Mudanças entre as edições de "BrbOS/Manual/DNS Recursivo"

De BrByte Wiki
< BrbOS‎ | Manual
 
(15 revisões intermediárias por 2 usuários não estão sendo mostradas)
Linha 1: Linha 1:
Neste tópico, iremos demonstrar como implementar o DNS Recursivo em sua rede e também como configura-lo junto ao Mikrotik.
+
O servidor de DNS recursivo é responsável por procurar os endereços IPs de servidor que você solicitou acesso. Exemplo o DNS que esta configurado na sua máquina, o endereço IP de DNS da sua operadora, 8.8.8.8 da google, etc. Com o BrbOS, é possível montar um servidor de DNS dentro da sua rede, ficando muito mais perto dos seus clientes, e diminuindo consideravelmente o tempo das requisições.  
  
Tendo em vista que o FreeBRS já esteja instalado na sua rede, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor FreeBRS, siga o manual no link: http://freebrs.brbyte.com/about/install
+
Neste tópico, iremos demonstrar como implementar um servidor DNS Recursivo, usando o BrbOS em sua rede, e também como configura-lo junto ao Mikrotik.
  
 +
Tendo em vista que o Sistema já esteja instalado na sua rede, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor, siga o manual no link: http://brbos.brbyte.com/about/install
  
=Configuração no FreeBRS=
 
  
Abra o App ([[Arquivo:Icon48DnsAclForwarder.png|link=]])
 
  
Por padrão o FreeBRS já vem com as seguintes faixas pré-configuradas:
+
=Configuração no Sistema=
  
* 10.0.0.0/8
+
Primeiro, é necessário autorizar o range de IP dos seus clientes, para que eles possam estar autorizados a consultar o servidor.
* 172.16.0.0/12
+
 
* 192.168.0.0/16
+
Abra o aplicativo de ([[BrbOS/Aplicativos/DNS_ACL|DNS -> ACL]])
 +
 
 +
Por padrão o BrbOS já vem com as seguintes faixas pré-configuradas:
 +
 
 +
    * 10.0.0.0/8
 +
    * 172.16.0.0/12
 +
    * 192.168.0.0/16
 +
 
 +
 
 +
'''ATENÇÃO''': Caso o mascaramento de seus clientes esteja ocorrendo "atrás" da RB a qual o servidor esta instalado, ou seja, os pacotes de seus usuários já chegam com IP "alterado" pelo mascaramento, sendo assim será necessário CADASTRAR o range de IP que esta utilizando no(s) mascaramento(s)
  
 
Todas estão como '''ALLOW''', portanto essas ranges já estão liberadas para usar o''' DNS Recursivo'''.
 
Todas estão como '''ALLOW''', portanto essas ranges já estão liberadas para usar o''' DNS Recursivo'''.
Linha 29: Linha 37:
 
'''Observação:''' Para negar o acesso de uma determinada faixa de IP selecione a '''Ação:''' DENY ou REFUSE.
 
'''Observação:''' Para negar o acesso de uma determinada faixa de IP selecione a '''Ação:''' DENY ou REFUSE.
  
Através do App '''[[FreeBRS/Aplicativos/Visão_Geral|Visão Geral]]''' ([[Arquivo:Icon48dashboard.png|link=]]) é possível acompanhar as requisições no servidor.
+
Através do App '''[[BrbOS/Aplicativos/Visão_Geral|Visão Geral]]''' ([[Arquivo:Icon48dashboard.png|link=]]) é possível acompanhar as requisições no servidor.
  
*'''Feito as configurações descritas acima, sete o IP do FreeBRS como o DNS de sua rede'''.
+
*'''Feito as configurações descritas acima, sete o IP do sistema como o DNS de sua rede'''.
  
  
Linha 38: Linha 46:
 
==IP > DNS==
 
==IP > DNS==
  
Aqui vamos setar o IP do FreeBRS como DNS Primário, no secundário poderá configurar um DNS de sua preferencia.
+
Determinar o DNS do MK com o IP do BrbOS - (IP -> DNS) - Quando o usuário configura seu computador para o DNS primário o IP do MK http://prntscr.com/jpl7z7
 +
 
 +
Aqui vamos setar o IP do Sistema como DNS Primário, no secundário poderá configurar um DNS de sua preferencia.
  
*'''Servers:''' 10.10.10.2''' (IP do FreeBRS)'''
+
*'''Servers:''' 10.10.10.2''' (IP do Sistema)'''
  
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpDnsFBRS.png|link=]]</div>
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpDnsFBRS.png|link=]]</div>
Linha 52: Linha 62:
 
==PPP > Profiles==
 
==PPP > Profiles==
  
Nos profiles dos clientes  também utilizaremos o IP do FreeBRS como DNS primário, o secundário use um DNS de sua preferencia.
+
Fornecer o DNS via PPPoE Server - (PPP -> Profiles -> DNS) - Quando as configurações do cliente encontra-se em automático, ao autenticar via PPPoE o servidor de autenticação alem do IP para este cliente navegar, também fornece o IP do servidor DNS a ser utilizado. http://prntscr.com/jpl97n
 +
 
 +
Nos profiles dos clientes  também utilizaremos o IP do Sistema como DNS primário, o secundário use um DNS de sua preferencia.
  
 
*'''Aba General:'''
 
*'''Aba General:'''
*'''DNS Servers: '''10.10.10.2 '''(IP do FreeBRS)'''
+
*'''DNS Servers: '''10.10.10.2 '''(IP do Sistema)'''
  
 
<div class="img-responsive align-center">[[Arquivo:MikrotikPPP-ProfilesFBRS.png|link=]]</div>
 
<div class="img-responsive align-center">[[Arquivo:MikrotikPPP-ProfilesFBRS.png|link=]]</div>
  
 
*Ao término das configurações clique em OK.
 
*Ao término das configurações clique em OK.
 +
 +
OBS. Ao realizar a mudança do PPPoE server, os clientes que já estão conectados permanecerão com o DNS antigo, pois já foram autenticados, para receber as novas configurações o usuário deve '''conectar novamente''' e receber as novas configurações do PPPoE server, ou seja, deve derrubar os clientes aos poucos, claro realize antes o teste da sessão abaixo.
 +
 +
==Teste DNS Linux e Windows==
 +
Para realizar teste, em outra máquina podemos realizar as consultas de teste utilizando o IP do BrbOS como servidor de resolução.
 +
 +
* Em sistemas LINUX OU UNIX utilize o comando "host <domínio> <IP servidor DNS>"
 +
* No Window o "nslookup <domínio> <IP servidor DNS>"
 +
 +
 +
- EXEMPLO de consulta do domínio "www.uol.com.br", usando o BrbOS no IP 177.52.72.3 como servidor e um Windows como cliente, ou seja, o NSLOOKUP o comando é:
 +
    C:\Users\Paulo>nslookup www.uol.com.br 177.52.72.3
 +
 +
A primeira vez o servidor não terá este domínio em cache, dando MISS utilize a seta para cima e enter para repetir o comando, realize este várias vezes e notará que da 2ª em diante a resposta é extremamente rápida pois esta esta em cache.
  
  
 
==Redirecionamento de DNS==
 
==Redirecionamento de DNS==
  
É possível também, redirecionar as requisições de DNS para o FreeBRS sem necessidade de setar o IP do mesmo nos Profiles do PPPoE ou em IP > DNS.
+
Redirecionamento forçado - (Mangle) - Não recomendado - Utiliza-se quando deseja FORÇAR a utilização do BrbOS **independente** qual DNS configurado na maquina do Cliente. Utilizou porta 53 é redirecionado de forma forçado para o BrbOS resolver.
 +
 
 +
É possível também, redirecionar as requisições de DNS para o Sistema sem necessidade de setar o IP do mesmo nos Profiles do PPPoE ou em IP > DNS.
 +
 
 +
===Address Lists===
  
===IP > Firewall > Address Lists===
+
Primeiramente é necessário cadastrar a lista de endereços que irão ser interceptados, acesse IP > Firewall > Address List
  
 
'''Clique no botão ([[Arquivo:MikrotikBotaoAdd.png|link=]]) para adicionar uma nova regra.'''
 
'''Clique no botão ([[Arquivo:MikrotikBotaoAdd.png|link=]]) para adicionar uma nova regra.'''
  
 
*'''Name:''' CLIENTES_DNS
 
*'''Name:''' CLIENTES_DNS
*'''Address: '''192.168.0.0/24 (range de IP que será redirecionada para o FreeBRS)
+
*'''Address: '''192.168.0.0/24 (range de IP que será redirecionada para o Sistema)
  
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallAddressListFBRS.png|link=]]</div>
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallAddressListFBRS.png|link=]]</div>
Linha 77: Linha 107:
 
*Ao término das configurações clique em OK.
 
*Ao término das configurações clique em OK.
  
'''Regras:'''
+
'''Regras:'''
 
  /ip firewall address-list
 
  /ip firewall address-list
 
  add address=192.168.0.0/24 list=CLIENTES_DNS
 
  add address=192.168.0.0/24 list=CLIENTES_DNS
  
 
===MARK ROUTE===
 
===MARK ROUTE===
 +
  
 
Para redirecionar o tráfego com Mark-Route acesse "IP > Firewall > Mangle" no Mikrotik
 
Para redirecionar o tráfego com Mark-Route acesse "IP > Firewall > Mangle" no Mikrotik
  
 
  '''Regras:'''
 
  '''Regras:'''
/ip firewall mangle
+
    /ip firewall mangle
add action=mark-routing chain=prerouting dst-address=!10.10.10.2 \
+
    add action=mark-routing chain=prerouting dst-address=!10.10.10.2 \
    dst-address-list=!Clientes_DNS dst-port=53 new-routing-mark=DNS_REDIRECT \
+
        dst-address-list=!Clientes_DNS dst-port=53 new-routing-mark=DNS_REDIRECT \
    passthrough=no protocol=udp src-address-list=CLIENTES_DNS
+
        passthrough=no protocol=udp src-address-list=CLIENTES_DNS
 
 
/ip route
 
add distance=1 gateway=10.10.10.2 routing-mark=DNS_REDIRECT
 
 
 
 
 
==DST-NAT==
 
  
Para redirecionar o tráfego com DST-NAT acesse "IP > Firewall > NAT" no Mikrotik
+
    /ip route
 +
    add distance=1 gateway=10.10.10.2 routing-mark=DNS_REDIRECT
  
'''Regras:'''
 
/ip firewall nat
 
add action=dst-nat chain=dstnat dst-address=!10.10.10.2 dst-port=53 protocol=udp \
 
    src-address-list=CLIENTES_DNS to-addresses=10.10.10.2 to-ports=53
 
  
'''Atenção: ''' Se existir alguma regra de mascaramento essa regra deverá ficar abaixo da mesma, pois se ficar acima não funcionará corretamente.
+
=Video=
  
'''Clique no botão ([[Arquivo:MikrotikBotaoAdd.png|link=]]) para adicionar uma nova regra.'''
+
<div class="video-container">
 +
{{#ev:youtube|https://youtu.be/ng50fmDNoeU}}
 +
</div>
  
*'''Aba General:'''
+
[[Category:Manual]]
**'''Chain:''' dstnat
+
[[Category:BrbOS|Manual]]
**'''Dst. Address: '''! 10.10.10.2 (devemos negar o IP do FreeBRS).
 
**'''Protocol:''' udp
 
**'''Dst. Port:''' 53
 
 
 
*'''Aba Advanced:'''
 
**'''Src. Address List: '''CLIENTES_DNS
 
 
 
*'''Aba Action:'''
 
**'''Action: '''dst-nat
 
**'''To Address: '''10.10.10.2 (IP do FreeBRS)
 
**'''To Ports: '''53
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatFBRS.png|link=]]</div>
 
 
 
*Ao término das configurações clique em OK.
 
 
 
'''Regras:'''
 
/ip firewall nat
 
add action=dst-nat chain=dstnat dst-address=!10.10.10.2 dst-port=53 protocol=udp \
 
    src-address-list=CLIENTES_DNS to-addresses=10.10.10.2 to-ports=53
 
  
 +
[[Category:DNS]]
  
[[Category:FreeBRS]]
 
 
__NOEDITSECTION__
 
__NOEDITSECTION__

Edição atual tal como às 11h29min de 28 de novembro de 2019

O servidor de DNS recursivo é responsável por procurar os endereços IPs de servidor que você solicitou acesso. Exemplo o DNS que esta configurado na sua máquina, o endereço IP de DNS da sua operadora, 8.8.8.8 da google, etc. Com o BrbOS, é possível montar um servidor de DNS dentro da sua rede, ficando muito mais perto dos seus clientes, e diminuindo consideravelmente o tempo das requisições.

Neste tópico, iremos demonstrar como implementar um servidor DNS Recursivo, usando o BrbOS em sua rede, e também como configura-lo junto ao Mikrotik.

Tendo em vista que o Sistema já esteja instalado na sua rede, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor, siga o manual no link: http://brbos.brbyte.com/about/install


Configuração no Sistema

Primeiro, é necessário autorizar o range de IP dos seus clientes, para que eles possam estar autorizados a consultar o servidor.

Abra o aplicativo de (DNS -> ACL)

Por padrão o BrbOS já vem com as seguintes faixas pré-configuradas:

   * 10.0.0.0/8
   * 172.16.0.0/12
   * 192.168.0.0/16


ATENÇÃO: Caso o mascaramento de seus clientes esteja ocorrendo "atrás" da RB a qual o servidor esta instalado, ou seja, os pacotes de seus usuários já chegam com IP "alterado" pelo mascaramento, sendo assim será necessário CADASTRAR o range de IP que esta utilizando no(s) mascaramento(s)

Todas estão como ALLOW, portanto essas ranges já estão liberadas para usar o DNS Recursivo.

Para liberar outra range de IP:

1. clique no botão de novo (Speedr-Btn-new.png).

2. Insira o bloco de IP em formato CIDR e selecione a Ação ALLOW.

FreeBRS-Exemplo-ACL01.png

3. Clique em salvar (Speedr-Btn-salvar.png).


Observação: Para negar o acesso de uma determinada faixa de IP selecione a Ação: DENY ou REFUSE.

Através do App Visão Geral (Icon48dashboard.png) é possível acompanhar as requisições no servidor.

  • Feito as configurações descritas acima, sete o IP do sistema como o DNS de sua rede.


Configuração no Mikrotik

IP > DNS

Determinar o DNS do MK com o IP do BrbOS - (IP -> DNS) - Quando o usuário configura seu computador para o DNS primário o IP do MK http://prntscr.com/jpl7z7

Aqui vamos setar o IP do Sistema como DNS Primário, no secundário poderá configurar um DNS de sua preferencia.

  • Servers: 10.10.10.2 (IP do Sistema)
MikrotikIpDnsFBRS.png
  • Ao término das configurações clique em OK.


Observação: No Hotspot os clientes sempre vão utilizar o DNS configurado em IP/DNS, como foi demonstrado na configuração acima.


PPP > Profiles

Fornecer o DNS via PPPoE Server - (PPP -> Profiles -> DNS) - Quando as configurações do cliente encontra-se em automático, ao autenticar via PPPoE o servidor de autenticação alem do IP para este cliente navegar, também fornece o IP do servidor DNS a ser utilizado. http://prntscr.com/jpl97n

Nos profiles dos clientes também utilizaremos o IP do Sistema como DNS primário, o secundário use um DNS de sua preferencia.

  • Aba General:
  • DNS Servers: 10.10.10.2 (IP do Sistema)
MikrotikPPP-ProfilesFBRS.png
  • Ao término das configurações clique em OK.

OBS. Ao realizar a mudança do PPPoE server, os clientes que já estão conectados permanecerão com o DNS antigo, pois já foram autenticados, para receber as novas configurações o usuário deve conectar novamente e receber as novas configurações do PPPoE server, ou seja, deve derrubar os clientes aos poucos, claro realize antes o teste da sessão abaixo.

Teste DNS Linux e Windows

Para realizar teste, em outra máquina podemos realizar as consultas de teste utilizando o IP do BrbOS como servidor de resolução.

  • Em sistemas LINUX OU UNIX utilize o comando "host <domínio> <IP servidor DNS>"
  • No Window o "nslookup <domínio> <IP servidor DNS>"


- EXEMPLO de consulta do domínio "www.uol.com.br", usando o BrbOS no IP 177.52.72.3 como servidor e um Windows como cliente, ou seja, o NSLOOKUP o comando é:

   C:\Users\Paulo>nslookup www.uol.com.br 177.52.72.3

A primeira vez o servidor não terá este domínio em cache, dando MISS utilize a seta para cima e enter para repetir o comando, realize este várias vezes e notará que da 2ª em diante a resposta é extremamente rápida pois esta esta em cache.


Redirecionamento de DNS

Redirecionamento forçado - (Mangle) - Não recomendado - Utiliza-se quando deseja FORÇAR a utilização do BrbOS **independente** qual DNS configurado na maquina do Cliente. Utilizou porta 53 é redirecionado de forma forçado para o BrbOS resolver.

É possível também, redirecionar as requisições de DNS para o Sistema sem necessidade de setar o IP do mesmo nos Profiles do PPPoE ou em IP > DNS.

Address Lists

Primeiramente é necessário cadastrar a lista de endereços que irão ser interceptados, acesse IP > Firewall > Address List

Clique no botão (MikrotikBotaoAdd.png) para adicionar uma nova regra.

  • Name: CLIENTES_DNS
  • Address: 192.168.0.0/24 (range de IP que será redirecionada para o Sistema)
MikrotikIpFirewallAddressListFBRS.png
  • Ao término das configurações clique em OK.

Regras:

/ip firewall address-list
add address=192.168.0.0/24 list=CLIENTES_DNS

MARK ROUTE

Para redirecionar o tráfego com Mark-Route acesse "IP > Firewall > Mangle" no Mikrotik

Regras:
   /ip firewall mangle
   add action=mark-routing chain=prerouting dst-address=!10.10.10.2 \
       dst-address-list=!Clientes_DNS dst-port=53 new-routing-mark=DNS_REDIRECT \
       passthrough=no protocol=udp src-address-list=CLIENTES_DNS
   /ip route
   add distance=1 gateway=10.10.10.2 routing-mark=DNS_REDIRECT


Video