(17 revisões intermediárias por 2 usuários não estão sendo mostradas) | |||
Linha 1: | Linha 1: | ||
− | + | O servidor de DNS recursivo é responsável por procurar os endereços IPs de servidor que você solicitou acesso. Exemplo o DNS que esta configurado na sua máquina, o endereço IP de DNS da sua operadora, 8.8.8.8 da google, etc. Com o BrbOS, é possível montar um servidor de DNS dentro da sua rede, ficando muito mais perto dos seus clientes, e diminuindo consideravelmente o tempo das requisições. | |
− | + | Neste tópico, iremos demonstrar como implementar um servidor DNS Recursivo, usando o BrbOS em sua rede, e também como configura-lo junto ao Mikrotik. | |
+ | Tendo em vista que o Sistema já esteja instalado na sua rede, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor, siga o manual no link: http://brbos.brbyte.com/about/install | ||
− | |||
− | |||
− | + | =Configuração no Sistema= | |
− | * 10.0.0.0/8 | + | Primeiro, é necessário autorizar o range de IP dos seus clientes, para que eles possam estar autorizados a consultar o servidor. |
− | * 172.16.0.0/12 | + | |
− | * 192.168.0.0/16 | + | Abra o aplicativo de ([[BrbOS/Aplicativos/DNS_ACL|DNS -> ACL]]) |
+ | |||
+ | Por padrão o BrbOS já vem com as seguintes faixas pré-configuradas: | ||
+ | |||
+ | * 10.0.0.0/8 | ||
+ | * 172.16.0.0/12 | ||
+ | * 192.168.0.0/16 | ||
+ | |||
+ | |||
+ | '''ATENÇÃO''': Caso o mascaramento de seus clientes esteja ocorrendo "atrás" da RB a qual o servidor esta instalado, ou seja, os pacotes de seus usuários já chegam com IP "alterado" pelo mascaramento, sendo assim será necessário CADASTRAR o range de IP que esta utilizando no(s) mascaramento(s) | ||
Todas estão como '''ALLOW''', portanto essas ranges já estão liberadas para usar o''' DNS Recursivo'''. | Todas estão como '''ALLOW''', portanto essas ranges já estão liberadas para usar o''' DNS Recursivo'''. | ||
Linha 29: | Linha 37: | ||
'''Observação:''' Para negar o acesso de uma determinada faixa de IP selecione a '''Ação:''' DENY ou REFUSE. | '''Observação:''' Para negar o acesso de uma determinada faixa de IP selecione a '''Ação:''' DENY ou REFUSE. | ||
− | Através do App '''[[ | + | Através do App '''[[BrbOS/Aplicativos/Visão_Geral|Visão Geral]]''' ([[Arquivo:Icon48dashboard.png|link=]]) é possível acompanhar as requisições no servidor. |
− | *'''Feito as configurações descritas acima, sete o IP do | + | *'''Feito as configurações descritas acima, sete o IP do sistema como o DNS de sua rede'''. |
Linha 38: | Linha 46: | ||
==IP > DNS== | ==IP > DNS== | ||
− | + | Determinar o DNS do MK com o IP do BrbOS - (IP -> DNS) - Quando o usuário configura seu computador para o DNS primário o IP do MK http://prntscr.com/jpl7z7 | |
− | *'''Servers:''' 10.10.10.2''' (IP do | + | Aqui vamos setar o IP do Sistema como DNS Primário, no secundário poderá configurar um DNS de sua preferencia. |
+ | |||
+ | *'''Servers:''' 10.10.10.2''' (IP do Sistema)''' | ||
<div class="img-responsive align-center">[[Arquivo:MikrotikIpDnsFBRS.png|link=]]</div> | <div class="img-responsive align-center">[[Arquivo:MikrotikIpDnsFBRS.png|link=]]</div> | ||
Linha 52: | Linha 62: | ||
==PPP > Profiles== | ==PPP > Profiles== | ||
− | Nos profiles dos clientes também utilizaremos o IP do | + | Fornecer o DNS via PPPoE Server - (PPP -> Profiles -> DNS) - Quando as configurações do cliente encontra-se em automático, ao autenticar via PPPoE o servidor de autenticação alem do IP para este cliente navegar, também fornece o IP do servidor DNS a ser utilizado. http://prntscr.com/jpl97n |
+ | |||
+ | Nos profiles dos clientes também utilizaremos o IP do Sistema como DNS primário, o secundário use um DNS de sua preferencia. | ||
*'''Aba General:''' | *'''Aba General:''' | ||
− | *'''DNS Servers: '''10.10.10.2 '''(IP do | + | *'''DNS Servers: '''10.10.10.2 '''(IP do Sistema)''' |
<div class="img-responsive align-center">[[Arquivo:MikrotikPPP-ProfilesFBRS.png|link=]]</div> | <div class="img-responsive align-center">[[Arquivo:MikrotikPPP-ProfilesFBRS.png|link=]]</div> | ||
Linha 61: | Linha 73: | ||
*Ao término das configurações clique em OK. | *Ao término das configurações clique em OK. | ||
+ | OBS. Ao realizar a mudança do PPPoE server, os clientes que já estão conectados permanecerão com o DNS antigo, pois já foram autenticados, para receber as novas configurações o usuário deve '''conectar novamente''' e receber as novas configurações do PPPoE server, ou seja, deve derrubar os clientes aos poucos, claro realize antes o teste da sessão abaixo. | ||
− | == | + | ==Teste DNS Linux e Windows== |
+ | Para realizar teste, em outra máquina podemos realizar as consultas de teste utilizando o IP do BrbOS como servidor de resolução. | ||
− | + | * Em sistemas LINUX OU UNIX utilize o comando "host <domínio> <IP servidor DNS>" | |
+ | * No Window o "nslookup <domínio> <IP servidor DNS>" | ||
− | |||
− | + | - EXEMPLO de consulta do domínio "www.uol.com.br", usando o BrbOS no IP 177.52.72.3 como servidor e um Windows como cliente, ou seja, o NSLOOKUP o comando é: | |
− | + | C:\Users\Paulo>nslookup www.uol.com.br 177.52.72.3 | |
− | |||
− | |||
− | |||
− | + | A primeira vez o servidor não terá este domínio em cache, dando MISS utilize a seta para cima e enter para repetir o comando, realize este várias vezes e notará que da 2ª em diante a resposta é extremamente rápida pois esta esta em cache. | |
− | |||
− | ==Redirecionamento | + | ==Redirecionamento de DNS== |
− | + | Redirecionamento forçado - (Mangle) - Não recomendado - Utiliza-se quando deseja FORÇAR a utilização do BrbOS **independente** qual DNS configurado na maquina do Cliente. Utilizou porta 53 é redirecionado de forma forçado para o BrbOS resolver. | |
− | + | É possível também, redirecionar as requisições de DNS para o Sistema sem necessidade de setar o IP do mesmo nos Profiles do PPPoE ou em IP > DNS. | |
− | |||
− | |||
− | |||
− | === | + | ===Address Lists=== |
− | + | Primeiramente é necessário cadastrar a lista de endereços que irão ser interceptados, acesse IP > Firewall > Address List | |
'''Clique no botão ([[Arquivo:MikrotikBotaoAdd.png|link=]]) para adicionar uma nova regra.''' | '''Clique no botão ([[Arquivo:MikrotikBotaoAdd.png|link=]]) para adicionar uma nova regra.''' | ||
− | *''' | + | *'''Name:''' CLIENTES_DNS |
− | + | *'''Address: '''192.168.0.0/24 (range de IP que será redirecionada para o Sistema) | |
− | |||
− | |||
− | |||
− | + | <div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallAddressListFBRS.png|link=]]</div> | |
− | |||
− | * | + | *Ao término das configurações clique em OK. |
− | |||
− | |||
− | |||
− | + | '''Regras:''' | |
+ | /ip firewall address-list | ||
+ | add address=192.168.0.0/24 list=CLIENTES_DNS | ||
− | + | ===MARK ROUTE=== | |
− | |||
− | |||
− | |||
− | |||
+ | Para redirecionar o tráfego com Mark-Route acesse "IP > Firewall > Mangle" no Mikrotik | ||
− | === | + | '''Regras:''' |
+ | /ip firewall mangle | ||
+ | add action=mark-routing chain=prerouting dst-address=!10.10.10.2 \ | ||
+ | dst-address-list=!Clientes_DNS dst-port=53 new-routing-mark=DNS_REDIRECT \ | ||
+ | passthrough=no protocol=udp src-address-list=CLIENTES_DNS | ||
− | + | /ip route | |
+ | add distance=1 gateway=10.10.10.2 routing-mark=DNS_REDIRECT | ||
− | |||
− | |||
− | + | =Video= | |
− | + | <div class="video-container"> | |
+ | {{#ev:youtube|https://youtu.be/ng50fmDNoeU}} | ||
+ | </div> | ||
− | + | [[Category:Manual]] | |
− | + | [[Category:BrbOS|Manual]] | |
− | |||
+ | [[Category:DNS]] | ||
− | |||
__NOEDITSECTION__ | __NOEDITSECTION__ |
Edição atual tal como às 11h29min de 28 de novembro de 2019
O servidor de DNS recursivo é responsável por procurar os endereços IPs de servidor que você solicitou acesso. Exemplo o DNS que esta configurado na sua máquina, o endereço IP de DNS da sua operadora, 8.8.8.8 da google, etc. Com o BrbOS, é possível montar um servidor de DNS dentro da sua rede, ficando muito mais perto dos seus clientes, e diminuindo consideravelmente o tempo das requisições.
Neste tópico, iremos demonstrar como implementar um servidor DNS Recursivo, usando o BrbOS em sua rede, e também como configura-lo junto ao Mikrotik.
Tendo em vista que o Sistema já esteja instalado na sua rede, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor, siga o manual no link: http://brbos.brbyte.com/about/install
Índice
Configuração no Sistema
Primeiro, é necessário autorizar o range de IP dos seus clientes, para que eles possam estar autorizados a consultar o servidor.
Abra o aplicativo de (DNS -> ACL)
Por padrão o BrbOS já vem com as seguintes faixas pré-configuradas:
* 10.0.0.0/8 * 172.16.0.0/12 * 192.168.0.0/16
ATENÇÃO: Caso o mascaramento de seus clientes esteja ocorrendo "atrás" da RB a qual o servidor esta instalado, ou seja, os pacotes de seus usuários já chegam com IP "alterado" pelo mascaramento, sendo assim será necessário CADASTRAR o range de IP que esta utilizando no(s) mascaramento(s)
Todas estão como ALLOW, portanto essas ranges já estão liberadas para usar o DNS Recursivo.
Para liberar outra range de IP:
1. clique no botão de novo ().
2. Insira o bloco de IP em formato CIDR e selecione a Ação ALLOW.
3. Clique em salvar ().
Observação: Para negar o acesso de uma determinada faixa de IP selecione a Ação: DENY ou REFUSE.
Através do App Visão Geral () é possível acompanhar as requisições no servidor.
- Feito as configurações descritas acima, sete o IP do sistema como o DNS de sua rede.
Configuração no Mikrotik
IP > DNS
Determinar o DNS do MK com o IP do BrbOS - (IP -> DNS) - Quando o usuário configura seu computador para o DNS primário o IP do MK http://prntscr.com/jpl7z7
Aqui vamos setar o IP do Sistema como DNS Primário, no secundário poderá configurar um DNS de sua preferencia.
- Servers: 10.10.10.2 (IP do Sistema)
- Ao término das configurações clique em OK.
Observação: No Hotspot os clientes sempre vão utilizar o DNS configurado em IP/DNS, como foi demonstrado na configuração acima.
PPP > Profiles
Fornecer o DNS via PPPoE Server - (PPP -> Profiles -> DNS) - Quando as configurações do cliente encontra-se em automático, ao autenticar via PPPoE o servidor de autenticação alem do IP para este cliente navegar, também fornece o IP do servidor DNS a ser utilizado. http://prntscr.com/jpl97n
Nos profiles dos clientes também utilizaremos o IP do Sistema como DNS primário, o secundário use um DNS de sua preferencia.
- Aba General:
- DNS Servers: 10.10.10.2 (IP do Sistema)
- Ao término das configurações clique em OK.
OBS. Ao realizar a mudança do PPPoE server, os clientes que já estão conectados permanecerão com o DNS antigo, pois já foram autenticados, para receber as novas configurações o usuário deve conectar novamente e receber as novas configurações do PPPoE server, ou seja, deve derrubar os clientes aos poucos, claro realize antes o teste da sessão abaixo.
Teste DNS Linux e Windows
Para realizar teste, em outra máquina podemos realizar as consultas de teste utilizando o IP do BrbOS como servidor de resolução.
- Em sistemas LINUX OU UNIX utilize o comando "host <domínio> <IP servidor DNS>"
- No Window o "nslookup <domínio> <IP servidor DNS>"
- EXEMPLO de consulta do domínio "www.uol.com.br", usando o BrbOS no IP 177.52.72.3 como servidor e um Windows como cliente, ou seja, o NSLOOKUP o comando é:
C:\Users\Paulo>nslookup www.uol.com.br 177.52.72.3
A primeira vez o servidor não terá este domínio em cache, dando MISS utilize a seta para cima e enter para repetir o comando, realize este várias vezes e notará que da 2ª em diante a resposta é extremamente rápida pois esta esta em cache.
Redirecionamento de DNS
Redirecionamento forçado - (Mangle) - Não recomendado - Utiliza-se quando deseja FORÇAR a utilização do BrbOS **independente** qual DNS configurado na maquina do Cliente. Utilizou porta 53 é redirecionado de forma forçado para o BrbOS resolver.
É possível também, redirecionar as requisições de DNS para o Sistema sem necessidade de setar o IP do mesmo nos Profiles do PPPoE ou em IP > DNS.
Address Lists
Primeiramente é necessário cadastrar a lista de endereços que irão ser interceptados, acesse IP > Firewall > Address List
Clique no botão () para adicionar uma nova regra.
- Name: CLIENTES_DNS
- Address: 192.168.0.0/24 (range de IP que será redirecionada para o Sistema)
- Ao término das configurações clique em OK.
Regras:
/ip firewall address-list add address=192.168.0.0/24 list=CLIENTES_DNS
MARK ROUTE
Para redirecionar o tráfego com Mark-Route acesse "IP > Firewall > Mangle" no Mikrotik
Regras: /ip firewall mangle add action=mark-routing chain=prerouting dst-address=!10.10.10.2 \ dst-address-list=!Clientes_DNS dst-port=53 new-routing-mark=DNS_REDIRECT \ passthrough=no protocol=udp src-address-list=CLIENTES_DNS
/ip route add distance=1 gateway=10.10.10.2 routing-mark=DNS_REDIRECT
Video