Настройка DNS Server на MikroTik

Сегодня поговорим о DNS в рамках использования на MikroTik, настроим Server да и в общем затронем немного истории этой технологии. И так начнём.

DNS – как много в этом слове. Domain Name System – система доменных имён или та штука, которая преобразует имя в IP. Представитель мамонтов в нашем мире. RFC 1034/1035 были выпущены в ноябре 1987 года. На сегодняшний день сервисов, его не использующих практически нет или что-то совсем специфическое. Он как инфраструктурный сервис — без него никуда. Он может не только преобразовать имя в IP, но и наоборот, такая запись называется PTR (в режиме кэширования).

Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

А ещё, многие компании типа Google предоставляют вам свои бесплатные DNS сервера (8.8.8.8 и 8.8.4.4) для публичного использования, взамен они собирают и продают статистику по запрашиваемым записям. С 1987 года прошло много вещей с DNS, к нему прикрутили DNSSEC – это когда ваш сервер хранит записи в зашифрованном виде у себя внутри, DoH – когда ваш запрос идёт не в открытом виде, а инкапсулируется в HTTPS, DoT – аналогично предыдущему, но только сразу в TLS, без HTTP и многое другое. Протокол работает по UDP/TCP порт 53. Сами запросы бегают по UDP, а TCP используется обычно для трансфера между основным и вторичным серверами или в терминологии Microsoft для репликации зон в Active Directory.

До версии 6.47 реализация от Mikrotik поддерживала только A статические записи. Теперь вы можете добавлять статикой следующие типы записей:

  • AAAA;
  • CNAME;
  • FWD;
  • MX;
  • NS;
  • NXDOMAIN;
  • SRV;
  • TXT.

Настройка DNS сервера

Сами глобальные настройки и живут в IP – DNS.

Глобальные настройки DNS

Начнём сверху вниз. Servers – это серверы имён для Mikrotik. Ему же надо имена разрешать, вот здесь мы и указываем адреса серверов. Давайте позволим Google и Cloudflare собирать наши данные.

Указываем DNS для Mikrotik

Dynamic Server – это адреса серверов которые мы получили по DHCP. Если посмотреть на интерфейс клиента DHCP, то увидим ту самую галочку, которая за это и отвечает.

Если ее снять, то IP сервера удалится из Dynamic, так и сделаем.

Выключаем DNS в DHCP клиенте

А что будет, если у нас указаны статические и динамические адреса имён?

Если указана статика, то она будет более предпочтительна, однако, это не означает что они будут использоваться всегда (ранее запрос был получен от динамики). Чтобы у вас была контролируемая ситуация, оставляйте одно из двух.

Делаем DNS Mikrotik общедоступным

Чтобы наш девайс мог отвечать на запросы, а не только их запрашивать у вышестоящих, нам нужно активировать галочку – Allow Remote Requests.

Allow Remote Requests

Однако, нужно понимать, что в глобальных настройках вы не можете указать, с каких адресов или сетей сервер будет принимать запросы. После ее активации, на всех адресах, что заданы в девайсе, включается листнинг DNS запросов по TCP/UDP. Т.е. если вы имеете публичный IP, то недоброжелатели буду использовать вас для своих целей. Чтобы этого не было, вам нужно настроить фаервол, и желательно с использованием Address List, в которые вы и укажете адреса/подсети, откуда разрешаете TCP/UDP по 53 порту.

Очень частая загрузка CPU на 100% у хозяев, кто не закрыл снаружи резолв имён. Хорошо видно в Tools – Profile.

Кэш DNS сервера

Нажав на кнопку Cache, мы увидим все за кэшированные записи, что резолвил девайс.

DNS Cashe

Если хотим его очистить, то жмём Flush Cache.

По умолчанию кэшированные записи будут иметь TTL (время жизни) в зависимости от значения в зоне прямого просмотра. Я обычно искусственно сокращаю максимальное время жизни с 7 дней на 2 часа.

Правим время жизни в кэше

Отрегулировать размер кэша можно в Cache Size. Но зачастую его вполне хватает.

Создание статических записей

Как я говорил ранее, с версии 6.47 появилась поддержка дополнительных типов записей. У меня тут рядом завалялась виртуальная машина с домен контроллером на Windows Server, на ней есть зона contoso11.local. Предлагаю сделать перенаправление всех запросов зоны contoso11.local на адрес 192.168.10.200.

Статические записи ресурсов

Далее делаем nslookup любой записи из зоны и смотрим на ответ

nslookup для fwd записи

Взглянем на кэш

FWD в кэше

Аналогично во вкладке Static, вы можете создать другие типы записей, но, к сожалению, PTR пока не доступна.

На этом все, надеюсь информация по настройке DNS на Микротике была полезна, а общем то ничего сложного. Спасибо за внимание!

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Оцените статью
MikroTikLab
Добавить комментарий