Сегодня поговорим о DNS в рамках использования на MikroTik, настроим Server да и в общем затронем немного истории этой технологии. И так начнём.
DNS – как много в этом слове. Domain Name System – система доменных имён или та штука, которая преобразует имя в IP. Представитель мамонтов в нашем мире. RFC 1034/1035 были выпущены в ноябре 1987 года. На сегодняшний день сервисов, его не использующих практически нет или что-то совсем специфическое. Он как инфраструктурный сервис — без него никуда. Он может не только преобразовать имя в IP, но и наоборот, такая запись называется PTR (в режиме кэширования).
А ещё, многие компании типа Google предоставляют вам свои бесплатные DNS сервера (8.8.8.8 и 8.8.4.4) для публичного использования, взамен они собирают и продают статистику по запрашиваемым записям. С 1987 года прошло много вещей с DNS, к нему прикрутили DNSSEC – это когда ваш сервер хранит записи в зашифрованном виде у себя внутри, DoH – когда ваш запрос идёт не в открытом виде, а инкапсулируется в HTTPS, DoT – аналогично предыдущему, но только сразу в TLS, без HTTP и многое другое. Протокол работает по UDP/TCP порт 53. Сами запросы бегают по UDP, а TCP используется обычно для трансфера между основным и вторичным серверами или в терминологии Microsoft для репликации зон в Active Directory.
До версии 6.47 реализация от Mikrotik поддерживала только A статические записи. Теперь вы можете добавлять статикой следующие типы записей:
- AAAA;
- CNAME;
- FWD;
- MX;
- NS;
- NXDOMAIN;
- SRV;
- TXT.
Настройка DNS сервера
Сами глобальные настройки и живут в IP – DNS.
Начнём сверху вниз. Servers – это серверы имён для Mikrotik. Ему же надо имена разрешать, вот здесь мы и указываем адреса серверов. Давайте позволим Google и Cloudflare собирать наши данные.
Dynamic Server – это адреса серверов которые мы получили по DHCP. Если посмотреть на интерфейс клиента DHCP, то увидим ту самую галочку, которая за это и отвечает.
Если ее снять, то IP сервера удалится из Dynamic, так и сделаем.
А что будет, если у нас указаны статические и динамические адреса имён?
Если указана статика, то она будет более предпочтительна, однако, это не означает что они будут использоваться всегда (ранее запрос был получен от динамики). Чтобы у вас была контролируемая ситуация, оставляйте одно из двух.
Делаем DNS Mikrotik общедоступным
Чтобы наш девайс мог отвечать на запросы, а не только их запрашивать у вышестоящих, нам нужно активировать галочку – Allow Remote Requests.
Однако, нужно понимать, что в глобальных настройках вы не можете указать, с каких адресов или сетей сервер будет принимать запросы. После ее активации, на всех адресах, что заданы в девайсе, включается листнинг DNS запросов по TCP/UDP. Т.е. если вы имеете публичный IP, то недоброжелатели буду использовать вас для своих целей. Чтобы этого не было, вам нужно настроить фаервол, и желательно с использованием Address List, в которые вы и укажете адреса/подсети, откуда разрешаете TCP/UDP по 53 порту.
Очень частая загрузка CPU на 100% у хозяев, кто не закрыл снаружи резолв имён. Хорошо видно в Tools – Profile.
Кэш DNS сервера
Нажав на кнопку Cache, мы увидим все за кэшированные записи, что резолвил девайс.
Если хотим его очистить, то жмём Flush Cache.
По умолчанию кэшированные записи будут иметь TTL (время жизни) в зависимости от значения в зоне прямого просмотра. Я обычно искусственно сокращаю максимальное время жизни с 7 дней на 2 часа.
Отрегулировать размер кэша можно в Cache Size. Но зачастую его вполне хватает.
Создание статических записей
Как я говорил ранее, с версии 6.47 появилась поддержка дополнительных типов записей. У меня тут рядом завалялась виртуальная машина с домен контроллером на Windows Server, на ней есть зона contoso11.local. Предлагаю сделать перенаправление всех запросов зоны contoso11.local на адрес 192.168.10.200.
Далее делаем nslookup любой записи из зоны и смотрим на ответ
Взглянем на кэш
Аналогично во вкладке Static, вы можете создать другие типы записей, но, к сожалению, PTR пока не доступна.
На этом все, надеюсь информация по настройке DNS на Микротике была полезна, а общем то ничего сложного. Спасибо за внимание!