В логах беты версии 6.47 увидел что есть изменения в работе DNS сервера на MikroTik.

Vasilev Kirill MikroTik

Ну что-же интересно, необходимо проверить, работу и посмотреть что к чему.

Решил не использовать GNS, а взял с полки специально для тестов HAP ac2 и естественно обновил на последнюю beta версию.

IP адрес маршрутизатора с бета версией 172.20.17.100

Vasilev Kirill MikroTik

Естественно по наитию пошли смотреть в /ip dns static

Vasilev Kirill MikroTik

И видим нововведения, ну что же надо разобраться и проверить.

Не только A но и другие типы записей.

Раньше нем было доступно только A и AAAA записи для IPv4 и соответственно IPv6, как видим сейчас стало значительно больше.

Ну что-же давайте проверим все эти записи.

Проверять мы будет работу с помощью nsloopkup.

CNAME

Тип ссылки, когда мы говорим, что для данной записи ищи значение в другой записи.

/ip dns static> 
add type=CNAME name=test.mikrotik.me cname=blabla.mikrotik.me 

Проверка.

kirillvasilev@MacBook-Pro-Kirill ~ % nslookup -type=cname test.mikrotik.me 172.20.17.100 
Server:     172.20.17.100
Address:    172.20.17.100#53

Non-authoritative answer:
test.mikrotik.me    canonical name = blabla.mikrotik.me.

Работает!!!

MX

Записи MX необходимы для корректной работы, а точнее поиска сервера для получения почты по протоколу SMTP.

Создадим две записи для вымышленного домена, с разными весами.

[admin@MT-Station-01] /ip dns static> 
add type=MX name=mail.com mx-exchange=1.1.1.1 mx-preference=10
add type=MX name=mail.com mx-exchange=2.2.2.2 mx-preference=20 

Проверка.

kirillvasilev@MacBook-Pro-Kirill ~ % nslookup -type=mx mail.com 172.20.17.100 
Server:     172.20.17.100
Address:    172.20.17.100#53

Non-authoritative answer:
mail.com    mail exchanger = 10 1.1.1.1.
mail.com    mail exchanger = 20 2.2.2.2.

Работает!!!

NS

Когда вам надо сообщить, что за конкретное доменное имя отвечает другой сервер, вы должны использовать запись типа NS.

/ip dns static> 
add type=NS ns=1.1.1.1 name=mail.com 

Проверка.

kirillvasilev@MacBook-Pro-Kirill ~ % nslookup -type=ns mail.com 172.20.17.100 
Server:     172.20.17.100
Address:    172.20.17.100#53

Non-authoritative answer:
mail.com    nameserver = 1.1.1.1.

Работает!!!

TXT

Вы можете сохранять произвольное значение, частно используется для того чтобы проходить валидация SPF для перечисления записей разрешённых хостов для отправки почты. Также при использовании DKIM подписи.

И ещё мы написали программку knockme которая также может использовать TXT для получения параметров knock-a.

/ip dns static> 
add type=TXT text="MikroTik.Me this Me" name=mail.com 

Проверка.

kirillvasilev@MacBook-Pro-Kirill ~ % nslookup -type=TXT  mail.com 172.20.17.100 
Server:     172.20.17.100
Address:    172.20.17.100#53

Non-authoritative answer:
mail.com    text = "MikroTik.Me this Me"

Работает!!!

SRV

Многие сервисы могут использовать для автоматического получения списка серверов например SIP, XMPP, LDAP и прочее.

/ip dns static> 
add type=SRV srv-port=5060 srv-target=sip.mikrotik.me srv-weight=50 srv-priority=10 name=mail.ru

Проверка.

kirillvasilev@MacBook-Pro-Kirill ~ % nslookup -type=SRV  mail.ru 172.20.17.100 
Server:     172.20.17.100
Address:    172.20.17.100#53

Non-authoritative answer:
mail.ru service = 10 50 5060 sip.mikrotik.me.

Работает!!!

Ну что же вроде всё работает.

И самая долгожданная штука это так называемый SPLIT DNS.

MikroTik Split DNS

Для начало, для чего он нужен.

Данный режим ещё называется forward zone

Представим себе ваш MikroTik выступает в роли маршрутизатора удалённого филиала. На нём поднимается VPN до центрального филиала прописываются маршруты и прочее. У вас доменная авторизация все компьютеры в домене, естественно хорошей практикой на компьютерах прописать DNS сервера который обслуживают Active Directory службы. Но в таком случае если туннель по какой-то причине упадёт ваш филиал останется без интернета, а ведь интернета может не быть в центральном филиале. Да перестанут работать различные шары и прочее, конечно для этих целей существует как минимум RODC, но навсегда есть возможность установить подобный сервис в филиале ввиду множества различных проблем.

Представим что наш dns suffix равен mycom.loc

Соответственно, а что если мы на компьютерах припишем DNS сервер адрес MikroTik, а на MikroTik укажем, что если запрос содержит mycom.loc то перенаправлять такие запросы на сервера DNS AD, а все остальные запросы перенаправлять допустим на 8.8.8.8.

Установим на MikroTik сервер DNS 8.8.8.8

/ip dns set servers=8.8.8.8

и настроим forwarding зоны

/ip dns static> add type=FWD forward-to=10.11.254.251 regexp=".*mycom\\.loc"

Обратите внимания что мы используем регулярное вырожение.

Давайте проверим. Я решил взять реальный прод, поэтому DNS суффикс скрыл, не переживайте всё по подобию.

И так в скриншотах, с замазанным суффиксом.

Vasilev Kirill MikroTik

Проверка.

Vasilev Kirill MikroTik

И немного логов.

Vasilev Kirill MikroTik

Работает!!!

Настоятельно рекомендую пока данный функционал не использовать в проде, так как это всё ещё бета версия.

Рассказать друзьям

Чатик телеграм

@mikrotikme