weedman Posted March 31, 2022 Posted March 31, 2022 Здравствуйте. В сети, в качестве DNS Используется 8.8.8.8, к которому пакеты в течение +\- 3 недель теряются, на некоторых клиентских устройствах (mikrotik) DNS сервер указан принудительно в самом устройстве. Как правильно поступить в этой ситуации? Попытка перенаправления запроса на другой сервер может вызвать проблемы с hsts в браузерах? Заходить настраивать на клиента достаточно геморно. Вставить ник Quote
alibek Posted March 31, 2022 Posted March 31, 2022 Правильно — поднять свой кеширующий DNS. Или хотя бы форвардить на НСДИ. Вставить ник Quote
weedman Posted March 31, 2022 Author Posted March 31, 2022 В 31.03.2022 в 19:39, alibek сказал: Правильно — поднять свой кеширующий DNS. Или хотя бы форвардить на НСДИ. Здравствуйте. Спасибо за ответ. Для своего dns нужно будет все равно в клиентах отключать 8.8.8.8 хотелось бы пусть не избежать этой работы, но хотя бы временно сделать что-то, чтобы запросы не сыпались Вставить ник Quote
alibek Posted March 31, 2022 Posted March 31, 2022 Если у клиентов все сетевые параметры прописаны статикой (а не назначаются, например, по DHCP), то просто разослать клиентам инструкцию, как настроить DNS. Ну либо перехватывать и перенаправлять DNS-запросы на свой сервер, но это костыли и риски, что костыли сломаются. В 31.03.2022 в 15:34, weedman сказал: Попытка перенаправления запроса на другой сервер может вызвать проблемы с hsts в браузерах? Какая связь? HSTS вообще о другом, он защищает от подмены веб-сервера за доменным именем, а не от подмены DNS. Вставить ник Quote
Saab95 Posted March 31, 2022 Posted March 31, 2022 Просто нужно на центральном микротике, который пускает всех в интернет, сделать правило редиректа при запросе на адрес 8.8.8.8 и порт ДНС. Что бы это правило перекинуло пакет на ДНС сервер этого микротика, вот и все дела. Вставить ник Quote
weedman Posted March 31, 2022 Author Posted March 31, 2022 (edited) В 31.03.2022 в 20:57, Saab95 сказал: Просто нужно на центральном микротике, который пускает всех в интернет, сделать правило редиректа при запросе на адрес 8.8.8.8 и порт ДНС. Что бы это правило перекинуло пакет на ДНС сервер этого микротика, вот и все дела. Да, я об этом и думал. Это dst-nat? Edited March 31, 2022 by weedman Вставить ник Quote
Saab95 Posted March 31, 2022 Posted March 31, 2022 В 31.03.2022 в 17:01, weedman сказал: Да, я об этом и думал. Это dst-nat? Можно через дст-нат, можно через редирект на порт, если ДНС сервер на этом же микротике будет работать. Вставить ник Quote
weedman Posted April 1, 2022 Author Posted April 1, 2022 В 01.04.2022 в 04:24, Saab95 сказал: Можно через дст-нат, можно через редирект на порт, если ДНС сервер на этом же микротике будет работать. Как по вашему лучше? Вставить ник Quote
Saab95 Posted April 1, 2022 Posted April 1, 2022 Лучше ДНС сервер делать на отдельном устройстве, подойдет даже старый RB750 или что-то подобное. Что бы можно было извне закрыть доступ на запросы (если адрес белый), а лучше выдать внутренний серый и не беспокоится. Только перекидывать надо не только по UDP, но и по TCP. Вставить ник Quote
Qlobus Posted May 17, 2022 Posted May 17, 2022 В 01.04.2022 в 12:08, Saab95 сказал: Лучше ДНС сервер делать на отдельном устройстве, подойдет даже старый RB750 или что-то подобное. На 750 dns сервер? Тоесть в замен железа сервера можно поставить 750? или Я не правильно понял? тогда как это делается? Вставить ник Quote
Saab95 Posted May 17, 2022 Posted May 17, 2022 Это ДНС сервер для пересылки запросов, кэширующий. То есть если есть 100 абонентов, им указывается адрес этого сервера, а он перенаправляет запросы в интернет. На сам этот ДНС сервер лучше не выделять белый IP - тогда никто его не будет ломать извне. Производительности RB750 хватает примерно на 2000 абонентов. Вставить ник Quote
jffulcrum Posted May 17, 2022 Posted May 17, 2022 В 17.05.2022 в 23:19, Saab95 сказал: Производительности RB750 хватает примерно на 2000 абонентов. Очень оптимистичная оценка. У него всего одно ядро и 32 Мб ОЗУ. Как DNS сервер такие помирали уже на паре десятков айфонов. Вставить ник Quote
Saab95 Posted May 18, 2022 Posted May 18, 2022 Может на айфонах и помирали, а на обычных абонентов, у которых установлен роутер, который запросы на этот ДНС и перекидывает, все работает нормально. В сети должно быть минимум 2 днс сервера, и вот у нас во многих местах до сих пор стоят слабенькие микротики в качестве ДНС кэширующих серверов, проблем нет, ну и пусть даже под сильной нагрузкой чуть позже отдаст ответ, это не особо критично. Вставить ник Quote
sol Posted May 21, 2022 Posted May 21, 2022 В 31.03.2022 в 16:57, Saab95 сказал: Просто нужно на центральном микротике, который пускает всех в интернет, сделать правило редиректа при запросе на адрес 8.8.8.8 и порт ДНС. Что бы это правило перекинуло пакет на ДНС сервер этого микротика, вот и все дела. А что мешает просто на лупбеке поднять 8.8.8.8/32 и не заморачиваться с трансляцией адресов? Вставить ник Quote
alibek Posted May 21, 2022 Posted May 21, 2022 Отличное решение, нужно будет запомнить. Вставить ник Quote
sol Posted May 21, 2022 Posted May 21, 2022 В 21.05.2022 в 18:33, alibek сказал: Отличное решение, нужно будет запомнить. Заодно и любителям пинговать "восьмёрки" можно будет лить в уши "Какой хороший пинг, какой короткий маршрут!" И при падении аплинков говорить что интернет у них таки есть т.к. оно пингуеццо )))) Более того, этот лупбек можно поднять и не в одной точке. Будет географически распределённая отказоустойчивость. Вставить ник Quote
Saab95 Posted May 23, 2022 Posted May 23, 2022 В 21.05.2022 в 18:09, sol сказал: А что мешает просто на лупбеке поднять 8.8.8.8/32 и не заморачиваться с трансляцией адресов? Многие пингуют подобные узлы для проверки доступности интернета. В 21.05.2022 в 21:08, sol сказал: Заодно и любителям пинговать "восьмёрки" можно будет лить в уши "Какой хороший пинг, какой короткий маршрут!" И при падении аплинков говорить что интернет у них таки есть т.к. оно пингуеццо )))) Достаточно запустить трейс что бы понять кто обманывает. Вставить ник Quote
sol Posted May 23, 2022 Posted May 23, 2022 В 23.05.2022 в 23:10, Saab95 сказал: Достаточно запустить трейс что бы понять кто обманывает. Трейс запустить не сложно. Сложно интерпретировать его результаты... Вставить ник Quote
VolanD666 Posted May 24, 2022 Posted May 24, 2022 А что РНК думает по поводу такой "обманки" ? Вставить ник Quote
sol Posted May 24, 2022 Posted May 24, 2022 В 24.05.2022 в 04:58, VolanD666 сказал: А что РНК думает по поводу такой "обманки" ? Если по РНК имеется в виду РКН то ему нет дела до такого финта ушами. Он посмотрит, пожмёт плечами и пойдёт дальше. Вставить ник Quote
pppoetest Posted May 24, 2022 Posted May 24, 2022 В 24.05.2022 в 02:10, Saab95 сказал: Достаточно запустить трейс что бы понять кто обманывает. Нарисовать можно любую трассу, либо с ттл побаловаться. Вставить ник Quote
sol Posted May 24, 2022 Posted May 24, 2022 В 24.05.2022 в 22:55, pppoetest сказал: Нарисовать можно любую трассу, либо с ттл побаловаться. Или с помощью PBR отправить именно трейс (ttl < примерно 20) к оригинальному получателю. Ну, чтобы ни у кого не было пидазрений. Вставить ник Quote
VolanD666 Posted May 25, 2022 Posted May 25, 2022 В 24.05.2022 в 22:51, sol сказал: Если по РНК имеется в виду РКН то ему нет дела до такого финта ушами. Он посмотрит, пожмёт плечами и пойдёт дальше. Ну хз, мне кажется если кто-нить напишет им нужную бумажку, они могут заинтересоваться. У нас в региона, несколько лет назад был случай, прова наказали за то что он в трафик лез. Вставить ник Quote
pppoetest Posted May 25, 2022 Posted May 25, 2022 В 25.05.2022 в 06:06, VolanD666 сказал: прова наказали за то что он в трафик лез. Сейчас все лезут. Это ж какое раздолье. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.