TriKS Опубликовано 15 июня, 2017 (изменено) · Жалоба Добрый день. Имеем сеть(клиенты через хостпот на микротике выходят в инет), Клиентам выдается ип+днс(днс=гетвей=микротик). Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать. Также начинает работать, если прописать ручками ДНС гугла на клиентсокй машине. По настройкам микротика: servers: 8.8.8.8,4.2.2.2 dynamic-servers: allow-remote-requests: yes max-udp-packet-size: 4096 query-server-timeout: 2s query-total-timeout: 10s max-concurrent-queries: 100 max-concurrent-tcp-sessions: 20 cache-size: 2048KiB cache-max-ttl: 1h cache-used: 2022KiB Также правила от флуда: ;;; Allow DNS request chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 ;;; Allow DNS request chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 ;;; DNS flood drop chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" Мучаю 2-й день. Направьте на путь истинный Изменено 15 июня, 2017 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 15 июня, 2017 · Жалоба Что выдает днс микротика, а что - 8.8.8.8. Далее плясать от этого Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 15 июня, 2017 · Жалоба То, что прислал клиент, сидящий через домашний роутер асус. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 15 июня, 2017 · Жалоба Ну, ответы идентичны. Причем тут DNS? Правило для DNS нужно всего одно - закрыть dport 53 в цепочке input и forward в мир Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 15 июня, 2017 · Жалоба При том, что после /ip dns cache flush все работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 15 июня, 2017 · Жалоба А не может жить у клиента хитрая Адварь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 16 июня, 2017 (изменено) · Жалоба Нет, не может. http://youtu.be/GTbvRpmYMHw Проверил на нескольких машинах. 10, хр, 7. Результат один и тот же. Изменено 16 июня, 2017 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 16 июня, 2017 · Жалоба TriKS, почему не закрыли запросы dns по tcp извне? У вас практически весь кэш забит пустыми ptr-запросами, если вы уверены, что это не изнутри - для начала закройте и tcp/53. А вообще, имхо, проблема достойна багрепорта в mikrotik. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 17 июня, 2017 · Жалоба Спасибо, прикрыл tcp. Понаблюдаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 19 июня, 2017 · Жалоба Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту. Микротик продолжает радовать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 19 июня, 2017 · Жалоба Просто dns - устаревшая технология)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korsakik Опубликовано 20 июня, 2017 · Жалоба Нужен второй микротык для ДНС сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 июня, 2017 · Жалоба Также правила от флуда: ;;; Allow DNS request chain=input protocol=udp src-address=8.8.8.8 in-interface=ether1 src-port=53 ;;; Allow DNS request chain=input protocol=udp src-address=4.2.2.2 in-interface=ether1 src-port=53 ;;; DNS flood drop chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" Мучаю 2-й день. Направьте на путь истинный Нужен второй микротык для ДНС сервера Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixtery Опубликовано 20 июня, 2017 · Жалоба Не спасло. Пока вышел из трабла - добавил в крон флэшднс раз в минуту. Микротик продолжает радовать :) twitch.tv на пинг и не ответит, www.twitch.tv ответит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 20 июня, 2017 (изменено) · Жалоба Да, нужно поставить его внутри локальной сети, что бы он запросы в интернет отправлял через NAT, тогда на него и доступа извне не будет - не нужны лишние блокировки. Да ***та(прошу прощения, терпения нет), ну чес слово. Это что? нормальная работа?? Да если я блокировки сниму - да ДНС флудильня начинается, но каналу покую(он большой, прыгает на 100-150Мб), а ДНС один куй не работает(точнее работает, но чехлит как я описал). С какого хера эта поделка раньше(на старой РотуерОС) работала, на новой версии понадобился резолв доменных имен для организации блоклиста(Украина+Парашенка=наше фсё). Да, резолв в адреслист работает. А, ***, ДНС кэш - отпал. Поделка, а не роутерос. ***та с БГП. 1 ядров полке. Ну ***та. И как бы вы, уважаемый сааб не рассказывали - покую. Одно чинят, другое ломается. В который раз убеждаюсь, что это для дома поделка. Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота нах. И раздавать пользователям публичные гугловые и др. ДНС... twitch.tv на пинг и не ответит, www.twitch.tv ответит Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую. Изменено 20 июня, 2017 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 июня, 2017 · Жалоба Вы еще скажите, что нужно выпилять эту функцию с кэшДНС с микрота. И раздавать пользователям публичные гугловые и др. ДНС... Конечно. Вы разве не видели схемки узла корпоративной сети или провайдера - там всегда 2 штуки днс сервера отдельными железками нарисованы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 20 июня, 2017 · Жалоба Давайте ссылку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 июня, 2017 · Жалоба Это касается тех случаев, когда нужно свой домен анонсировать наружу. В данном случае это избыточно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 21 июня, 2017 · Жалоба В данном случае это избыточно Совершенно в дырочку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 21 июня, 2017 · Жалоба Можно, в качестве промежуточного решения, заблокировать PTR: /ip firewall layer7-protocol add name="DNS(PTR)" regexp="[\\x0\\x0c\\x0\\x01]\$" /ip firewall filter add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=udp add action=drop chain=input comment="DNS(PTR)" dst-port=53 layer7-protocol="DNS(PTR)" protocol=tcp Не думаю, что это очень обеременит CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 11 января, 2019 · Жалоба ТС скорей всего не актуально, возможно кому то в дальнейшем будет полезно. В 15.06.2017 в 14:55, TriKS сказал: Некоторые сайты просто перестают открываться(твич, фэйсбук). Делаем флэшднс на микроте - начинает работать. Никто не обратил внимание ? Saab95 как же так ? :) В 15.06.2017 в 14:55, TriKS сказал: cache-size: 2048KiB cache-max-ttl: 1h cache-used: 2022KiB Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения". В 20.06.2017 в 14:21, TriKS сказал: Да фиальетово. privat24.ua, olx.ua, еще много сайтов ВЫБОРОЧНО отваливаются. Тут что с ввв, что без ввв - покую. Это подтверждает мое предположение. Проверить можно, используя на устройстве клиента, какую то запись которая есть в кеше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 12 января, 2019 · Жалоба 11 hours ago, kosmich7 said: Мало места для кеша, кеш заканчивается и микротику некуда дальше кешировать запросы. Вероятней всего в этом причина такого "странного поведения". Отсутствие места в кэше никак не мешает отдавать клиенту результат запроса к серверу, указанному в настройках IP/DNS. Посмотрите на выдачу nslookup на скриншоте выше, там все нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 января, 2019 · Жалоба Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них. Как вариант проблема может быть в хотспоте, который создает свои тысячи правил для работы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 12 января, 2019 · Жалоба 17 часов назад, McSea сказал: Посмотрите на выдачу nslookup на скриншоте выше, там все нормально. Этот скрин ? Если Вы посмотрите внимательней, на скрине видно, что пинг и трасса не получаются, из за того что не может узнать имя узла. На этом же скрине видно, через некоторое время днс заработал. Возможно очистились несколько записей или тупить микротик перестал. С кэшем можно самому проверить, создать маленький кэш, установить cache-max-ttl: 1 неделю или месяц. Если запросов будет много и кэш заполнен, будет ситуация описанная в теме. Не проверял на последних версия ROS но на старых примерно так и было. 11 часов назад, Saab95 сказал: Размер днс кеша можно легко увеличить, более того, даже без него он все запросы передает дальше и отвечает на них. Вам же не сложно проверить ? :) Легко увеличить ? Каким образом ? размер флешки микротика ограничен. Сделать маленький размер кэша, cache-max-ttl: 1 месяц, и посмотреть как будет и будет ли отвечать ДНС миротика, когда кэш будет заполнен до предела. При этом выдать только один ДНС адрес клиенту, айпи миротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 13 января, 2019 (изменено) · Жалоба @kosmich7 Зачем ставить cache-max-ttl: 1 месяц ? Вы много видели записей с TTL больше суток ? Почему вы решили, что DNS кэш РоутерОс на флеше держит, а не в ОЗУ ? Проверил: поставил размер кэша 64K (через терминал, винбокс менее 512К не дает), сбросил DNS кэш виндовс, DNS сервер один - микротик. Запустил DNSBench (он быстро занял весь кэш), параллельно пробовал пинг случайных сайтов. Проблем не было, скриншот ниже. RB3011, 6.43.8. Изменено 13 января, 2019 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...