+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

OpenDNS — перехватывает весь DNS-трафик.

OpenDNS — перехватывает весь DNS-трафик., RouterOS

fastmesh

Guest

02.07.2011 19:56:00

Привет! Как сделать так, чтобы мой 450G перехватывал весь DNS-трафик и перенаправлял его на наш аккаунт OpenDNS? Я знаю, как это сделать в dd-wrt с помощью простой команды, но я новичок в Mikrotik, и, честно говоря, мне еще многое предстоит изучить. У меня есть 450G, настроенный одним крутым гуру, но теперь я в одиночестве. В общем, я не хочу, чтобы кто-то мог обойти наш DNS (я понимаю, что продвинутые технари, возможно, найдут способ, но для 80% обычных пользователей это будет работать). У меня версия 3.25. Ты случайно не знаешь, если я обновлю ее, нужно ли будет платить за новую лицензию? И еще — после обновления все настройки сохранятся? Если нет, то я в щепках.

К тому же я только что купил ещё один 450G и думаю просто загрузить на него ту же прошивку 3.25, скопировать бэкап с первого и внести пару изменений в IP-адреса. Это глупая идея для новичка в Mikrotik? Если я сделаю даунгрейд на новом устройстве, на котором уже есть лицензия, будет ли лицензия совместима с более старой версией?

Спасибо!

steixeira Guest	#2 0 09.08.2011 17:19:00 Что ты здесь перенаправляешь? Когда используешь действие redirect, разве ты не перенаправляешь на другой порт? Мы действительно хотим так сделать?

andreacoppini

Guest

07.09.2011 14:37:00

action=redirect — это на самом деле перенаправление на самого себя. Все пакеты, попадающие под это правило, будут направлены обратно на роутер, либо на исходный порт (если поле to-ports= не задано), либо на указанный порт (если вы определяете to-ports=xxx).

CCDKP

Guest

07.09.2011 15:50:00

Также стоит добавить команду /ip firewall nat add chain=dstnat in-interface=LAN protocol=tcp dst-port=53 action=redirect. Хотя правда, что DNS в основном использует UDP, он переключается на TCP, когда ответ превышает 512 байт. С началом внедрения DNSSec у нас в сетях всё чаще появляются TCP-запросы к DNS.

fastmesh

Guest

01.01.2012 23:20:00

Привет! Я тот самый автор темы, но вот уже год не писал ничего! Мне так и не приходили письма, надо будет разобраться с этим. Я попросил одного друга помочь мне с dns-форвардером, и вот что я использовал для настройки «поймать всё» (catch all) dns. Это немного по-другому, поэтому интересно, что будет эффективнее с точки зрения ресурсов. (Сеть у меня очень загруженная — в среднем 60-80 Мбит/с, пик до 100, пользователей больше 300.)

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=208.67.222.222 to-ports=53 protocol=tcp dst-port=53
add chain=dstnat action=dst-nat to-addresses=208.67.220.220 to-ports=53 protocol=udp dst-port=53

Я ещё использовал:

/ip dns set servers=208.67.222.222,208.67.220.220 set allow-remote-requests=no
static add name=router address=192.168.5.1

Интересно, стоит ли включать allow-remote-requests на YES в такой большой сети? Что думаете? (Если opendns настроен правильно, mikrotik же будет помнить, какие сайты заблокированы через фильтры opendns, верно?)

andreacoppini

Guest

01.01.2012 23:57:00

Ты делаешь NAT для TCP 53 на один сервер, а для UDP 53 — на другой. Если оба этих сервера обслуживают клиентов, я бы порекомендовал делать NAT для TCP и UDP на ОБА сервера, а потом использовать netwatch, чтобы включать или отключать правила по необходимости. Опция «Allow remote requests» просто активирует DNS-сервер в RouterOS. Если её выключить, клиенты не смогут использовать роутер как свой DNS-сервер. Если включить, запускается сам DNS-сервис на роутере, но тебе всё равно нужно настроить у клиентов DNS на указание твоего роутера (или использовать правила NAT редиректа).

givemesam

Guest

02.01.2012 00:15:00

Спасибо за ответ! Я думал, что пропускаю какие-то правила. Мое понимание пока довольно примитивное, но я разберусь по мере обучения. Можно ли объяснить это либо так:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=208.67.222.222 to-ports=53 protocol=tcp dst-port=53
add chain=dstnat action=dst-nat to-addresses=208.67.222.222 to-ports=53 protocol=udp dst-port=53
add chain=dstnat action=dst-nat to-addresses=208.67.220.220 to-ports=53 protocol=tcp dst-port=53
add chain=dstnat action=dst-nat to-addresses=208.67.220.220 to-ports=53 protocol=udp dst-port=53

ИЛИ так:

/ip firewall nat add chain=dstnat in-interface=LAN protocol=udp dst-port=53 action=redirect
/ip dns set servers=208.67.222.222,208.67.220.220 set allow-remote-requests=YES
static add name=router address=192.168.5.1

Правильно ли я понимаю, что при использовании ниже приведенного скрипта пользователи ПОЛУЧАЮТ эти DNS-адреса динамически, но это не стопроцентно, если кеш DNS не включен через allow-remote-requests ИЛИ нет постоянных правил файрвола на порт 53?

/ip dns set servers=208.67.222.222,208.67.220.220 set allow-remote-requests=no
static add name=router address=192.168.5.1

В общем, я пытаюсь понять, надежна ли моя текущая настройка для динамического перенаправления DNS, и если кто-то сменит свои DNS-серверы, то все равно будет направлен на указанные в файрволе opendns-серверы. Какая из версий менее ресурсоемкая и обеспечит лучший опыт использования в очень-очень загруженной сети?

Спасибо!

andreacoppini

Guest

02.01.2012 08:24:00

Да, теперь вы правы. Оба варианта будут работать, но: при варианте А пользователи всегда будут попадать на первые два правила, потому что firewall Mikrotik обрабатывает первое совпавшее правило и останавливается на нем. Поскольку правила совпадения в первых двух и последних двух одинаковы (protocol=tcp\udp dst-port=53), последние два правила просто не используются, даже если первый DNS-сервер не отвечает. Можно использовать что-то более сложное, например net watch или правило «Every» в firewall, либо использовать адресные списки или src-address matcher, чтобы разбить клиентов на две группы: часть клиентов перенаправлять на основной сервер, а другую часть — на резервный.

При варианте B (который я лично предпочитаю) есть преимущество — локальный DNS-сервер. Он кеширует ответы, что экономит трафик. Если основной сервер не отвечает, запрос будет повторен на резервном сервере. Проблема варианта B в том, что он более требователен к ресурсам по сравнению с вариантом A. Я использовал его на сетях с большим трафиком без проблем, но не знаю вашу конкретную ситуацию. Вам определённо стоит использовать мощный роутер (серия rb1000 или высокопроизводительный ПК). Также есть небольшой минус варианта B — единая точка отказа, то есть роутер. Если DNS-сервис упадет, придется перезагружать весь роутер, чтобы вернуть его в рабочее состояние. Однако за 9 лет у меня в RouterOS ни разу не было сбоя DNS.

slimprize

Guest

31.01.2015 03:06:00

Всем привет! Я пытаюсь добавить правило:
/ip firewall nat add chain=dstnat in-interface=LAN protocol=udp dst-port=53 action=redirect
У меня нет интерфейса с названием LAN. Вот список моих интерфейсов. Мне создавать правило для каждого LAN-интерфейса отдельно или есть способ применить его ко всем сразу?

[admin@conShield] /interface> print
Flags: D - динамический, X - отключён, R - запущен, S - ведомый
NAME TYPE ACTUAL-MTU L2MTU
0 R ether1-gateway ether 1500 1598
1 RS ether2-master-local ether 1500 1598
2 S ether3-slave-local ether 1500 1598
3 RS ether4-slave-local ether 1500 1598
4 RS ether5-slave-local ether 1500 1598
5 RS wlan1 wlan 1500 2290
6 R bridge-local bridge 1500 1598
7 X ppp-out1 ppp-out
8 R pppoe-out1 pppoe-out 1480

Pranav

Caci99

Guest

#10

31.01.2015 10:31:00

Просто добавьте правило без указания входящего интерфейса, а затем добавьте правила сброса в фильтр брандмауэра для запросов, поступающих извне. Это обязательно, иначе вас может затопить кучей DNS-запросов, из-за чего роутер и трафик остановятся.

/ip firewall filter
chain=input action=drop protocol=tcp in-interface=WAN dst-port=53
chain=input action=drop protocol=udp in-interface=WAN dst-port=53

slimprize Guest	#11 0 31.01.2015 13:08:00 Спасибо, Тони. Твое предложение сработало. Я добавил правила блокировки, как ты советовал, и также учёл момент про tcp в больших DNS-запросах, который упоминал другой участник этой темы.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры