Mudanças entre as edições de "BrbOS/Manual/DNS Recursivo"

De BrByte Wiki
< BrbOS‎ | Manual
 
(9 revisões intermediárias por 2 usuários não estão sendo mostradas)
Linha 4: Linha 4:
  
 
Tendo em vista que o Sistema já esteja instalado na sua rede, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor, siga o manual no link: http://brbos.brbyte.com/about/install
 
Tendo em vista que o Sistema já esteja instalado na sua rede, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor, siga o manual no link: http://brbos.brbyte.com/about/install
 +
 +
  
 
=Configuração no Sistema=
 
=Configuração no Sistema=
Linha 9: Linha 11:
 
Primeiro, é necessário autorizar o range de IP dos seus clientes, para que eles possam estar autorizados a consultar o servidor.
 
Primeiro, é necessário autorizar o range de IP dos seus clientes, para que eles possam estar autorizados a consultar o servidor.
  
Abra o aplicativo de DNS -> ACL ([[Arquivo:Icon48DnsAclForwarder.png|link=]])
+
Abra o aplicativo de ([[BrbOS/Aplicativos/DNS_ACL|DNS -> ACL]])
  
 
Por padrão o BrbOS já vem com as seguintes faixas pré-configuradas:
 
Por padrão o BrbOS já vem com as seguintes faixas pré-configuradas:
Linha 16: Linha 18:
 
     * 172.16.0.0/12
 
     * 172.16.0.0/12
 
     * 192.168.0.0/16
 
     * 192.168.0.0/16
 +
 +
 +
'''ATENÇÃO''': Caso o mascaramento de seus clientes esteja ocorrendo "atrás" da RB a qual o servidor esta instalado, ou seja, os pacotes de seus usuários já chegam com IP "alterado" pelo mascaramento, sendo assim será necessário CADASTRAR o range de IP que esta utilizando no(s) mascaramento(s)
  
 
Todas estão como '''ALLOW''', portanto essas ranges já estão liberadas para usar o''' DNS Recursivo'''.
 
Todas estão como '''ALLOW''', portanto essas ranges já estão liberadas para usar o''' DNS Recursivo'''.
Linha 40: Linha 45:
  
 
==IP > DNS==
 
==IP > DNS==
 +
 +
Determinar o DNS do MK com o IP do BrbOS - (IP -> DNS) - Quando o usuário configura seu computador para o DNS primário o IP do MK http://prntscr.com/jpl7z7
  
 
Aqui vamos setar o IP do Sistema como DNS Primário, no secundário poderá configurar um DNS de sua preferencia.
 
Aqui vamos setar o IP do Sistema como DNS Primário, no secundário poderá configurar um DNS de sua preferencia.
Linha 54: Linha 61:
  
 
==PPP > Profiles==
 
==PPP > Profiles==
 +
 +
Fornecer o DNS via PPPoE Server - (PPP -> Profiles -> DNS) - Quando as configurações do cliente encontra-se em automático, ao autenticar via PPPoE o servidor de autenticação alem do IP para este cliente navegar, também fornece o IP do servidor DNS a ser utilizado. http://prntscr.com/jpl97n
  
 
Nos profiles dos clientes  também utilizaremos o IP do Sistema como DNS primário, o secundário use um DNS de sua preferencia.
 
Nos profiles dos clientes  também utilizaremos o IP do Sistema como DNS primário, o secundário use um DNS de sua preferencia.
Linha 63: Linha 72:
  
 
*Ao término das configurações clique em OK.
 
*Ao término das configurações clique em OK.
 +
 +
OBS. Ao realizar a mudança do PPPoE server, os clientes que já estão conectados permanecerão com o DNS antigo, pois já foram autenticados, para receber as novas configurações o usuário deve '''conectar novamente''' e receber as novas configurações do PPPoE server, ou seja, deve derrubar os clientes aos poucos, claro realize antes o teste da sessão abaixo.
 +
 +
==Teste DNS Linux e Windows==
 +
Para realizar teste, em outra máquina podemos realizar as consultas de teste utilizando o IP do BrbOS como servidor de resolução.
 +
 +
* Em sistemas LINUX OU UNIX utilize o comando "host <domínio> <IP servidor DNS>"
 +
* No Window o "nslookup <domínio> <IP servidor DNS>"
 +
 +
 +
- EXEMPLO de consulta do domínio "www.uol.com.br", usando o BrbOS no IP 177.52.72.3 como servidor e um Windows como cliente, ou seja, o NSLOOKUP o comando é:
 +
    C:\Users\Paulo>nslookup www.uol.com.br 177.52.72.3
 +
 +
A primeira vez o servidor não terá este domínio em cache, dando MISS utilize a seta para cima e enter para repetir o comando, realize este várias vezes e notará que da 2ª em diante a resposta é extremamente rápida pois esta esta em cache.
  
  
 
==Redirecionamento de DNS==
 
==Redirecionamento de DNS==
 +
 +
Redirecionamento forçado - (Mangle) - Não recomendado - Utiliza-se quando deseja FORÇAR a utilização do BrbOS **independente** qual DNS configurado na maquina do Cliente. Utilizou porta 53 é redirecionado de forma forçado para o BrbOS resolver.
  
 
É possível também, redirecionar as requisições de DNS para o Sistema sem necessidade de setar o IP do mesmo nos Profiles do PPPoE ou em IP > DNS.
 
É possível também, redirecionar as requisições de DNS para o Sistema sem necessidade de setar o IP do mesmo nos Profiles do PPPoE ou em IP > DNS.
Linha 87: Linha 112:
  
 
===MARK ROUTE===
 
===MARK ROUTE===
 +
  
 
Para redirecionar o tráfego com Mark-Route acesse "IP > Firewall > Mangle" no Mikrotik
 
Para redirecionar o tráfego com Mark-Route acesse "IP > Firewall > Mangle" no Mikrotik
Linha 100: Linha 126:
  
  
===DST-NAT===
+
=Video=
  
Para redirecionar o tráfego com DST-NAT acesse "IP > Firewall > NAT" no Mikrotik
+
<div class="video-container">
 +
{{#ev:youtube|https://youtu.be/ng50fmDNoeU}}
 +
</div>
  
'''Regras:'''
+
[[Category:Manual]]
/ip firewall nat
+
[[Category:BrbOS|Manual]]
add action=dst-nat chain=dstnat dst-address=!10.10.10.2 dst-port=53 protocol=udp \
 
    src-address-list=CLIENTES_DNS to-addresses=10.10.10.2 to-ports=53
 
  
'''Atenção: ''' Se existir alguma regra de mascaramento essa regra deverá ficar abaixo da mesma, pois se ficar acima não funcionará corretamente.
+
[[Category:DNS]]
 
 
'''Clique no botão ([[Arquivo:MikrotikBotaoAdd.png|link=]]) para adicionar uma nova regra.'''
 
 
 
*'''Aba General:'''
 
**'''Chain:''' dstnat
 
**'''Dst. Address: '''! 10.10.10.2 (devemos negar o IP do Sistema).
 
**'''Protocol:''' udp
 
**'''Dst. Port:''' 53
 
 
 
*'''Aba Advanced:'''
 
**'''Src. Address List: '''CLIENTES_DNS
 
 
 
*'''Aba Action:'''
 
**'''Action: '''dst-nat
 
**'''To Address: '''10.10.10.2 (IP do Sistema)
 
**'''To Ports: '''53
 
  
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatFBRS.png|link=]]</div>
 
 
*Ao término das configurações clique em OK.
 
 
'''Regras:'''
 
/ip firewall nat
 
add action=dst-nat chain=dstnat dst-address=!10.10.10.2 dst-port=53 protocol=udp \
 
    src-address-list=CLIENTES_DNS to-addresses=10.10.10.2 to-ports=53
 
 
 
[[Category:BrbOS]]
 
[[Category:Manual]]
 
[[Category:DNS]]
 
 
__NOEDITSECTION__
 
__NOEDITSECTION__

Edição atual tal como às 11h29min de 28 de novembro de 2019

O servidor de DNS recursivo é responsável por procurar os endereços IPs de servidor que você solicitou acesso. Exemplo o DNS que esta configurado na sua máquina, o endereço IP de DNS da sua operadora, 8.8.8.8 da google, etc. Com o BrbOS, é possível montar um servidor de DNS dentro da sua rede, ficando muito mais perto dos seus clientes, e diminuindo consideravelmente o tempo das requisições.

Neste tópico, iremos demonstrar como implementar um servidor DNS Recursivo, usando o BrbOS em sua rede, e também como configura-lo junto ao Mikrotik.

Tendo em vista que o Sistema já esteja instalado na sua rede, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor, siga o manual no link: http://brbos.brbyte.com/about/install


Configuração no Sistema

Primeiro, é necessário autorizar o range de IP dos seus clientes, para que eles possam estar autorizados a consultar o servidor.

Abra o aplicativo de (DNS -> ACL)

Por padrão o BrbOS já vem com as seguintes faixas pré-configuradas:

   * 10.0.0.0/8
   * 172.16.0.0/12
   * 192.168.0.0/16


ATENÇÃO: Caso o mascaramento de seus clientes esteja ocorrendo "atrás" da RB a qual o servidor esta instalado, ou seja, os pacotes de seus usuários já chegam com IP "alterado" pelo mascaramento, sendo assim será necessário CADASTRAR o range de IP que esta utilizando no(s) mascaramento(s)

Todas estão como ALLOW, portanto essas ranges já estão liberadas para usar o DNS Recursivo.

Para liberar outra range de IP:

1. clique no botão de novo (Speedr-Btn-new.png).

2. Insira o bloco de IP em formato CIDR e selecione a Ação ALLOW.

FreeBRS-Exemplo-ACL01.png

3. Clique em salvar (Speedr-Btn-salvar.png).


Observação: Para negar o acesso de uma determinada faixa de IP selecione a Ação: DENY ou REFUSE.

Através do App Visão Geral (Icon48dashboard.png) é possível acompanhar as requisições no servidor.

  • Feito as configurações descritas acima, sete o IP do sistema como o DNS de sua rede.


Configuração no Mikrotik

IP > DNS

Determinar o DNS do MK com o IP do BrbOS - (IP -> DNS) - Quando o usuário configura seu computador para o DNS primário o IP do MK http://prntscr.com/jpl7z7

Aqui vamos setar o IP do Sistema como DNS Primário, no secundário poderá configurar um DNS de sua preferencia.

  • Servers: 10.10.10.2 (IP do Sistema)
MikrotikIpDnsFBRS.png
  • Ao término das configurações clique em OK.


Observação: No Hotspot os clientes sempre vão utilizar o DNS configurado em IP/DNS, como foi demonstrado na configuração acima.


PPP > Profiles

Fornecer o DNS via PPPoE Server - (PPP -> Profiles -> DNS) - Quando as configurações do cliente encontra-se em automático, ao autenticar via PPPoE o servidor de autenticação alem do IP para este cliente navegar, também fornece o IP do servidor DNS a ser utilizado. http://prntscr.com/jpl97n

Nos profiles dos clientes também utilizaremos o IP do Sistema como DNS primário, o secundário use um DNS de sua preferencia.

  • Aba General:
  • DNS Servers: 10.10.10.2 (IP do Sistema)
MikrotikPPP-ProfilesFBRS.png
  • Ao término das configurações clique em OK.

OBS. Ao realizar a mudança do PPPoE server, os clientes que já estão conectados permanecerão com o DNS antigo, pois já foram autenticados, para receber as novas configurações o usuário deve conectar novamente e receber as novas configurações do PPPoE server, ou seja, deve derrubar os clientes aos poucos, claro realize antes o teste da sessão abaixo.

Teste DNS Linux e Windows

Para realizar teste, em outra máquina podemos realizar as consultas de teste utilizando o IP do BrbOS como servidor de resolução.

  • Em sistemas LINUX OU UNIX utilize o comando "host <domínio> <IP servidor DNS>"
  • No Window o "nslookup <domínio> <IP servidor DNS>"


- EXEMPLO de consulta do domínio "www.uol.com.br", usando o BrbOS no IP 177.52.72.3 como servidor e um Windows como cliente, ou seja, o NSLOOKUP o comando é:

   C:\Users\Paulo>nslookup www.uol.com.br 177.52.72.3

A primeira vez o servidor não terá este domínio em cache, dando MISS utilize a seta para cima e enter para repetir o comando, realize este várias vezes e notará que da 2ª em diante a resposta é extremamente rápida pois esta esta em cache.


Redirecionamento de DNS

Redirecionamento forçado - (Mangle) - Não recomendado - Utiliza-se quando deseja FORÇAR a utilização do BrbOS **independente** qual DNS configurado na maquina do Cliente. Utilizou porta 53 é redirecionado de forma forçado para o BrbOS resolver.

É possível também, redirecionar as requisições de DNS para o Sistema sem necessidade de setar o IP do mesmo nos Profiles do PPPoE ou em IP > DNS.

Address Lists

Primeiramente é necessário cadastrar a lista de endereços que irão ser interceptados, acesse IP > Firewall > Address List

Clique no botão (MikrotikBotaoAdd.png) para adicionar uma nova regra.

  • Name: CLIENTES_DNS
  • Address: 192.168.0.0/24 (range de IP que será redirecionada para o Sistema)
MikrotikIpFirewallAddressListFBRS.png
  • Ao término das configurações clique em OK.

Regras:

/ip firewall address-list
add address=192.168.0.0/24 list=CLIENTES_DNS

MARK ROUTE

Para redirecionar o tráfego com Mark-Route acesse "IP > Firewall > Mangle" no Mikrotik

Regras:
   /ip firewall mangle
   add action=mark-routing chain=prerouting dst-address=!10.10.10.2 \
       dst-address-list=!Clientes_DNS dst-port=53 new-routing-mark=DNS_REDIRECT \
       passthrough=no protocol=udp src-address-list=CLIENTES_DNS
   /ip route
   add distance=1 gateway=10.10.10.2 routing-mark=DNS_REDIRECT


Video