Zase ta DNS :(

[FRIDOLIN]

Ahoj
Chci se jen zeptat, je to asi 10 dní, co mě začala haprovat dns v mikrotiku, bez toho, abych si byl vědom, že bych něco porýpal nebo se někde uklikl.
Mám jako hlavní PC se spojením se světem nějakej krám s i5 procákem, kde je mikrotik verze 5.22.
Tento stroj mám na vnitřní síti nastaven jako ip 192.168.0.1 a klientům jako dns dávám zrovna tuto adresu. Nastavení v DNS jsem nechal default, i jsem zkoušel zvětšit casch i udp packet, ale problém je pořád stejný a to, že stránky se načítají velmi pomalu, někdy se načtou bez fotek, někdy napíšou že server není k dispozici.
Když si v pc změním dns třeba na googlovský 8.8.8.8 tak to frčí jak blesk. Nahrál jsem ted verzi 6.10, ale výsledek je stejný, tak nevím, kde nechal tesař díru
Nejprve mě napadlo, že dodavetel konektivity zrušil svůj dns server(nebo se nějak vykousl) a nedal mě o tom vědět, ale ať nastavím v mikrotiku jakákoliv dns, která jsou funkční, tak to dělá to samé
Samozřejmě se mě nechce obíhat klienty a všem měnit v pc a wifi routerech jejich dns

Zkoušel jsem i nějaký nastavení z fora, že u klientů nemusím dns vůbec nastavovat, ale toto nefakčilo taky
Díky za nápady

[query]

nemáš to na veřejce a otevřený z netu?
měl jsem teď jeden MK takhle nastavenej asi 14 dní (úmyslně z testovacích důvodů ) a měl jsem na tom nonstop DOS útoky.

[ef]

A co tak udělat NAT dvše co jde na 192.168.0.1 port 53 přesměruj na 8.8.8.8 ?

[FRIDOLIN]

A co tak udělat NAT dvše co jde na 192.168.0.1 port 53 přesměruj na 8.8.8.8 ?

Jo tak jsem to udělal, ale stejně mě vrtá hlavou proč to po 5ti letech přestalo fachčit.

Díky za odpovědi

[TomK]

Posledních zhruba 14 dní až měsíc probíhají poměrně masivní útoky na všechno co má zvenčí otevřenej port 53 udp. Podle toho co jsem vysledoval jsou nejčastěji útoky vedený z Ruska. Je potřeba takový provoz zvenčí odfiltrovat a vše bude zas fungovat jak dřív.

[chalan]

ja mam rovnaky problem a dns requesty z vonku som na hlavnu branu mk 5.26 ktora robi dns forwarder zakazal a nepomohlo to nicomu... urobil som teda presmerovanie 53 udp aj tcp na linux bind a fici to... dns mikrotiku je divny... napr. na lokalnych routeroch mk tiez pouzivam dns cache a tam problem nemam, problem je len na hlavnej brane, nechapem to...

[pitigl]

ja mam rovnaky problem a dns requesty z vonku som na hlavnu branu mk 5.26 ktora robi dns forwarder zakazal a nepomohlo to nicomu... urobil som teda presmerovanie 53 udp aj tcp na linux bind a fici to... dns mikrotiku je divny... napr. na lokalnych routeroch mk tiez pouzivam dns cache a tam problem nemam, problem je len na hlavnej brane, nechapem to...

No aj mne to zacalo robit z nicoho nic pred par dnami. Myslel som si ze to je novou verziou mikrotiku (6.11) tak som dal naspet 6.7 ale nepomohlo. Vsetko islo v pohode a narazbez mojho zasahu to sa rozladilo a stranky niekedy vobec nenabehnu inokedy cakame jak na dial-upe
Ma niekto neaky postup co vyskusat?

Problem je v tom ze ja stroj s linuxom nemam a presmerovat to vonku nemozem lebo mam vo vnutornej sieti staticke zaznamy. Takze musi to ist len cez tento RB.

Diik.

[pitigl]

ja mam rovnaky problem a dns requesty z vonku som na hlavnu branu mk 5.26 ktora robi dns forwarder zakazal a nepomohlo to nicomu... urobil som teda presmerovanie 53 udp aj tcp na linux bind a fici to... dns mikrotiku je divny... napr. na lokalnych routeroch mk tiez pouzivam dns cache a tam problem nemam, problem je len na hlavnej brane, nechapem to...

No aj mne to zacalo robit z nicoho nic pred par dnami. Myslel som si ze to je novou verziou mikrotiku (6.11) tak som dal naspet 6.7 ale nepomohlo. Vsetko islo v pohode a narazbez mojho zasahu to sa rozladilo a stranky niekedy vobec nenabehnu inokedy cakame jak na dial-upe
Ma niekto neaky postup co vyskusat?

Problem je v tom ze ja stroj s linuxom nemam a presmerovat to vonku nemozem lebo mam vo vnutornej sieti staticke zaznamy. Takze musi to ist len cez tento RB.

Diik.

--------------------------------------DOPLNENE--------------------------------------------

No po 10hod testovania môžem potvrdiť že pomohlo zastavenie nových udp spojení na porte 53 z WAN (internetu). A je ich dosť okolo 100MB za 10hod . DNSko na mikrotiku sa rozbehalo a všetko zatiaľ funguje na jednotku.

chain=input action=drop connection-state=new protocol=udp in-interface=sfp1

[goblajz]

A kde tam máš ten port?

[reset]

--------------------------------------DOPLNENE--------------------------------------------

No po 10hod testovania môžem potvrdiť že pomohlo zastavenie nových udp spojení na porte 53 z WAN (internetu). A je ich dosť okolo 100MB za 10hod . DNSko na mikrotiku sa rozbehalo a všetko zatiaľ funguje na jednotku.

chain=input action=drop connection-state=new protocol=udp in-interface=sfp1

na nas kdyz zacali utocit cinani , tak nam na dns server teklo 30Mbps a to to limitoval tusim jen nas shaper ,
to tvych 100MB za 10h je oproti tomu prd ,
server lehnul po 5ti minutach

[lwq]

Posledních zhruba 14 dní až měsíc probíhají poměrně masivní útoky na všechno co má zvenčí otevřenej port 53 udp. Podle toho co jsem vysledoval jsou nejčastěji útoky vedený z Ruska. Je potřeba takový provoz zvenčí odfiltrovat a vše bude zas fungovat jak dřív.

Me tedy dle statistiky nejcasteji na DNS utoci IP adresy z Ciny ci USA (7.0.0.0/8 napriklad) ... Vse co neni komunikace se "spravnym" DNS je treba zahazovat - mam to tak i na klientech ...

EDIT: Jen 100M za 10hod, tedy 10M za hodinu ? U me to aktualne je asi 35MB/hod ...

[dzejty]

Asi by stačilo to udělat takto a vyhnout se zakazování UDP se state "new"

Kód: Vybrat vše

chain=input connection-state=established
chain=input connection-state=related
chain=input src-address=admin_list
chain=input protocol=icmp
chain=input action=drop

[petr]

DNS cache se nám jevila jako elegantní řešení a také nám po hodně let na mnoha místech spolehlivě fungovala a stejně jako ostatním, bezproblémově fungovat přestala.

Nepomůže, zakážete-li dotazy z internetu (ty jsme ostatně nikdy povolené neměli). Útoky totiž, asi v naprosté většině případů, pochází ze zavirovaných počítačů uvnitř sítě. DNS dotazy z těchto počítačů mají veřejnou zdrojovou IP adresu. Zkoušeli jsme kdejaké filtry, ale nic nefungovalo na 100%. Vždycky s tím byl nějaký problém.

Zaznělo tu, že standardní DNS server na Linuxu s útoky problémy nemá. Jenže dávat další stroj s Linuxem na místa, která jsou napájena z akumulátorů, nebo mají omezený prostor pro montáž dalších zařízení, není vhodné.

Jako rozumné řešení se ukázal MetaRouter, kde jako virtuální stroj běží OpenWRT s nainstalovaným balíkem bind. Dnsmasq nedoporučuji, budou s ním asi stejné problémy jako s DNS chache na Mikrotiku.

Bohužel je výběr použitelných RB omezený. MetaRouter chodí jen na mipsbe a ppc (z těch jen na jednoprocesorových). Na ppc pouze s verzí ROS 5.x, nejlépe 5.26.

Na sekundární DNS server pro síť s 1000 klienty jsme vybrali RB1100, který slouží jako router v jednom segmentu sítě se spolehlivým spojením a který byl vytížený ve špičkách na zruba 40-60%. Po spuštění DNS serveru (navíc i User manageru - spuštěno ve stejné době, podíl na zatížení CPU nedokážu odlišit) se zvedlo vytížení CPU ve špičkách na cca 60-95%.

Použili jsme image http://openwrt.wk.cz/trunk/mr-ppc/openwrt-mr-ppc-rootfs-31206.tar.gz, bind a související balíky z http://openwrt.wk.cz/trunk/mr-ppc/packages/.

Upozorňuji na to, že tlačítka Shut down a Restart v okně MetaRouter fungují podivně a je lepší použít halt a reboot z příkazové řádky konzole.

Instalace viruálního stroje a nastavení DNS je otázkou několika minut a lze ji dělat za plného provozu.

[petr]

A co tak udělat NAT dvše co jde na 192.168.0.1 port 53 přesměruj na 8.8.8.8 ?

To funguje jen u TCP dotazů. UDP DNS dotazy a odpovědi, kterých je naprostá většina, používají stejný port (53)

[petr]

Jako DNS server jsme zkoušeli už kde co. DNS cache na Mikrotiku se neosvědčila (snad jen pro lokální síť), Metarouter zatím funguje spolehlivě, ale jen do verze RoterOS 5.26. Na 6.x jsou problémy: občas vytuhnou síťová rozhraní a router přestane přenášet data. Potíž je trochu se zálohováním. Linux se musí zálohovat zvlášť, jako kdyby běžel na samostatném stroji. Je sice pravda, že se konfigurace moc často nemění a zálohování lze zautomatizovat, ale ...

Zdá se, že jsme našli ideální řešení za zanedbatelnou cenu, s téměř miniaturními rozměry, dostatečným výkonem, minimální spotřebou a možností napájení po datovém kabelu (8-63V):
Raspberry PI s malým DC/DC zdrojem.

Síť s cca 1000 klientů s primárním DNS serverem na Rasbberry PI vytíží stroj max. na 30%, takže se nabízí možnost využít ho ještě na další úkoly (např. NTP server).