+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

DNSSEC

DNSSEC, RouterOS

Xymox Guest	#1 0 15.06.2010 16:53:00 Поддерживает ли RouterOS DNSSEC? DNSSEC сейчас на слуху. Похоже, внедряют в июле.

itchycube Guest	#2 0 24.02.2014 04:08:00 Я бы тоже поддержал это. Было бы здорово иметь возможность включать валидацию на RouterOS.

oreggin Guest	#3 0 01.10.2014 09:01:00 +1 за запрос на функцию

Zorro Guest	#4 0 01.10.2014 12:58:00 Нет, он тоже не поддерживает DNSCurve (преемник/замена DNSSec, предложенная около двух лет назад, но задержанная для одобрения).

mhoungbo Guest	#5 0 15.02.2015 15:13:00 +1000000 за предложение функции

zopper Guest	#6 0 26.04.2015 14:08:00 Есть какая-то причина, по которой DNSSEC до сих пор не внедрён?

EMOziko

Guest

06.11.2013 13:04:00

Есть какие-то новости на этот счёт? DNSSEC становится мировым стандартом, и всё больше провайдеров его внедряют. Но если провайдер использует продукцию Mikrotik, DNSSEC развернуть не получается. Пожалуйста, Mikrotik, дайте нам больше причин использовать вашу продукцию.

StubArea51 Guest	#8 0 26.04.2015 15:15:00 +1 за DNSSEC. У нас есть клиенты, которым нужна эта функция.

papuas Guest	#9 0 28.05.2015 12:14:00 +1 за запрос на добавление функции

chebedewel Guest	#10 0 24.05.2016 06:34:00 Поддерживаю! +1 за DNSSec на резолвере.

loredo Guest	#11 0 16.01.2017 18:52:00 +1 за просьбу добавить эту функцию

Tabco2 Guest	#12 0 06.02.2017 02:24:00 +1 за DNSSec как дополнительную функцию

msatter

Guest

#13

06.02.2017 07:58:00

Я не вижу здесь никакой дополнительной функциональности, которая мне нужна. Текущая DNS-функциональность, на мой взгляд, предназначена либо для изменения реальных DNS-ответов, либо для создания DNS-ответов только для внутреннего использования. DNS Mikrotik пропускает DNSSEC-ответы с реального DNS-сервера к клиенту.

Sob

Guest

#14

06.02.2017 13:51:00

Проблема с просто передачей данных DNSSEC клиентам, когда те запрашивают их, в том, что по большому счету это ни к чему не приводит. Веб-браузерам, которые сегодня наиболее часто используются, DNSSEC вообще безразличен — они с удовольствием принимают любые поддельные ответы. Другие программы и операционные системы не лучше. Чтобы получить защиту, валидация должна происходить на DNS-резолвере. Вероятно, у провайдеров она есть, но тогда ответ должен пройти через их сеть к вам, и снова может быть уязвимым. С публичными резолверами ситуация ещё хуже (длиннее путь). Если бы резолвер в RouterOS мог валидировать DNSSEC, это помогло бы. С другой стороны, это немного больше, чем просто простое добавление, поэтому MikroTik вряд ли будет спешить с этим.

lysanev

Guest

#15

20.04.2018 07:34:00

Сегодня у нас есть публичный DNS 1.1.1.1 от Cloudflare, 8.8.8.8 от Google с поддержкой DNS-over-TLS и DNS-over-HTTPS — оба обеспечивают шифрование «последней мили», чтобы сделать запросы DNS приватными и защитить их от подделки. Мы хотим использовать это на наших устройствах!!! Полный список DNS с dnssec https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md

Да, это не просто добавление, тема была создана несколько лет назад.

P.S. Пару DNS-серверов взломали, и они перенаправляли пользователей http://myetherwallet.com на фишинговый сайт. Это не вина @myetherwallet, мы сейчас проверяем, какие сервера надо исправить, и решим это в ближайшее время.

MechanicF Guest	#16 0 20.04.2018 10:20:00 Полностью поддерживаю dnssec как дополнительную функцию!! +100500 за запрос на добавление. Спасибо, Mechanic

DummyPLUG Guest	#17 0 22.05.2018 05:52:00 Просто переключился с Draytek на CCR1009, но из-за отсутствия DNSSEC не уверен, будет ли CCR вообще запущен в промышленную эксплуатацию.

candlerb

Guest

#18

06.07.2018 16:41:00

Похоже, меня сегодня тоже «уронило» из-за этого. На Ubuntu 16.04 с установленным lxd 3.0.1 из xenial-backports следующая команда постоянно выдаёт ошибку:
root@nuc1:~# lxc launch images:debian/jessie/amd64 snf-image-jessie
Создаётся snf-image-jessie
Ошибка: не удалось создать контейнер: Get https://images.linuxcontainers.org/streams/v1/index.json: lookup images.linuxcontainers.org на 10.12.255.1:53: read udp 10.12.255.11:46962->10.12.255.1:53: время ожидания ввода-вывода вышло
Файл /etc/resolv.conf был направлен на 10.12.255.1, который является Mikrotik hEX PoE. tcpdump показал, что DNS-пакеты действительно отправляются, и Mikrotik отвечает на них. Но после смены DNS на 8.8.8.8 всё заработало нормально. Значит, с ответами от DNS-форвардера Mikrotik что-то не так, и lxd их не принимает; очевидное отличие — DNSSEC (хотя я не могу доказать, что именно это причина):
root@nuc1:~# dig @10.12.255.1 images.linuxcontainers.org +dnssec +multi
...
;; ANSWER SECTION:
images.linuxcontainers.org. 900 IN CNAME canonical.images.linuxcontainers.org.
canonical.images.linuxcontainers.org. 900 IN A 91.189.91.21
canonical.images.linuxcontainers.org. 900 IN A 91.189.88.37
в сравнении с
root@nuc1:~# dig @8.8.8.8 images.linuxcontainers.org +dnssec +multi
...
;; ANSWER SECTION:
images.linuxcontainers.org. 77 IN CNAME canonical.images.linuxcontainers.org.
images.linuxcontainers.org. 77 IN RRSIG CNAME 8 3 900 (
20180718083502 20180704052307 23359 linuxcontainers.org.
NdCMnXYwpegRTCx0b92mylHnjgS7msdjnfTvz+ozjZOc
JqA2DQxYFqsbKETc2nE3U2eOSi3UEFtR3V2959oMNTQv
Du8R6OdZb9hFrXh6woEyAPe93fbk+hnehKP4UtqfPRG8
uRJn6Tiqjdqt8TubHGQqpn9uJDpNMzSArXyZhyM= )
canonical.images.linuxcontainers.org. 334 IN A 91.189.91.21
canonical.images.linuxcontainers.org. 334 IN A 91.189.88.37
canonical.images.linuxcontainers.org. 334 IN RRSIG A 8 4 900 (
20180710143450 20180626095643 23359 linuxcontainers.org.
Uumc8LbdvVrbtuihoZo1dsDZTylkDLZNzK6V+Z66i+L0
CIFRkbyRuHM8x2A1LQknuhwQfDJcZftjl5fPtNaztLYk
hkhGVZ86vVwgqCS7clZLqpr38oSroB/NbqOxP/R7ibcJ
l2h3UqNvLev4FpqqVYHLD/KIN62llCi7MoK7HNo= )

pe1chl Guest	#19 0 06.07.2018 19:02:00 Просто: не используйте резолвер MikroTik для клиентов, а разрешите им напрямую использовать 1.1.1.1 или 8.8.8.8 или подобные (указывайте через DHCP).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры