- Настройка
В ней нет ничего сложного. "IP" -> "Dns".
- для доступа к серверу включаем флаг "Allow Remote Requests", но при этом не забываем, что доступ к DNS серверу будет и из интернета, а это плохо. Необходимо закрыть доступ при помощи правил в "IP" -> "Firewall";
- "Servers" - тут можно задать "вышестоящий" DNS сервер, к нему наш DNS будет обращаться для разрешения имен. Самые умные задают 8.8.8.8, не подозревая, что почти все провайдеры уже давно редиректят все запросы на 53 порт на свои DNS, самизнаетезачем;
- "Dynamic Servers" - тоже, что и выше, только сервера получены от провайдера(ов) при установлении с ними соединения (если в настройках соединения стоит "Use Peer DNS")
Кроме кнопки "Apply", есть ещё две: "Static" и "Cache".
"Cache" - позволяет просматривать содержимое кеша нашего DNS сервера и очищать его, при необходимости.
"Static" - эту кнопку и всё, что за ней стоит, рассмотрим ниже.
- Статические записи
За кнопкой "Static" скрывается возможность добавлять в наш DNS сервер свои записи, которые будут отдаваться при запросах и имеют приоритет.
Тут нет понятия "зоны", как в серьезных DNS серверах, и все записи идут в одной большой куче. С одной стороны, при слишком большом количестве записей получится бардак, а с другой стороны подкупает простота добавления новой записи - записал полное доменное имя или же регулярку - и всё, никаких тебе IN SOA, NS и прочих.
Вы спросите - для чего это нужно? Например, если у вас на кухне стоит свой web-сервер, доступ "снаружи" к которому сделан через роутер, то при попытке обратиться к сайту на нем "изнутри", ваш комп радостно помчится на DNS сервер провайдера и тот ему отдаст внешний ip вашего же роутера, который и знать не знает про какой то там сайт. Если же задать статическую запись с полным именем и внутренним ip вашего web-сервера, то сайт откроется. На картинке ниже это реализовано регуляркой, чтобы не делать записи для поддоменов, так как адрес web-сервера один и тот же.
Также, при помощи статических записей можно закрывать доступ к сайтам, эдакий простенький заслон для тех, кто не шарит, как поменять на компе DNS, а будут наглеть, то можно и output по 53 порту закрыть для всех из локалки. Правда, значения в локальном /etc/hosts все равно имеют приоритет, так что закрывалка так себе. Но упомянуть все равно стоит. Тут в ход могут идти не только "Name", которое предназначено только для одного домена, но и "Regexp", которым можно закрыть все поддомены, вообще, при наличии регулярок, поле для деятельности огромное. Указываем в "Address" значение 127.0.0.1 и ВКашечка просто так уже не откроется.
- Итог
В домашней сети этот DNS сервер обеспечит все потребности и даже больше, так что смысла заводить под DNS сервер отдельный комп нет, если только вы не компьютерный маньяк с парком списанных с работы серверов в кладовке. Самые наблюдательные заметили на первой картинке аббревиатуру DoH - да-да, друзья, это оно самое, DNS over HTTPS (появилось в RouterOS версии 6.47). Обязательно дополню статью, как только руки дойдут (но это не точно).
Донести адрес нашего DNS сервера до пользователей способен DHCP-сервер, он также есть в роутерах MikroTik, но как любит говорить один популярный усатый актер, "это совсем другая история" :)
Статья опубликована: 2021-08-31 23:08:53
Последние правки: 2021-09-01 00:52:56
Настраиваем и используем DNS-сервер роутера MikroTik.