[TriKS]

Добрый день. Имеем сеть(клиенты через хостпот на микротике выходят в инет), Клиентам выдается ип+днс(днс=гетвей=микротик). Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать. Также начинает работать, если прописать ручками ДНС гугла на клиентсокй машине.

По настройкам микротика:

 servers: 8.8.8.8,4.2.2.2
             dynamic-servers: 
       allow-remote-requests: yes
         max-udp-packet-size: 4096
        query-server-timeout: 2s
         query-total-timeout: 10s
      max-concurrent-queries: 100
 max-concurrent-tcp-sessions: 20
                  cache-size: 2048KiB
               cache-max-ttl: 1h
                  cache-used: 2022KiB

 

Также правила от флуда:

;;; Allow DNS request
     chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 
;;; Allow DNS request
     chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 

   ;;; DNS flood drop
     chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" 

Мучаю 2-й день. Направьте на путь истинный

Изменено 15 июня, 2017 пользователем TriKS

[myth]

Что выдает днс микротика, а что - 8.8.8.8. Далее плясать от этого

[TriKS]

То, что прислал клиент, сидящий через домашний роутер асус.

[myth]

Ну, ответы идентичны. Причем тут DNS?

 

Правило для DNS нужно всего одно - закрыть dport 53 в цепочке input и forward в мир

[TriKS]

При том, что после

/ip dns cache flush

все работает

[saaremaa]

А не может жить у клиента хитрая Адварь?

[TriKS]

Нет, не может.

http://youtu.be/GTbvRpmYMHw

 

Проверил на нескольких машинах. 10, хр, 7. Результат один и тот же.

Изменено 16 июня, 2017 пользователем TriKS

[DRiVen]

TriKS, почему не закрыли запросы dns по tcp извне? У вас практически весь кэш забит пустыми ptr-запросами, если вы уверены, что это не изнутри - для начала закройте и tcp/53. А вообще, имхо, проблема достойна багрепорта в mikrotik.

[TriKS]

Спасибо, прикрыл tcp. Понаблюдаю.

[TriKS]

Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту.

Микротик продолжает радовать :)

[myth]

Просто dns - устаревшая технология))

[korsakik]

Нужен второй микротык для ДНС сервера

[Saab95]

Также правила от флуда:

;;; Allow DNS request
     chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 
;;; Allow DNS request
     chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 

   ;;; DNS flood drop
     chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" 

Мучаю 2-й день. Направьте на путь истинный

 

Нужен второй микротык для ДНС сервера

 

Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки.

[mixtery]

Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту.

Микротик продолжает радовать :)

 

twitch.tv на пинг и не ответит, www.twitch.tv ответит

[TriKS]

Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки.

Да ***та(прошу прощения, терпения нет), ну чес слово. Это что? нормальная работа?? Да если я блокировки сниму - да ДНС флудильня начинается, но каналу покую(он большой, прыгает на 100-150Мб), а ДНС один куй не работает(точнее работает, но чехлит как я описал). С какого хера эта поделка раньше(на старой РотуерОС) работала, на новой версии понадобился резолв доменных имен для организации блоклиста(Украина+Парашенка=наше фсё). Да, резолв в адреслист работает. А, ***, ДНС кэш - отпал. Поделка, а не роутерос. ***та с БГП. 1 ядров полке. Ну ***та. И как бы вы, уважаемый сааб не рассказывали - покую. Одно чинят, другое ломается. В который раз убеждаюсь, что это для дома поделка.

 

Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота нах. И раздавать пользователям публичные гугловые и др. ДНС...

twitch.tv на пинг и не ответит, www.twitch.tv ответит

Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую.

Изменено 20 июня, 2017 пользователем TriKS

[Saab95]

Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота. И раздавать пользователям публичные гугловые и др. ДНС...

 

Конечно. Вы разве не видели схемки узла корпоративной сети или провайдера - там всегда 2 штуки днс сервера отдельными железками нарисованы.

[TriKS]

Давайте ссылку.

[myth]

Это касается тех случаев, когда нужно свой домен анонсировать наружу. В данном случае это избыточно

[TriKS]

В данном случае это избыточно

Совершенно в дырочку!

[DRiVen]

Можно, в качестве промежуточного решения, заблокировать PTR:

/ip firewall layer7-protocol
add name="DNS(PTR)" regexp="[\\x0\\x0c\\x0\\x01]\$"
/ip firewall filter
add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=udp
add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=tcp

Не думаю, что это очень обеременит CPU.

[kosmich7]

ТС скорей всего не актуально, возможно кому то в дальнейшем будет полезно.

 

 

В 15.06.2017 в 14:55, TriKS сказал:

Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать.

Никто не обратил внимание ?

 Saab95 как же так ? :)

 

В 15.06.2017 в 14:55, TriKS сказал:

cache-size: 2048KiB

cache-max-ttl: 1h

cache-used: 2022KiB

Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения".

 

 

В 20.06.2017 в 14:21, TriKS сказал:

Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую.

Это подтверждает мое предположение.

 

Проверить можно, используя на устройстве клиента, какую то запись которая есть в кеше.

[McSea]

11 hours ago, kosmich7 said:

Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения".

Отсутствие места в кэше никак не мешает отдавать клиенту результат запроса к серверу, указанному в настройках IP/DNS.

Посмотрите на выдачу nslookup на скриншоте выше, там все нормально.

 

[Saab95]

Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них.

Как вариант проблема может быть в хотспоте, который создает свои тысячи правил для работы.

[kosmich7]

17 часов назад, McSea сказал:

Посмотрите на выдачу nslookup на скриншоте выше, там все нормально.

Этот скрин ?

Если Вы посмотрите внимательней, на скрине видно, что пинг и трасса не получаются, из за того что не может узнать имя узла.

На этом же скрине видно, через некоторое время днс заработал. Возможно очистились несколько записей или тупить микротик перестал.

С кэшем можно самому проверить, создать маленький кэш, установить cache-max-ttl: 1 неделю или месяц. Если запросов будет много и кэш заполнен, будет ситуация описанная в теме.

Не проверял на последних версия ROS но на старых примерно так и было. 

 

 

 

11 часов назад, Saab95 сказал:

Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них.

Вам же не сложно проверить ?  :)  Легко увеличить ? Каким образом ? размер флешки микротика ограничен.

Сделать маленький  размер кэша, cache-max-ttl: 1 месяц, и посмотреть как будет и будет ли отвечать ДНС миротика, когда кэш будет заполнен до предела.

При этом выдать только один ДНС адрес клиенту, айпи миротика.

[McSea]

@kosmich7 

Зачем ставить cache-max-ttl: 1 месяц ? Вы много видели записей с TTL больше суток ?

Почему вы решили, что DNS кэш РоутерОс на флеше держит, а не в ОЗУ ? 

 

 

Проверил: поставил размер кэша 64K (через терминал, винбокс менее 512К не дает), сбросил DNS кэш виндовс, DNS сервер один - микротик.

Запустил DNSBench (он быстро занял весь кэш), параллельно пробовал пинг случайных сайтов. Проблем не было, скриншот ниже.

RB3011, 6.43.8.

 

 

 

 

Изменено 13 января, 2019 пользователем McSea