Настройка DNS Server на Mikrotik
В этой статье мы рассмотрим настройку базовой сетевой службы DNS на маршрутизаторе Mikrotik. Узнаем, как настроить локальный DNS Server, создать статические записи ДНС и для чего это нужно. Изучим новый функционал, который появился в RouterOS версии 6.47.
Mikrotik DNS. Общая информация
DNS (Система доменных имен) — если говорить простыми словами, то это служба, которая преобразует доменное имя (например, ya.ru) в ip адрес (87.250.250.242), тем самым упрощая поиск нужного ресурса. Схематично это выглядит следующим образом:
База данных ДНС представляет из себя иерархическую структуру серверов, взаимодействующих по специальному протоколу.
Mikrotik. Настройка DNS сервера
Когда подключение к провайдеру происходит при помощи технологии Dynamic IP или PPPoE, то ИП-адрес DNS назначается автоматически, если установлена “галочка” в соответствующем клиенте:
Автоматическое получение настроек DNS по DHCP-клиенту. 
Автоматическое получение настроек DNS по PPPoE-клиенту.
Рассмотрим ситуацию, когда ДНС задается вручную (подключение к провайдеру осуществляется статическим способом или значение Use Peer DNS неактивно). Выполним настройку DNS сервера для Mikrotik с помощью графической утилиты Winbox. Для этого перейдем:
- IP => DNS.
- Настроим адреса вышестоящих DNS-серверов, к которым мы будем отправлять запросы. Это могут быть значения, полученные от провайдера или публичных DNS серверов;
- Разрешим примем удаленных запросов.
А также можем задать настройки для кэша:
- Cache Size – определяет размер кэша ДНС. Указывается в килобайтах;
- Cache Max TTL — Максимальное время хранения записей для кэша. При этом учитываются меньшие значение TTL полученные от вышестоящих ДНС-серверов;
Чтобы посмотреть содержимое кэша на устройстве Mikrotik:
- нажмем кнопку Cache:
Если нужно удалить кэшированные страницы, то:
- нажимаем Flush Cache:
Важно! Параметр Allow Remote Requests разрешает роутеру Mikrotik работать DNS-сервером для сторонних клиентов (будь то локальные или из интернета).
Поэтому необходимо создать правило в firewall:
Разрешим принимать ДНС запросы от всех, кроме WAN интерфейса:
- Chain: input;
- Protocol: 17 (udp);
- Dst. Port: 53;
- In. interface: ! ether1 – Выбрать интерфейс с настроенным интернетом от провайдера. Обратите внимание на восклицательный знак перед интерфейсом (“!”), он означает выражение “НЕ”.
- Откроем вкладку Action:
Для примера приведу рабочую конфигурацию firewall, где выполнена данная настройка:
Mikrotik DNS. Статические записи
Если мы сами служим DNS-сервером, то можем создавать статические записи. До версии 6.47 RouterOS, служба доменных имен в Mikrotik могла создавать записи только типа A (соответствие между именем узла и ИП-адресом). Но начиная с версии 6.47 появилась возможность создавать и другие типы основных ресурсных записей:
DNS static. Настройка
Используя статические записи, можно блокировать сайты. Рассмотрим это на примере mail.ru. Запретим пользователям доступ к этому ресурсу, перенаправив ДНС-запросы на localhost.
Создадим статическую запись для сайта mail.ru:
Нажимаем «+». В открывшимся окне:
- Name – указываем имя хоста;
- Type – A;
- Address – указываем IP-адрес;
- OK.
Однако, при этом поддомены сайта будут доступны. Чтобы запретить сайт со всеми поддоменами, создадим статическую запись для доменного имени:
- Regexp: .*\.mail\.ru
- Type: A
- Address: 127.0.0.1
Чтобы заблокировать все сайты, в строке которых содержится слово «mail», создадим запись:
- Regexp: .*mail.*
- Type: A
- Address: 127.0.0.1
- OK.
DNS Static. Настройка из консоли
Настройки, описанные выше, только из командной строки:
Настройка DNS Forward
Также возможно пересылать определенные запросы DNS на другой сервер. Предположим, что у нас есть небольшой филиал и нам нужно настроить forward запросов для имени внутреннего домена на ДНС сервера Active Directory. Для этого Mikrotik использует тип записи FWD. Данная функция появилась, начиная с RouterOS v6.47.
Все запросы, которые пришли на «ad.local» Mikrotik разрешит через 192.168.10.100.
Из консоли:
> ip dns static add regexp= «.*\\.ad\\.local» forward-to=192.168.10.100
Заключение
Надеемся данная статья была полезной и поможет разобраться в настройках DNS маршрутизатора Mikrotik.
Как «подружить» DHCP на микротик и DNS Windows
На микротике в доменной сети создана подсеть, настроен DHCP. Теперь вопрос: как настроить, чтобы в DNS домена (на Windows server 2008r2) регистрировались ip-адреса, выданные микротиком?
Как написать регулярное выражение для выдергивания английских букв и символов: «+», «,», «:», «-«, » «, «!», «?» и «.»
Не могу ни как собразить как написать регулярное выражение для выдергивания английских букв и.
Как использовать микротик для «ДНС флуда»
Добрый день. есть следующая ситуация : — микротик 2011 — Разрешение на использование кеша ДНС для.
Как «подружить» Dlink DPR 1020 и Brother HL-2132R
как подружить данный принтер с этим принт сервером? программа ps_link его не видит почему то .
Совершенно верно, в зоне прямого просмотра они появляются, но вот зоне обратно нету их, хоть и стоит галочка в настройках прямой зоны «обновлять записи в зоне обратного просмотра». И здесь, я так понимаю, все упирается в настройку динамического обновления «только безопасные». Можно, конечно, наплевать на безопасность и поставить «любые», но не хотелось бы этого делать. Получается, чтобы микротик мог обновлять записи в обратной зоне, он должен авторизоваться в домене. и вот тут вопрос — как это сделать?
И 53 порт конечно прописан)))
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.
Как PostgreSQL и C++ «подружить» в плане TIMESTAMP?
Использую C++ & libpqxx. Возникла проблема: при запросе поля с TIMESTAMP, возвращается только.
Как «подружить» Entity Framework и MS Access
Как заставить работать EF и Access? Видел датапровайдеры для Oracle, MySQL, SQLight и много чего.
Как «подружить» внешнее устройство и приложение
Добрый вечер, друзья! Помогите, суть вопроса ниже: Представим что: Есть устройство.
Как «подружить» getchar и putchar?
Уважаемые знатоки, дайте совет новичку как «подружить» getchar и putchar. Вот код программы.
MikroTik Split or Forwarding DNS
Форвард зоны на другой сервер, ждали, ждали и дождались
В логах беты версии 6.47 увидел что есть изменения в работе DNS сервера на MikroTik.
Ну что-же интересно, необходимо проверить, работу и посмотреть что к чему.
Решил не использовать GNS, а взял с полки специально для тестов HAP ac2 и естественно обновил на последнюю beta версию.
IP адрес маршрутизатора с бета версией 172.20.17.100
Естественно по наитию пошли смотреть в /ip dns static
И видим нововведения, ну что же надо разобраться и проверить.
Не только A но и другие типы записей.
Раньше нем было доступно только A и AAAA записи для IPv4 и соответственно IPv6, как видим сейчас стало значительно больше.
Ну что-же давайте проверим все эти записи.
Проверять мы будет работу с помощью nsloopkup .
CNAME
Тип ссылки, когда мы говорим, что для данной записи ищи значение в другой записи.
Записи MX необходимы для корректной работы, а точнее поиска сервера для получения почты по протоколу SMTP.
Создадим две записи для вымышленного домена, с разными весами.
Когда вам надо сообщить, что за конкретное доменное имя отвечает другой сервер, вы должны использовать запись типа NS.
Вы можете сохранять произвольное значение, частно используется для того чтобы проходить валидация SPF для перечисления записей разрешённых хостов для отправки почты. Также при использовании DKIM подписи.
И ещё мы написали программку knockme которая также может использовать TXT для получения параметров knock-a.
Многие сервисы могут использовать для автоматического получения списка серверов например SIP, XMPP, LDAP и прочее.
Ну что же вроде всё работает.
И самая долгожданная штука это так называемый SPLIT DNS.
MikroTik Split DNS
Для начало, для чего он нужен.
Данный режим ещё называется forward zone
Представим себе ваш MikroTik выступает в роли маршрутизатора удалённого филиала. На нём поднимается VPN до центрального филиала прописываются маршруты и прочее. У вас доменная авторизация все компьютеры в домене, естественно хорошей практикой на компьютерах прописать DNS сервера который обслуживают Active Directory службы. Но в таком случае если туннель по какой-то причине упадёт ваш филиал останется без интернета, а ведь интернета может не быть в центральном филиале. Да перестанут работать различные шары и прочее, конечно для этих целей существует как минимум RODC, но навсегда есть возможность установить подобный сервис в филиале ввиду множества различных проблем.
Представим что наш dns suffix равен mycom.loc
Соответственно, а что если мы на компьютерах припишем DNS сервер адрес MikroTik, а на MikroTik укажем, что если запрос содержит mycom.loc то перенаправлять такие запросы на сервера DNS AD, а все остальные запросы перенаправлять допустим на 8.8.8.8.
Установим на MikroTik сервер DNS 8.8.8.8
и настроим forwarding зоны
Обратите внимания что мы используем регулярное вырожение.
Давайте проверим. Я решил взять реальный прод, поэтому DNS суффикс скрыл, не переживайте всё по подобию.
И так в скриншотах, с замазанным суффиксом.
Настоятельно рекомендую пока данный функционал не использовать в проде, так как это всё ещё бета версия.