TriKS Опубликовано 15 июня, 2017 (изменено) Добрый день. Имеем сеть(клиенты через хостпот на микротике выходят в инет), Клиентам выдается ип+днс(днс=гетвей=микротик). Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать. Также начинает работать, если прописать ручками ДНС гугла на клиентсокй машине. По настройкам микротика: servers: 8.8.8.8,4.2.2.2 dynamic-servers: allow-remote-requests: yes max-udp-packet-size: 4096 query-server-timeout: 2s query-total-timeout: 10s max-concurrent-queries: 100 max-concurrent-tcp-sessions: 20 cache-size: 2048KiB cache-max-ttl: 1h cache-used: 2022KiB Также правила от флуда: ;;; Allow DNS request chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 ;;; Allow DNS request chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 ;;; DNS flood drop chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" Мучаю 2-й день. Направьте на путь истинный Изменено 15 июня, 2017 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 15 июня, 2017 Что выдает днс микротика, а что - 8.8.8.8. Далее плясать от этого Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 15 июня, 2017 То, что прислал клиент, сидящий через домашний роутер асус. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 15 июня, 2017 Ну, ответы идентичны. Причем тут DNS? Правило для DNS нужно всего одно - закрыть dport 53 в цепочке input и forward в мир Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 15 июня, 2017 При том, что после /ip dns cache flush все работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 15 июня, 2017 А не может жить у клиента хитрая Адварь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 16 июня, 2017 (изменено) Нет, не может. http://youtu.be/GTbvRpmYMHw Проверил на нескольких машинах. 10, хр, 7. Результат один и тот же. Изменено 16 июня, 2017 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 16 июня, 2017 TriKS, почему не закрыли запросы dns по tcp извне? У вас практически весь кэш забит пустыми ptr-запросами, если вы уверены, что это не изнутри - для начала закройте и tcp/53. А вообще, имхо, проблема достойна багрепорта в mikrotik. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 17 июня, 2017 Спасибо, прикрыл tcp. Понаблюдаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 19 июня, 2017 Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту. Микротик продолжает радовать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 19 июня, 2017 Просто dns - устаревшая технология)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korsakik Опубликовано 20 июня, 2017 Нужен второй микротык для ДНС сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 июня, 2017 Также правила от флуда: ;;; Allow DNS request chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 ;;; Allow DNS request chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 ;;; DNS flood drop chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" Мучаю 2-й день. Направьте на путь истинный Нужен второй микротык для ДНС сервера Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixtery Опубликовано 20 июня, 2017 Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту. Микротик продолжает радовать :) twitch.tv на пинг и не ответит, www.twitch.tv ответит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 20 июня, 2017 (изменено) Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки. Да ***та(прошу прощения, терпения нет), ну чес слово. Это что? нормальная работа?? Да если я блокировки сниму - да ДНС флудильня начинается, но каналу покую(он большой, прыгает на 100-150Мб), а ДНС один куй не работает(точнее работает, но чехлит как я описал). С какого хера эта поделка раньше(на старой РотуерОС) работала, на новой версии понадобился резолв доменных имен для организации блоклиста(Украина+Парашенка=наше фсё). Да, резолв в адреслист работает. А, ***, ДНС кэш - отпал. Поделка, а не роутерос. ***та с БГП. 1 ядров полке. Ну ***та. И как бы вы, уважаемый сааб не рассказывали - покую. Одно чинят, другое ломается. В который раз убеждаюсь, что это для дома поделка. Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота нах. И раздавать пользователям публичные гугловые и др. ДНС... twitch.tv на пинг и не ответит, www.twitch.tv ответит Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую. Изменено 20 июня, 2017 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 июня, 2017 Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота. И раздавать пользователям публичные гугловые и др. ДНС... Конечно. Вы разве не видели схемки узла корпоративной сети или провайдера - там всегда 2 штуки днс сервера отдельными железками нарисованы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 20 июня, 2017 Давайте ссылку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 июня, 2017 Это касается тех случаев, когда нужно свой домен анонсировать наружу. В данном случае это избыточно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 21 июня, 2017 В данном случае это избыточно Совершенно в дырочку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 21 июня, 2017 Можно, в качестве промежуточного решения, заблокировать PTR: /ip firewall layer7-protocol add name="DNS(PTR)" regexp="[\\x0\\x0c\\x0\\x01]\$" /ip firewall filter add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=udp add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=tcp Не думаю, что это очень обеременит CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 11 января, 2019 ТС скорей всего не актуально, возможно кому то в дальнейшем будет полезно. В 15.06.2017 в 14:55, TriKS сказал: Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать. Никто не обратил внимание ? Saab95 как же так ? :) В 15.06.2017 в 14:55, TriKS сказал: cache-size: 2048KiB cache-max-ttl: 1h cache-used: 2022KiB Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения". В 20.06.2017 в 14:21, TriKS сказал: Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую. Это подтверждает мое предположение. Проверить можно, используя на устройстве клиента, какую то запись которая есть в кеше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 12 января, 2019 11 hours ago, kosmich7 said: Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения". Отсутствие места в кэше никак не мешает отдавать клиенту результат запроса к серверу, указанному в настройках IP/DNS. Посмотрите на выдачу nslookup на скриншоте выше, там все нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 января, 2019 Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них. Как вариант проблема может быть в хотспоте, который создает свои тысячи правил для работы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 12 января, 2019 17 часов назад, McSea сказал: Посмотрите на выдачу nslookup на скриншоте выше, там все нормально. Этот скрин ? Если Вы посмотрите внимательней, на скрине видно, что пинг и трасса не получаются, из за того что не может узнать имя узла. На этом же скрине видно, через некоторое время днс заработал. Возможно очистились несколько записей или тупить микротик перестал. С кэшем можно самому проверить, создать маленький кэш, установить cache-max-ttl: 1 неделю или месяц. Если запросов будет много и кэш заполнен, будет ситуация описанная в теме. Не проверял на последних версия ROS но на старых примерно так и было. 11 часов назад, Saab95 сказал: Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них. Вам же не сложно проверить ? :) Легко увеличить ? Каким образом ? размер флешки микротика ограничен. Сделать маленький размер кэша, cache-max-ttl: 1 месяц, и посмотреть как будет и будет ли отвечать ДНС миротика, когда кэш будет заполнен до предела. При этом выдать только один ДНС адрес клиенту, айпи миротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 13 января, 2019 (изменено) @kosmich7 Зачем ставить cache-max-ttl: 1 месяц ? Вы много видели записей с TTL больше суток ? Почему вы решили, что DNS кэш РоутерОс на флеше держит, а не в ОЗУ ? Проверил: поставил размер кэша 64K (через терминал, винбокс менее 512К не дает), сбросил DNS кэш виндовс, DNS сервер один - микротик. Запустил DNSBench (он быстро занял весь кэш), параллельно пробовал пинг случайных сайтов. Проблем не было, скриншот ниже. RB3011, 6.43.8. Изменено 13 января, 2019 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...