(Глупый) вопрос: как пересылается DNS-запрос / настройки DNS в DHCP?

Поскольку вы так терпеливо отвечаете мне, значит, легко разберётесь с вопросами по теории относительности. Извиняюсь за поздний ответ, но у меня было очень мало времени, и оно ушло на разбор VLAN на MT. Теперь я понимаю, что это на самом деле довольно просто, меня просто раздражало формулировка. Планирую создать тему, сопоставимую с вашей по фаерволу. Пока что это не случилось, но хотя бы конфигурации уже отправлены на GitHub: GitHub - PackElend/MikroTik.

Возвращаясь к теме: я прочитал про DNS Query Message Format (firewall.cx), и теперь мне стало чуть понятнее. Если RouterOS назначает клиенту через DHCP 8.8.8.8, DNS-запросы будут идти на 8.8.8.8, если клиент не найдёт ответ в своём кэше. Пока всё ясно. Теперь я назначаю шлюз подсети или любой другой IP, назначенный интерфейсу моего роутера. Конечно, этот IP должен быть доступен клиенту (правила фаервола и так далее), но в итоге смысла нет никакой разницы, правда? Назначенный интерфейс (с его IP, указанным в качестве DNS-сервера) — это ворота в RouterOS. Это и вызывает то, что вы описали: я провёл некоторые тесты и заметил, что даже если не указывать DNS-сервер клиенту, DNS-запросы всё равно пересылаются через мой роутер (я делал очистку DNS кэша в системе и браузере). Это странно, проверю ещё раз. Либо RouterOS не прозрачен в пересылке DNS-запросов, либо что-то всё ещё не так, так как я делал трассировку DNS через OpenDNS, но OpenDNS не отображается:

Тест согласно How to test for successful OpenDNS configuration? – OpenDNS прошёл, но взрослые сайты всё равно открываются.

Установлен How to use BIND’s Domain Information Groper (dig) Tool | Dyn Help Center, чтобы выполнить dig +trace:

C:\Program Files\ISC BIND 9>dig internetende.de +trace +noall +answer

.                       515702  IN      NS i.root-servers.net
.                       515702  IN      NS j.root-servers.net
.                       515702  IN      NS k.root-servers.net
.                       515702  IN      NS l.root-servers.net
.                       515702  IN      NS m.root-servers.net
.                       515702  IN      NS a.root-servers.net
.                       515702  IN      NS b.root-servers.net
.                       515702  IN      NS c.root-servers.net
.                       515702  IN      NS d.root-servers.net
.                       515702  IN      NS e.root-servers.net
.                       515702  IN      NS f.root-servers.net
.                       515702  IN      NS g.root-servers.net
.                       515702  IN      NS h.root-servers.net
;; Получено 813 байт от 10.99.99.1#53(10.99.99.1) за 28 мс
;; Получено 779 байт от 192.36.148.17#53(i.root-servers.net) за 23 мс
;; Получено 616 байт от 81.91.164.5#53(f.nic.de) за 10 мс
internetende.de.        10800   IN      A       109.237.138.8
;; Получено 60 байт от 148.251.254.105#53(cns2.alfahosting.info) за 22 мс

C:\Program Files\ISC BIND 9>dig pornhub.com +trace +noall +answer

.                       515172  IN      NS f.root-servers.net
.                       515172  IN      NS g.root-servers.net
.                       515172  IN      NS h.root-servers.net
.                       515172  IN      NS i.root-servers.net
.                       515172  IN      NS j.root-servers.net
.                       515172  IN      NS k.root-servers.net
.                       515172  IN      NS l.root-servers.net
.                       515172  IN      NS m.root-servers.net
.                       515172  IN      NS a.root-servers.net
.                       515172  IN      NS b.root-servers.net
.                       515172  IN      NS c.root-servers.net
.                       515172  IN      NS d.root-servers.net
.                       515172  IN      NS e.root-servers.net
;; Получено 813 байт от 10.99.99.1#53(10.99.99.1) за 12 мс
;; Получено 1171 байт от 199.7.83.42#53(l.root-servers.net) за 7 мс
;; Получено 844 байт от 192.43.172.30#53(i.gtld-servers.net) за 9 мс
pornhub.com.            3600    IN      A       66.254.114.41
;; Получено 56 байт от 198.51.45.3#53(dns2.p03.nsone.net) за 11 мс

C:\Program Files\ISC BIND 9>C:\Program Files\ISC BIND 9>tracert pornhub.com

Определение маршрута до pornhub.com [66.254.114.41] с максимумом 30 прыжков:
1    21 мс     7 мс     1 мс  10.99.99.1
2     1 мс     3 мс     3 мс  fritzbox.kuerberg.ch [192.168.66.1]
3    26 мс     3 мс     2 мс  217.22.136.2
4    10 мс    20 мс    16 мс  212.25.27.122
5    78 мс     4 мс     2 мс grace.glb.as8758.net [212.25.28.238]
6    11 мс     3 мс     1 мс te0-3-1-3.rcr51.b021037-0.zrh02.atlas.cogentco.com [149.6.177.45]
7     3 мс     2 мс     3 мс be2395.ccr52.zrh02.atlas.cogentco.com [130.117.50.25]
8   292 мс    42 мс    82 мс be3073.ccr22.muc03.atlas.cogentco.com [130.117.0.62]
9    14 мс    21 мс    13 мс be2960.ccr42.fra03.atlas.cogentco.com [154.54.36.253]
10    43 мс    47 мс    15 мс haproxy.demarc.cogentco.com [149.29.8.2]
11    12 мс    11 мс    10 мс cust-reflected-svc11802.ip.reflected.net [66.254.122.141]
12    12 мс    18 мс    15 мс reflectededge.reflected.net [66.254.114.41]

Маршрут определён.

НАСТРОЙКИ КЛИЕНТА (VLAN99 для теста):

Локальный IPv6 адрес ссылки: fe80::997f:70f6:408e:ac18%18  
IPv4 адрес: 10.99.99.243  
DNS серверы IPv4: 10.99.99.1

/ip dhcp-server> print where name=VLAN_099_DHCP  
Flags: D - динамический, X - отключен, I - неверный  
NAME           INTERFACE         RELAY           ADDRESS-POOL         LEASE-TIME ADD-ARP  
0    VLAN_099_DHCP  VLAN_099                          VLAN_099             10m

print where comment~“^BASE”  
Flags: D - динамический  
ADDRESS            GATEWAY         DNS-SERVER              WINS-SERVER     DOMAIN  
0   ;;; BASE (MGMT) VLAN 10.99.99.0/24      10.99.99.1      10.99.99.1

2. DNS SERVER:  
/ip dns> print  
servers: 208.67.222.222,208.67.220.220  
dynamic-servers:  
use-doh-server:  
verify-doh-cert: no  
allow-remote-requests: yes  
max-udp-packet-size: 4096  
query-server-timeout: 2s  
query-total-timeout: 10s  
max-concurrent-queries: 100  
max-concurrent-tcp-sessions: 20  
cache-size: 2048KiB  
cache-max-ttl: 1w  
cache-used: 332KiB

Не важно, какой IP ты используешь (как обычно, кроме IP фаервола). Но лучше использовать IP основного шлюза для этого. Пример: у тебя есть сети 10.1.x и 10.2.x. На обеих сетях можно использовать любой из двух IP шлюзов. Но если по какой-то причине в будущем захочешь заблокировать любую связь между этими подсетями или просто сменить IP подсетей, все устройства, настроенные с неправильным, но работающим IP, перестанут работать.

Спасибо за такой быстрый ответ. Все клиенты настроены использовать DNS-сервер, указанный в /ip DNS. Какие DNS-серверы у OpenDNS? Судя по вашим ответам, осмелюсь сказать, что мои настройки верны. По какой-то причине блокировка/фильтрация OpenDNS не работает так, как надо, сделаю ещё пару проверок (очистка кеша, перезагрузка и т.д.). Согласен, это всё больше в учебных целях.

Динамические имеют приоритет. Ещё один пример: у универсальных точек доступа внутри прописан один DNS, но если провайдер захочет поменять DNS, не нужно обновлять все точки доступа, достаточно просто выдать новый DNS через DHCP-сервер или PPPoE-сервер.

Нет, просто укажите IP-адрес DNS в разделе DHCP Networks.

Если у вас уже настроено несколько DHCP, обновите их с помощью скрипта… /ip dhcp-server network set [find] dns-server=1.1.1.1,8.8.8.8

Сейчас у меня слишком много работы, но сначала для MikroTik нужно разработать что-то вроде автоконфигурации. Моя идея — сделать универсального мастера, который будет генерировать скрипт для автоматической настройки, примерно так:

Выбрать уровень пользователя (для новичков меньше вопросов и т.п.) → выбрать модель → выбрать, используется ли устройство как коммутатор, маршрутизатор, файрвол, точка доступа и т.д. → указать, на каком порту идет Интернет (WAN, на каком ether? как Wi-Fi клиент?) → сколько разных источников WAN? → выбрать LAN-порты → задать настройки Wi-Fi → указать детали для первого WAN (DHCP? PPPoE? VLAN? Прозрачный режим с xDSL/ONT/LTE? и т.п.) → детали для второго WAN → и так далее → выбрать, будет ли WAN на резервировании, балансировке нагрузки или и то, и другое → указать количество нужных VLAN (+управляющий) → выбрать, как используются отдельные LAN (транк, VLAN, без тегов и т.д.) → выбрать стандартные правила файрвола (по умолчанию, расширенные, без правил, если это просто коммутатор или точка доступа) → выбрать нужные функции маршрутизатора (IP Forward, Router Cache и т.д.) → настроить новых пользователей и параметры безопасности → задать SSID и пароль Wi-Fi и так далее.

В итоге генерируется единый файл для импорта, сброса настроек и применения — и готово.