Mikrotik and local DNS

[jacobp]

Καλημέρα σε όλους τους φίλους...

Σε τοπικό δίκτυο mikrotik θέλω κάθε vlan να έχει δικό του domain-name και οι συσκευές να είναι accessible μέσω hostname.domain-name και όχι μόνο μέσω ip.

Πως στο καλό γίνεται αυτό?

[sdikr]

Δεν έχω δεί κάποιον τρόπο να κάνει αυτόματα την προσθήκη (και την διαγραφή) dns entry στον ενσωματωμένο του dns.
Οπότε βάζεις με το χέρι εσύ τις έγραφες στο static dns, θα πρέπει να ορίσεις και σταθερές ip στα μηχανήματα

[jacobp]

Δεν έχω δεί κάποιον τρόπο να κάνει αυτόματα την προσθήκη (και την διαγραφή) dns entry στον ενσωματωμένο του dns.
Οπότε βάζεις με το χέρι εσύ τις έγραφες στο static dns, θα πρέπει να ορίσεις και σταθερές ip στα μηχανήματα

Εντάξει έχασα 3 μέρες με τα vlans και τώρα άλλη μία να ψάχνω το αυτονόητο...
αλήθεια τώρα????
Καρφωτές ip και καρφωτά dns entries???????
Έχουν υλοποιήσει παπάδες στο RouterOS και 5 απλά πράγματα δεν μπορουν να γίνουν εύκολα...

[sdikr]

Εντάξει έχασα 3 μέρες με τα vlans και τώρα άλλη μία να ψάχνω το αυτονόητο...
αλήθεια τώρα????
Καρφωτές ip και καρφωτά dns entries???????
Έχουν υλοποιήσει παπάδες στο RouterOS και 5 απλά πράγματα δεν μπορουν να γίνουν εύκολα...

Απο που και ως που αυτονόητο;

Μιλάς για dns, όχι για netbios name resolution, που αλλού το έχεις δει αυτό να γίνεται σε άλλο router;

[jacobp]

Απο που και ως που αυτονόητο;

Μιλάς για dns, όχι για netbios name resolution, που αλλού το έχεις δει αυτό να γίνεται σε άλλο router;

ubiquiti

[sdikr]

ubiquiti

είσαι σίγουρος οτι αυτό που θέλεις είναι το dns;
Γιατί απο όσο βλέπω ο κόσμος στο ubiquiti το κάνει με το χέρι, δεν γίνεται δηλαδή αυτόματα μέσω του dhcp που θα πάει να προσθέσει dns entry

https://medium.com/server-guides/cre...g-581e2687961d

Κώδικας:

{
"system": {
  "static-host-mapping": {
   "host-name": {
    "devicename.local": {
     "alias": [
      "devicename"
     ],
     "inet": [
      "192.168.x.x"
     ]
    },
    "devicename2.local": {
     "alias": [
      "devicename2"
     ],
     "inet": [
      "192.168.x.x"
     ]
    }
   }
  }
 }
}

[jacobp]

Στο ubiquiti όταν ορίζεις ένα vlan, ορίζεις τον dhcp που θα δώσει διευθύνσεις στο vlan, και μετά ορίζεις και το domain name του vlan.
Στη συνέχεια δεν χρειάζεται να κάνεις κάτι άλλο. Οι συσκευές στο vlan είναι διαθέσιμες με το host-name.domain-name στο δίκτυο.
Με ρωτάς αν θέλω dns.
Θέλω μια υπηρεσία που να ζητάω να μιλήσω με μία συσκευή με το host-name.domain-name και όχι με την ip της. DNS δεν λέγεται?
Και από ότι είδα και στο forum της mikrotik το πρόβλημα το λύνουν με custom script που παίρνει το host name από τον lease table του dhcp και το domain name από τον dhcp και φτιάχνουν καρφωτές static dns entries για κάθε ip.

[macro]

Για πιο λογο θες να το κανεις ετσι και οχι με ip?

Δε το εχω δοκιμασει αλλα αν βαλεις static entry dns δε μπορεις να φτιαξεις και αναλογο dhcp στο vlan στο ιδιο δικτυο?

[jacobp]

Βρήκα πως το mikrotik χειρίζεται τα dns queries.

1. Όλα παίζονται σε μία επιλογή που λέγεται allow remote requests στο ip/dns.
1α. Αν το allow remote requests είναι off τότε ο router αγνοεί όλα τα entries τόσο στο ip/dns όσο και στο ip/dhcp/networks και χρησιμοποιεί ΜΟΝΟ τους dynamic dns servers που αντλεί από τον peer dns που θα του πει ο dhcp client. Άρα δεν πρόκειται ποτέ να δουλέψουν τα local dns γιατί που να ξέρει ο εξωτερικός dns τι allocations έχει κάνει κάποιος στο εσωτερικό του δίκτυο.
1β. Αν το allow remote requests είναι on τότε η σειρά που κοιτάει τους dns servers αλλάζει. Κοιτάει πρώτα ότι έχει οριστεί στο ip/dhcp/networks, μετά στο ip/dns και μετά τους dynamic dns από τον isp. Τότε και μόνο τότε θα κοιτάξει τις στατικές εγγραφές στην επιλογή ip/dns/static και θα κάνει σωστό resolution από ότι έχει δηλωθεί εκεί με την αντίστοιχη ip. Προφανώς για να δουλέψει αυτό χρειάζεται όλο το δίκτυο να έχει static ips and static dns entries.

Εδώ όμως υπάρχει ένα άλλο πρόβλημα. Με το allow remote requests ο router δέχεται και dns requests από το WAN με ότι αυτό συνεπάγεται. Αυτό πρέπει να κοπει στον firewall.

εντάξει δεν λες και straightforward την υλοποίηση της mikrotik....

[macro]

Βρήκα πως το mikrotik χειρίζεται τα dns queries.

1. Όλα παίζονται σε μία επιλογή που λέγεται allow remote requests στο ip/dns.
1α. Αν το allow remote requests είναι off τότε ο router αγνοεί όλα τα entries τόσο στο ip/dns όσο και στο ip/dhcp/networks και χρησιμοποιεί ΜΟΝΟ τους dynamic dns servers που αντλεί από τον peer dns που θα του πει ο dhcp client. Άρα δεν πρόκειται ποτέ να δουλέψουν τα local dns γιατί που να ξέρει ο εξωτερικός dns τι allocations έχει κάνει κάποιος στο εσωτερικό του δίκτυο.
1β. Αν το allow remote requests είναι on τότε η σειρά που κοιτάει τους dns servers αλλάζει. Κοιτάει πρώτα ότι έχει οριστεί στο ip/dhcp/networks, μετά στο ip/dns και μετά τους dynamic dns από τον isp. Τότε και μόνο τότε θα κοιτάξει τις στατικές εγγραφές στην επιλογή ip/dns/static και θα κάνει σωστό resolution από ότι έχει δηλωθεί εκεί με την αντίστοιχη ip. Προφανώς για να δουλέψει αυτό χρειάζεται όλο το δίκτυο να έχει static ips and static dns entries.

Εδώ όμως υπάρχει ένα άλλο πρόβλημα. Με το allow remote requests ο router δέχεται και dns requests από το WAN με ότι αυτό συνεπάγεται. Αυτό πρέπει να κοπει στον firewall.

εντάξει δεν λες και straightforward την υλοποίηση της mikrotik....

Σωστα ολα αυτα που γραφεις και θεωρουσα δεδομενο οτι εχεις παντα τσεκαρισμενο το allow remote requests. Τουλαχιστον στις δικες μου υλοποιησεις δεν ειχα ποτε λογο να μη το τσεκαρω.

Το domain name καλο θα ηταν να το εβαζες στο regxp και οχι στο name και να κοψεις τους dynamic απο τη wan με firewall rule.

Δυστυχως ή ευτυχως ετσι ειναι οι υλοποιησεις της mikrotik. Εχω φαει και εγω απιστευτα κολληματα κατα καιρους και τα εχω λυσει μετα απο καιρο. Σε μερικα δεν εχω βρει ακομη λυση.

[sxbcl]

Εδώ όμως υπάρχει ένα άλλο πρόβλημα. Με το allow remote requests ο router δέχεται και dns requests από το WAN με ότι αυτό συνεπάγεται. Αυτό πρέπει να κοπει στον firewall.

εντάξει δεν λες και straightforward την υλοποίηση της mikrotik....

Αυτό γίνεται αρκετά απλά:

Κώδικας:

/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=WAN_interface protocol=udp
add action=drop chain=input dst-port=53 in-interface=WAN_interface protocol=tcp

[jacobp]

Σας ευχαριστώ πολύ και τους δυο σας!

- - - Updated - - -

Σωστα ολα αυτα που γραφεις και θεωρουσα δεδομενο οτι εχεις παντα τσεκαρισμενο το allow remote requests. Τουλαχιστον στις δικες μου υλοποιησεις δεν ειχα ποτε λογο να μη το τσεκαρω.

Το domain name καλο θα ηταν να το εβαζες στο regxp και οχι στο name και να κοψεις τους dynamic απο τη wan με firewall rule.

Δυστυχως ή ευτυχως ετσι ειναι οι υλοποιησεις της mikrotik. Εχω φαει και εγω απιστευτα κολληματα κατα καιρους και τα εχω λυσει μετα απο καιρο. Σε μερικα δεν εχω βρει ακομη λυση.

Το είχα disable ακολουθωντας τις συστάσεις της ίδιας της mikrotik στο section securing your router.
Δεν είχα καταλάβει ακριβώς τι κάνει, και θεώρησα ότι αφού βάζω static dns servers θα τους σέβεται... που να φανταστώ ότι για να τους κοιτάει θέλει σώνει και καλά το allow remote requests...

[sxbcl]

Σας ευχαριστώ πολύ και τους δυο σας!

- - - Updated - - -



Το είχα disable ακολουθωντας τις συστάσεις της ίδιας της mikrotik στο section securing your router.
Δεν είχα καταλάβει ακριβώς τι κάνει, και θεώρησα ότι αφού βάζω static dns servers θα τους σέβεται... που να φανταστώ ότι για να τους κοιτάει θέλει σώνει και καλά το allow remote requests...

Αν δεν κάνω λάθος, με disabled το allow remote requests, το mikrotik δε λειτουργεί ως dns server.
Remote θεωρεί οτιδήποτε εκτός του εαυτού του, είτε από το LAN, είτε από το WAN και επομένως πρέπει να μπλοκάρουμε οτιδήποτε ανεπιθύμητο.

[jacobp]

Αν δεν κάνω λάθος, με disabled το allow remote requests, το mikrotik δε λειτουργεί ως dns server.
Remote θεωρεί οτιδήποτε εκτός του εαυτού του, είτε από το LAN, είτε από το WAN και επομένως πρέπει να μπλοκάρουμε οτιδήποτε ανεπιθύμητο.

δυστυχώς remote θεωρεί και τον ευατό του!!! Αν για παράδειγμα απενεργοποιήσεις το allow remote requests και βάλεις στο ip/dns την ip του router (192.168.88.1) και κάνεις ένα nslookup θα σου πει δεν βρίσκω dns server... αν το ενεργοποιήσεις θα σου βρει τον 192.168.88.1
Κουλό αλλά το δοκίμασα και έτσι είναι.
Το allow remote requests ουσιαστικά διαχωρίζει αν θα σεβαστεί τους dynamic dns ή τους static όπου και αν αυτοί έχουν δηλωθεί.

[macro]

Επειδη χρησιμοποιω παντα το ΜΤ σα dns server η διαδικασια εχει ως εξης. Allow remote requests=check και στον dhcp δηλωνεις σα dns την ip του MT για να το κανεις dns server και στο ip>dns εχεις δηλωσει ηδη τους servers.

Ακομη και οταν τα στηνω σα repeaters κανω αυτη τη διαδικασια, δλδ dhcp authoritative και dns cache server, διοτι τα ΜΤ ειναι σαφως καλυτερα μηχανακια απο ολα των παροχων για να εχουν αυτες τις λειτουργιες πανω τους.