом маршрутизаторе и брандмауэре для защиты настольных и мобильных устройств, а также устройств IoT в локальных сетях.

Читайте также: