Nastaveni DNS

[jirk]

Zdravím
Prosím o radu. Nemám vlastní DNS server a využívám adresy googlu. Nastavení sítě mam nasledujici:
Klient ma v PC DNS s IP klientského mikrotiku. Klientské zařízení se dotazuje na DNS Access pointu. Acces point se dotazje na DNS hlavni brány a na hlavní bráně jsou nastaveny IP googlu. Není to zbytečně komplikované? Nemám dávat DNS googlu primo v DHCP serveru klientského zařízení tedy primo do PC?
Providerovi od kterého mám konektivitu DNS občas blbne, tak proto google.
Díky za odpověď.

[ludvik]

Je to samozřejmě jedno. Tohle se dělá v případech, kdy se chce využít cache i pro jiné klienty.

[zdenek.svarc]

Zbytečně komplikované to určitě není a naopak to má i jistou výhodu, že dotazy jdou veřejné DNS naředěné od více klientů. Dají se použít i veřejné servery OpenDNS (208.67.222.222, 208.67.220.220).

Jinak vlastní rekurzivní+kešující DNS není nic složitého, stačí jeden příkaz v dockeru (Dockerfile vychází z https://github.com/obi12341/docker-unbound):

Kód: Vybrat vše

docker run --restart=always -d --name unbound -d -p 53:53/udp -p 53:53 secns/unbound

[hapi]

tohle to řešení kdy si mezi sebou vyřizujou dns po cestě mikrotikci je jedno ze všech nejhorší. Sorry jako ale je to jedno z nejblbějších řešení co se týče zprávy a hledání problémů v DNS když náhodou nějaký je. Jednak mikrotikácký DNS neni zrovna dobrý a druhak neni důvod aby se klienti nedotazovaly přímo brány nebo dns serveru umístěnýho poblíž brány tedy centrální DNS server pro všechny.

Měl by sis vyhradit dvě IP adresy (primar, sekundar i když na stejnej stroj) pro DNS a nastavit je pro začátek na bránu a tam nastavit povolit DNS resolver a pokud je to mikrotik tak snížit TTL na 10 minut (mikrotik fail). Případně časem můžeš ty IPčka vzít a nasadit je na solo stroj s lepšim DNS resolverem jako je již zmíněný unbound.

Fakt bych se vyvaroval tomu předávání DNS po prvkách uvnitř sítě. Ještě si živě pamatuju floushování dns cache na zařízeních po cestě k bráně při nějakým dns problému.

[jirk]

Díky za odpovědi.

Zajímalo by mě ještě, jestli jde zjistit (pravidlem ve FW mikrotiku nebo nějak jinak) kolik dotazů nebylo zodpovězeno ze strany DNS.

Tedy Klient se zeptá a server odpoví. dotaz odpověd je 1:1

[zdenek.svarc]

Když už to Standa načal, tak nezbývá než souhlasit, že řetězit rekurzivní DNS není optimální. Ideální je skutečně vlastní rekurzivní DNS server. A nejlíp doplněný o DNScrypt wrapper (https://github.com/dnscryptio/dnscrypt-wrapper-docker) pro klienty, kteří chtějí kryptovat DNS dotazy a pak ředit až nekryptované. Takhle to nějaký pátek používám a super.

Co se týká statistik, tak Unbound je v pohodě (https://www.unbound.net/documentation/h ... stics.html) a RouterOS statistiky DNS nemá, pokud je mi známo.

[ludvik]

Má nějakou domácí přípojku a vy mu radíte vlastní server?

[hapi]

hmm, a co že je v nadpisu tohoto fora? A vidim v dotazu slovíčko klient a má accesspoint před sebou a má hlavní bránu... takže jaká domácí přípojka?

[Radek.Kovacik]

A když je zapnutý ten DNS resolver na Mikrotiku, který je zároveň hlavní bránou, může něco přicházet (kromě odpovědí na dotazy DNS) z internetu na port 53 nebo se to má blokovat?

[Myghael]

Pokud neprovozuješ svůj resolver veřejně (jakože asi ne), tak rozhodně blokovat.

[ludvik]

Ano ... vidím "začátečnická témata". Vidím "nemám vlastní server". A také "využívám google". Zbytek je popis domácí přípojky ... Pojem klient se nemusí brát pokaždé obchodně. Pokud ano, tak ty jsi to, co lze přeložit z pojmu Server.

hmm, a co že je v nadpisu tohoto fora? A vidim v dotazu slovíčko klient a má accesspoint před sebou a má hlavní bránu... takže jaká domácí přípojka?

[zdenek.svarc]

Standa myslel "Poskytovatelé sobě", ne "Klienti poskytovatelů sobě".

[jirk]

Nejedná se o domácí přípojku. Už jsem podle rady hapiho celou síť prenastavil. Neporadil by mi někdo nejaky usporny hardware, kde bych si rozjel nejlepe Ubuntu servet s DNS viz nize. Už jsem to totiž zkoušel nainstalovat na Ubuntu notebooku a není to nic složitého.

[hapi]

používáme platformu alix, je na to i extra upravenej debian Voyage linux který je uzpůsoben po práci na CF kartě nebo obecně na flash uložištích. Běží nám už několik let a prakticky o něm nevíme. Pro sít řekněme do 500-750 userů je to naprosto dostačující. Výhoda je, že máš jistotu že to vždy naběhne díky read only z flashky, hw je to velmi ale velmi kvalitní a spotřeba je zanedbatelná s čimž souvisí i žádná nutnost aktivního chlazení.

Teď uvažujeme o tý jejich jejich novější řadě s APU od AMD s malim mSATA diskem. Nevim jestli už dělají něco do čeho lze strčit mSATA SSDčka dvě pro sw raid ale to nejspíš u takových zařízeních ani nebude třeba a lepší bude postavit DNSka dvě.

Někteří používaji i raspberry pi jako resolver. Škoda že verze co má 4GB NANDu na sobě existuje jenom ve formě compute modulu což neni zrovna vhodný ale asi furt lepší než používat SD kartu.

[zdenek.svarc]

... Neporadil by mi někdo nejaky usporny hardware, kde bych si rozjel nejlepe Ubuntu servet s DNS ...

Raspberry Pi 3 + HypriotOS

Doposud jsem nepotřeboval docker v této kombinaci, ale kdybych potřeboval úsporný hardware a síťové služby, šel bych přesně do tohohle.

http://blog.hypriot.com/getting-started ... rm-device/