Dubbi su impostazioni DNS

[kimba]

Buongiorno,

Alla fine ho comprato un Mikrotik hAP ac², giusto per entrare nel mondo Mikrotik e fare pratica.
Ho visto le video guide suggerite in questo forum per i primi settaggi e letto qualche tutorial giusto per rompere il ghiaccio e iniziare a prendere confidenza con il dispositivo.

Questo tipo di router sembra abbastanza complesso rispetto a quelli casalinghi a cui ero abituato io, e ti costringe ad approfondire gli argomenti per ricavarci qualcosa di più rispetto a quello con i semplici settaggi iniziali.
Non sono riuscito a capire bene le impostazioni DNS.
Ho inserito gli Ip dei server DNS in "network" del DHCP server quando ho settato il dhcp, ma li ho inseriti pure in DNS setting.
Prima domanda; ma è proprio necessario indicarli in entrambe le tab?
Poi ho iniziato a fare delle prove. Ho ad esempio, tolto il segno di spunta ad "Allow remote request" per vedere cosa succedeva dato che in un videotutorial dicevano che bisogna spuntarlo per permettere ai client di navigare. Però io continuavo a navigare e ad aprire le pagine web.
Come mai? Sarà perchè che il Mikrotik è in cascata con il router l'ISP (su una subnet diferente) e i client prendono da li la risoluzione degli indirizzi? Potete aiutarmi a capire il funzionamento di questo strumento basilare?
Sto facendo comunque delle letture, ma alcune cose non mi sono chiare comunque. Questo Mikrotik sembra un po' ostico da comprendere.
Grazie

[ppraz]

Ciao,
Mettere i DNS nel tab IP->DNS serve a far navigare l'apparato stesso
Attenzione, l'apparato! Questo serve ad esempio per scaricare gli aggiornamenti, il Mikrotik si collega a una pagina del sito mikrotik.com e verifica la disponibilità, se non hai i DNS non può farlo.
Un metodo alternativo è mettere il MT dietro a un altro router che fa da DHCP-server e rilascia DNS corretti, il MT si configura come DHCP-client ed eredita i DNS dal router a monte
Quelli che invece metti in DHCP-server -> Network sono quelli assegnati ai client a valle del MT stesso.
Se li ometti il MT assegna ai client sè stesso come DNS primario
In questo caso devi abilitare "allow request" altrimenti i client interrogano lui ma non ottengono risposte

Mikrotik è ostica per chi non è già di suo smaliziato nelle reti
Per chi al contrario è un esperto offre possibilità che altri apparati non offrono neanche lontanamente.
Se rientri nella prima categoria apprezzo lo sforzo, ma dovrai sputare sangue
Se invece rientri nella seconda, prenditi un mese di tempo, fra un mese li amerai alla follia

Io lavoro con Mikrotik da 15 anni e mi hanno consentito di sviluppare reti geografiche complesse con un costo decisamente contenuto rispetto alla concorrenza

[kimba]

Ciao,
Mettere i DNS nel tab IP->DNS serve a far navigare l'apparato stesso
Attenzione, l'apparato! Questo serve ad esempio per scaricare gli aggiornamenti, il Mikrotik si collega a una pagina del sito mikrotik.com e verifica la disponibilità, se non hai i DNS non può farlo.
Un metodo alternativo è mettere il MT dietro a un altro router che fa da DHCP-server e rilascia DNS corretti, il MT si configura come DHCP-client ed eredita i DNS dal router a monte
Quelli che invece metti in DHCP-server -> Network sono quelli assegnati ai client a valle del MT stesso.
Se li ometti il MT assegna ai client sè stesso come DNS primario
In questo caso devi abilitare "allow request" altrimenti i client interrogano lui ma non ottengono risposte

Mikrotik è ostica per chi non è già di suo smaliziato nelle reti
Per chi al contrario è un esperto offre possibilità che altri apparati non offrono neanche lontanamente.
Se rientri nella prima categoria apprezzo lo sforzo, ma dovrai sputare sangue
Se invece rientri nella seconda, prenditi un mese di tempo, fra un mese li amerai alla follia

Io lavoro con Mikrotik da 15 anni e mi hanno consentito di sviluppare reti geografiche complesse con un costo decisamente contenuto rispetto alla concorrenza

appartengo purtroppo alla prima categoria e mi sto appassionando alla materia da pochissimo tempo.
Non penso che comunque sarò mai in grado di sviluppare grandi reti. Ne faccio un uso casalingo (magari quando e se avrò imparato qualcosa il massimo a cui posso aspirare è la configurazione di rete di un piccolo ufficio o piccola azienda, ma inteso sempre come indice di un livello di competenza non come lavoro effettivo; faccio altro), e non credo che diventerà mai il mio lavoro il networking.

Interessante la tua risposta,
Un paio di domande ancora.
Ho visto che la cache dns a me non si popola (lo fa solo quando pingo da terminale del Mikrotik a indirizzi siti esterni). Sarà perché nella scheda del dhcp server ho indicato come server DNS solo 1.1.1.1 e 8.8.8.8.
In pratica per far risolvere gli indirizzi allo stesso Mikrotik avrei dovuto mettere anche l'IP locale del Mikrotik insieme a quelli pubblici (tipo 192.168.2.1)?

Quando avevo il dd-wrt indicavo come server-dns l'indirizzo IP locale di PI-hole installato in VMware Workstation come macchina virtuale (in realtà un docker di Openmediavault) che con i suoi filtri mi bloccava ads e tanto altro.
Per ottenere lo stesso risultato devo inserire il suo IP (192.168.2.77) nel dhcp-server al primo posto?
Devo abilitare anche qualche regola del firewall?

Grazie tante

[ppraz]

Ho visto che la cache dns a me non si popola (lo fa solo quando pingo da terminale del Mikrotik a indirizzi siti esterni). Sarà perché nella scheda del dhcp server ho indicato come server DNS solo 1.1.1.1 e 8.8.8.8.

Esattamente

In pratica per far risolvere gli indirizzi allo stesso Mikrotik avrei dovuto mettere anche l'IP locale del Mikrotik insieme a quelli pubblici (tipo 192.168.2.1)?

Corretto anche questo

Quando avevo il dd-wrt indicavo come server-dns l'indirizzo IP locale di PI-hole installato in VMware Workstation come macchina virtuale (in realtà un docker di Openmediavault) che con i suoi filtri mi bloccava ads e tanto altro.
Per ottenere lo stesso risultato devo inserire il suo IP (192.168.2.77) nel dhcp-server al primo posto?

Esatto, i client di rete recepiscono quello che gli dice il DHCP-server del Mikrotik, quindi il DNS puoi imporlo come vuoi. Puoi anche usare una alternativa gratuita che sono i DNS di OpenDNS, che filtrano i contenuti inadatti alle famiglie

Devo abilitare anche qualche regola del firewall?

Non è strettamente necessario, se il MT sta dietro un router del fornitore e non ha IP pubblico direttamente assegnato puoi anche evitare di usare regole di Firewall, in caso contrario sì, DEVI, purtroppo MT soffre di vulnerabilità abbastanza spesso, che vengono puntualmente corrette, ma per un certo periodo ti espongono a rischi che è meglio non correre. Altra cosa da valutare se sei su IP pubblico è il TAB System -> Services, correggili mettendo delle access-list

[kimba]

.....
Corretto anche questo

Ok sto imparando già un sacco di cose. Questi feedback sono oro colato. Grazie!!

Non è strettamente necessario, se il MT sta dietro un router del fornitore e non ha IP pubblico direttamente assegnato puoi anche evitare di usare regole di Firewall

In realtà sono addirittura sotto doppio NAT il router non è mio. Il mio Mikrotik è collegato al router ISP di un mio amico che mi concede gentilmente il collegamento finché non avrò una connessione tutta mia altrove. Il mikrotik mi permette anche di tenere separate le due LAN. Comunque anche se il firewall non fosse necessario lo utilizzo giusto per sperimentare ed imparare come ho detto prima.

Altra cosa da valutare se sei su IP pubblico è il TAB System -> Services, correggili mettendo delle access-list

Questa non l'ho capita. Non trovo services in system comunque.

Un'altra cosa ho provato a deviare le richieste DNS a PIHOLE che ho su Vm come già facevo con il DD-WRT.
Ho quindi impostato l'indirizzo IP interno di pihole. Funziona fino a quando non abilito due regole di firewall che teoricamente dovrebbero impedire agli utenti della rete di eludere pihole, ma appena le attivo non navigo più anche se pihole continua a ricevere le richieste e a filtrare e processare i contenuti: me ne accorgo perché l'indice delle connessioni permesse e bloccate aumenta nella dashboard.
In poche parole i client della rete non ricevono la risoluzione degli indirizzo... qualcosa del genere.

Queste le due regole firewall sono tipo:

Codice: Seleziona tutto

/ip firewall nat
add action=dst-nat chain=dstnat comment="redirect to pihole" dst-port=53 protocol=udp src-address=192.168.3.0/24 to-addresses=192.168.3.66 to-ports=53
add action=dst-nat chain=dstnat comment="redirect to pihole" dst-port=53 protocol=tcp src-address=192.168.3.0/24 to-addresses=192.168.3.66 to-ports=53



Faccio delle prove con nslookup in windows 10:

Se abilito le due regole sopra nel firewall:

Codice: Seleziona tutto

C:\>nslookup bbc.co.uk
Server: pinet
Address: 192.168.3.66

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.


Se le disabilito:

Codice: Seleziona tutto

C:\>nslookup bbc.co.uk
Server: pinet
Address: 192.168.3.66

Non authoritative answer:

Name: bbc.co.uk
Addresses: 2a04:4e42:600::81
2a04:4e42::81
2a04:4e42:200::81
2a04:4e42:400::81

151.101.64.81
151.101.0.81
151.101.192.81
151.101.128.81


Come mai? Non riesco a risolvere.
Grazie infinite

[ppraz]

Altra cosa da valutare se sei su IP pubblico è il TAB System -> Services, correggili mettendo delle access-list

Questa non l'ho capita. Non trovo services in system comunque.

Scusa, ho sbagliato, IP -> Service

Codice: Seleziona tutto

/ip firewall nat
add action=dst-nat chain=dstnat comment="redirect to pihole" dst-port=53 protocol=udp src-address=192.168.3.0/24 to-addresses=192.168.3.66 to-ports=53
add action=dst-nat chain=dstnat comment="redirect to pihole" dst-port=53 protocol=tcp src-address=192.168.3.0/24 to-addresses=192.168.3.66 to-ports=53


No, non possono funzionare, la sottorete 192.168.3.0/24 è la stessa in cui sta 192.168.3.66
Quindi non può andare, non puoi fare redirect di un pacchetto uscente verso LAN
Puoi semplicemente droppare con una regola metta in IP->Firewall->Filter che scarta i pacchetti provenienti dall'interno e diretti a porta 53

[kimba]

Scusa, ho sbagliato, IP -> Service

C'è Ip service list in Services. Qui avevo già disabilitato il servizio "www", "telnet" e "ftp", mi ero accorto che si poteva entare nel webfig di Mikrotik. In ogni caso non saprei come inserire queste access-list.
Forse mi sfugge qualcosa

Codice: Seleziona tutto

/ip firewall nat
add action=dst-nat chain=dstnat comment="redirect to pihole" dst-port=53 protocol=udp src-address=192.168.3.0/24 to-addresses=192.168.3.66 to-ports=53
add action=dst-nat chain=dstnat comment="redirect to pihole" dst-port=53 protocol=tcp src-address=192.168.3.0/24 to-addresses=192.168.3.66 to-ports=53


No, non possono funzionare, la sottorete 192.168.3.0/24 è la stessa in cui sta 192.168.3.66
Quindi non può andare, non puoi fare redirect di un pacchetto uscente verso LAN
Puoi semplicemente droppare con una regola metta in IP->Firewall->Filter che scarta i pacchetti provenienti dall'interno e diretti a porta 53

Ah, quindi non si può fare NAT su rete interna se ho capito bene.
Ma se li scarto poi quei client che provano ad usare un server dns diverso non navigano più, Giusto?
E magari nemmeno sanno perché.
Vorrei invece che ad ogni modo venissero reindirizzati verso il server dns impostato da me...ammesso che sia possibile. Spero di essere chiaro.
Grazie infinite. Passo dopo passo mi sto sempre di più appassionando. All'inizio è un po' frustrante perché si capisce poco.

[ppraz]

C'è Ip service list in Services. Qui avevo già disabilitato il servizio "www", "telnet" e "ftp", mi ero accorto che si poteva entare nel webfig di Mikrotik. In ogni caso non saprei come inserire queste access-list.
Forse mi sfugge qualcosa

Puoi disabilitare il singolo servizio, oppure se ci clicchi puoi configurare il campo "Available from:" e mettere la lista di classi IP da cui consentire l'accesso

Ah, quindi non si può fare NAT su rete interna se ho capito bene.
Ma se li scarto poi quei client che provano ad usare un server dns diverso non navigano più, Giusto?
E magari nemmeno sanno perché.
Vorrei invece che ad ogni modo venissero reindirizzati verso il server dns impostato da me...ammesso che sia possibile. Spero di essere chiaro.
Grazie infinite. Passo dopo passo mi sto sempre di più appassionando. All'inizio è un po' frustrante perché si capisce poco.

Se hai necessità di fare redirect allora devi mettere il server PIHOLE in una subnet diversa dalla LAN cosicché per raggiungerlo gli host della LAN abbiano bisogno del MT come gateway, lì puoi impostare le redirect

[kimba]

Puoi disabilitare il singolo servizio, oppure se ci clicchi puoi configurare il campo "Available from:" e mettere la lista di classi IP da cui consentire l'accesso

Capito, Grazie!

Se hai necessità di fare redirect allora devi mettere il server PIHOLE in una subnet diversa dalla LAN cosicché per raggiungerlo gli host della LAN abbiano bisogno del MT come gateway, lì puoi impostare le redirect

In questo caso allora le regole NAT di cui sopra sarebbero valide cambiando l'IP ovviamente?

[ppraz]

Esatto, in quel caso la NAT redirect ha senso