Własny serwer DNS [konfiguracja MikroTik]

Chciałbyś mieć w sieci lokalnej własny serwer DNS, w celu optymalizacji liczby zapytań z sieci lokalnej do publicznego serwera DNS? A może chcesz mieć możliwość korzystania lokalnie z nazw domenowych w celu korzystania z różnych sieciowych aplikacji lub w prosty sposób zablokować dostęp do wybranych stron internetowych? Jeśli na któreś z tych pytań odpowiedziałeś twierdząco, to ten artykuł jest dla Ciebie.

Konfigurację w formie video obejrzysz TUTAJ 🙂

Konfiguracja lokalnego serwera DNS

0. Zaloguj się do routera MikroTik programem WinBox.
1. Przejdź do konfiguracji usługi DNS wybierając IP > DNS.
   
2. W wyświetlonym oknie wpisz adresy serwerów, które ma odpytywać router MikroTik o rekordy DNS. Wypełnij formularz według wzoru i naciśnij OK.
   

Konfiguracja serwera DHCP

Aby urządzenia w sieci lokalnej domyślnie korzystały z naszego serwera DNS należy zmienić adres serwera DNS ustawiony w konfiguracji DHCP na adres IP interfejsu sieciowego MikroTika, na którym jest świadczona usługa DHCP.

1. Przejdź do IP > DHCP Server.
   
2. W wyświetlonym oknie przejdź do zakładki Networks i kliknij dwukrotnie na sieć, na której chcesz skonfigurować korzystanie z lokalnego serwera DNS.
   
3. W wyświetlonym oknie wpisz adres IP lokalnego serwera DNS (najczęściej adres bramy) i naciśnij OK.
   

Po zakończeniu dzierżawy DHCP klienci wraz z przedłużeniem konfiguracji IP otrzymają od serwera DHCP informację o zmienionym serwerze DNS.

Testowanie konfiguracji

Zabezpieczanie dostępu do serwera DNS

Z powodu zaznaczonej opcji Allow Remote Requests z serwera mogą korzystać też urządzenia spoza sieci lokalnej. Aby nie narażać się na ataki DDoS lub zapytania o zakazane domeny przez nasz serwer DNS do publicznego serwera DNS należy skonfigurować firewall. W poniedziałkowym odcinku zobaczysz, że istnieje możliwość skorzystania z tego serwera DNS przez atakującego. W artykule skupię się na zablokowaniu takiego połączenia.

1. Przejdź do IP > Firewall.
   
2. W wyświetlonym oknie pozostając w zakładce Filter Rules naciśnij .
3. Zezwól na ruch na interfejsach w sieci lokalnej konfigurując regułę według wzoru.
   
   Akcja dla tego ruchu to accept.
4. Naciśnij OK.
5. Otwórz Terminal w WinBoxie.
6. Wpisz /ip/firewall/filter i print.
   Powinien wyświetlić się utworzony wpis.
7. Skopiuj wyświetlony wpis do schowka, wklej do notatnika i na jego podstawie przygotuj wpis dla usługi DNS na protokole UDP oraz wpisy blokujące możliwość korzystania z usługi DNS za pośrednictwem interfejsu WAN. Wszystkie wymagane reguły dodasz poleceniami (dostosuj do własnego scenariusza):

add chain=input action=accept protocol=tcp in-interface=LAN dst-port=53
add chain=input action=accept protocol=udp in-interface=LAN dst-port=53
add chain=input action=drop protocol=tcp in-interface=ether1 dst-port=53
add chain=input action=drop protocol=udp in-interface=ether1 dst-port=53