В этой статье мы рассмотрим настройку базовой сетевой службы DNS на маршрутизаторе Mikrotik. Узнаем, как настроить локальный DNS Server, создать статические записи ДНС и для чего это нужно. Изучим новый функционал, который появился в RouterOS версии 6.47.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Mikrotik DNS. Общая информация
DNS (Система доменных имен) — если говорить простыми словами, то это служба, которая преобразует доменное имя (например, ya.ru) в ip адрес (87.250.250.242), тем самым упрощая поиск нужного ресурса. Схематично это выглядит следующим образом:
База данных ДНС представляет из себя иерархическую структуру серверов, взаимодействующих по специальному протоколу.
Mikrotik. Настройка DNS сервера
Когда подключение к провайдеру происходит при помощи технологии Dynamic IP или PPPoE, то ИП-адрес DNS назначается автоматически, если установлена “галочка” в соответствующем клиенте:
Рассмотрим ситуацию, когда ДНС задается вручную (подключение к провайдеру осуществляется статическим способом или значение Use Peer DNS неактивно). Выполним настройку DNS сервера для Mikrotik с помощью графической утилиты Winbox. Для этого перейдем:
- IP => DNS.
- Настроим адреса вышестоящих DNS-серверов, к которым мы будем отправлять запросы. Это могут быть значения, полученные от провайдера или публичных DNS серверов;
- Разрешим примем удаленных запросов.
А также можем задать настройки для кэша:
- Cache Size – определяет размер кэша ДНС. Указывается в килобайтах;
- Cache Max TTL — Максимальное время хранения записей для кэша. При этом учитываются меньшие значение TTL полученные от вышестоящих ДНС-серверов;
Чтобы посмотреть содержимое кэша на устройстве Mikrotik:
- нажмем кнопку Cache:
Если нужно удалить кэшированные страницы, то:
- нажимаем Flush Cache:
Важно! Параметр Allow Remote Requests разрешает роутеру Mikrotik работать DNS-сервером для сторонних клиентов (будь то локальные или из интернета).
Поэтому необходимо создать правило в firewall:
- IP => Firewall => «+»:
Разрешим принимать ДНС запросы от всех, кроме WAN интерфейса:
- Chain: input;
- Protocol: 17 (udp);
- Dst. Port: 53;
- In. interface: ! ether1 – Выбрать интерфейс с настроенным интернетом от провайдера. Обратите внимание на восклицательный знак перед интерфейсом (“!”), он означает выражение “НЕ”.
- Откроем вкладку Action:
Для примера приведу рабочую конфигурацию firewall, где выполнена данная настройка:
Для более глубокого понимания работы брандмаура советуем изучить статью MikroTik настройка firewall.
Mikrotik DNS. Статические записи
Если мы сами служим DNS-сервером, то можем создавать статические записи. До версии 6.47 RouterOS, служба доменных имен в Mikrotik могла создавать записи только типа A (соответствие между именем узла и ИП-адресом). Но начиная с версии 6.47 появилась возможность создавать и другие типы основных ресурсных записей:
DNS static. Настройка
Используя статические записи, можно блокировать сайты. Рассмотрим это на примере mail.ru. Запретим пользователям доступ к этому ресурсу, перенаправив ДНС-запросы на localhost.
Создадим статическую запись для сайта mail.ru:
- IP => DNS => Static;
Нажимаем «+». В открывшимся окне:
- Name – указываем имя хоста;
- Type – A;
- Address – указываем IP-адрес;
- OK.
Однако, при этом поддомены сайта будут доступны. Чтобы запретить сайт со всеми поддоменами, создадим статическую запись для доменного имени:
- Regexp: .*\.mail\.ru
- Type: A
- Address: 127.0.0.1
Чтобы заблокировать все сайты, в строке которых содержится слово «mail», создадим запись:
- Regexp: .*mail.*
- Type: A
- Address: 127.0.0.1
- OK.
DNS Static. Настройка из консоли
Настройки, описанные выше, только из командной строки:
Настройка DNS Forward
Также возможно пересылать определенные запросы DNS на другой сервер. Предположим, что у нас есть небольшой филиал и нам нужно настроить forward запросов для имени внутреннего домена на ДНС сервера Active Directory. Для этого Mikrotik использует тип записи FWD. Данная функция появилась, начиная с RouterOS v6.47.
- Откроем:
Все запросы, которые пришли на «ad.local» Mikrotik разрешит через 192.168.10.100.
Из консоли:
> ip dns static add regexp= «.*\\.ad\\.local» forward-to=192.168.10.100
А также рекомендуем изучить статьи:
- MikroTik backup;
- MikroTik сброс на заводские настройки;
- Настройка DHCP MikroTik;
- L2TP настройка MikroTik.
Заключение
Надеемся данная статья была полезной и поможет разобраться в настройках DNS маршрутизатора Mikrotik.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Подскажите, пожалуйста, как добавить CAA-запись?
пока никак, возможно в следующих версиях прошивки появится такая возможность
Да ладно! И чо, вот с такими настройками всё работает? Судя по тому, что под кнопочкой КЭШ полным-полна коробочка, Вы забыли рассказать про правило в FW, которое разрешило бы вашему шлюзу принимать ответы по 53 порту.
Здравствуйте. Ну конечно будет работать. О каком правиле вы говорите?