Привет всем,
С декабря я с удовольствием использую RB1100AHx2, чтобы заменить Netgear WNDR3800, на котором работала OpenWRT. Это была необходимая замена, чтобы было достаточно ресурсов для работы 100Mbps IPsec туннеля. Сервисы DHCP и DNS раньше работали на WNDR3800 с помощью Dnsmasq. К сожалению, функциональность DNS в RouterOS немного ограничена, например, она не поддерживает условную переадресацию для DNS-запросов для удаленной сети на другом конце IPsec туннеля, а DHCP не интегрирован с ней для предоставления DNS для локальной сети. Конечно, я мог бы просто использовать статические записи с обеих сторон для ресурсов, которые мне нужны через туннель, но это, конечно, (A) потребовало бы ручного труда для поддержания всего в актуальном состоянии и (B) было бы слишком просто. Хотя я и пробовал манипулирование пакетами DNS с помощью Layer7 для условного поиска, в итоге я решил просто установить BIND сервер на Raspberry Pi и настроить его как следует, так как столкнулся с проблемами с интеграцией Active Directory моего NAS. Теперь остается последнее препятствие — динамическое создание DNS записей для DHCP клиентов. Снова, конечно, я мог бы просто развернуть ISC DHCP на RPi также или заменить BIND с помощью Dnsmasq и, по сути, вернуться к рабочей ситуации, которую я использовал с OpenWRT. Однако мне нравится, что DHCP основан на RouterOS, так как его легко управлять при изменении лизов. Поэтому я создал скрипт DHCP-лиза, который использует приложение /tool dns-update для обновления записей на BIND сервере, работающем на Raspberry Pi. После некоторых первоначальных проблем с ошибками BADSIG, которые, я думаю, связаны с ошибкой (?) в шифровании /tool dns-update при использовании заглавных и/или специальных символов (в моем случае подчеркивание) для имени пользователя (это работало с той же конфигурацией с помощью инструмента nsupdate с моего локального компьютера), мне удалось заставить все работать, просто используя только строчные буквенно-цифровые символы для имени пользователя и генерируя новый ключ на основе этого. Используя утилиту /tool dns-update в RouterOS, я могу обновлять A записи, но я не могу обновлять PTR записи для обратного поиска, и я не могу удалять записи, когда лизы истекают или удаляются (что излишне засоряет базы данных зон). Есть ли шанс, что функциональность /tool dns-update может быть расширена для создания PTR записей и удаления записей с BIND сервером? У вас есть какие-нибудь альтернативы, которые позволили бы мне это сделать?
С уважением,
Magchiel
С декабря я с удовольствием использую RB1100AHx2, чтобы заменить Netgear WNDR3800, на котором работала OpenWRT. Это была необходимая замена, чтобы было достаточно ресурсов для работы 100Mbps IPsec туннеля. Сервисы DHCP и DNS раньше работали на WNDR3800 с помощью Dnsmasq. К сожалению, функциональность DNS в RouterOS немного ограничена, например, она не поддерживает условную переадресацию для DNS-запросов для удаленной сети на другом конце IPsec туннеля, а DHCP не интегрирован с ней для предоставления DNS для локальной сети. Конечно, я мог бы просто использовать статические записи с обеих сторон для ресурсов, которые мне нужны через туннель, но это, конечно, (A) потребовало бы ручного труда для поддержания всего в актуальном состоянии и (B) было бы слишком просто. Хотя я и пробовал манипулирование пакетами DNS с помощью Layer7 для условного поиска, в итоге я решил просто установить BIND сервер на Raspberry Pi и настроить его как следует, так как столкнулся с проблемами с интеграцией Active Directory моего NAS. Теперь остается последнее препятствие — динамическое создание DNS записей для DHCP клиентов. Снова, конечно, я мог бы просто развернуть ISC DHCP на RPi также или заменить BIND с помощью Dnsmasq и, по сути, вернуться к рабочей ситуации, которую я использовал с OpenWRT. Однако мне нравится, что DHCP основан на RouterOS, так как его легко управлять при изменении лизов. Поэтому я создал скрипт DHCP-лиза, который использует приложение /tool dns-update для обновления записей на BIND сервере, работающем на Raspberry Pi. После некоторых первоначальных проблем с ошибками BADSIG, которые, я думаю, связаны с ошибкой (?) в шифровании /tool dns-update при использовании заглавных и/или специальных символов (в моем случае подчеркивание) для имени пользователя (это работало с той же конфигурацией с помощью инструмента nsupdate с моего локального компьютера), мне удалось заставить все работать, просто используя только строчные буквенно-цифровые символы для имени пользователя и генерируя новый ключ на основе этого. Используя утилиту /tool dns-update в RouterOS, я могу обновлять A записи, но я не могу обновлять PTR записи для обратного поиска, и я не могу удалять записи, когда лизы истекают или удаляются (что излишне засоряет базы данных зон). Есть ли шанс, что функциональность /tool dns-update может быть расширена для создания PTR записей и удаления записей с BIND сервером? У вас есть какие-нибудь альтернативы, которые позволили бы мне это сделать?
С уважением,
Magchiel
