como transformar rb mikrotik em servidor de DNS recursivo

[edimarsilva8]

Quem puder me ajudar agradeço.

[andrecarlim]

Quem puder me ajudar agradeço.

Pra que? Pra ter dor de cabeça? Use um servidor Linux com Bind.

Enviado via XT1580 usando UnderLinux App

[UlissesCampos]

https://wiki.openwrt.org/toh/mikrotik/common

depois do linux instalado e voce procura outro tutorial de dns.

esta rb tem entrada pra ssd https://mikrotik.com/product/RB1100Dx4

[csjuniormga]

Utilizar uma rb para fazer isto é arranjar para cabeça. mas se vc quer ter dor de cabeça, utilize o esquema acima, já vi rodar e funcionar, mas achamos instável. No final a melhor solução foi ter uma maquina relativamente confiável, rodando um vmware server com varias VMs atendendo os diferentes serviços que o provedor necessitava.

[csjuniormga]

Ninguém disse que não dá! É possível sim, mas a pergunta é: vale a pena?
Eu particularmente não utilizaria. Eu prefiro utilizar pro exemplo VMs ou até mesmo uma raspberrypi para fazer este tipo de coisa, do que ficar fazendo gambiarra em cima de mk.

[andrecarlim]

Pra que? Pra ter dor de cabeça? Use um servidor Linux com Bind.

Enviado via XT1580 usando UnderLinux App

Eu mesmo vou me responder! (É o cúmulo!), mas vamos lá. Quando eu disse isso eu estava pensando apenas na hipótese do uso em serviços providos por um ISP. Claro que em uma pequena rede que não precisa de serviços como autoritativo/reverso não faz sentido ter um poderoso servidor gastando energia. Claro tomadas as devidas precauções, como por exemplo não deixar o recursivo acessível pela rede externa, proteger até mesmo das redes internas com o firewall e etc. Claro que tem soluções mais "elegantes" mas sim fica prático. E em ISP, realmente, não concordo, e acho que tem que ter o mínimo de estrutura, caso contrário vá achar outra coisa pra fazer e pare de incomodar!

[fhayashi]

RouterOS faz recursivo? Acho que só faz cache de forward.

[csjuniormga]

O RouterOS não faz recursivo.
Para que o hardware da mikrotik faça isto, é necessário instalar um outro software. Exemplo:
https://wiki.openwrt.org/toh/mikrotik/common

[andrecarlim]

é não faz mesmo, isso aqui é a definição mais clara de um DNS recursivo... https://en.m.wikipedia.org/wiki/Publ...ve_name_server

[csjuniormga]

sim. o routeros faz o cache forward somente. Isto é, ele recebe requisições e consulta um servidor dns externo para fazer a resolução.
tambem permite cadastrar sites para respostas nas tabelas internas dele. Mas isto não é ideal, e utilizamos isto somente para cadastrar as estações internas da rede, via script que pega o nome no dhcp server.
caso queira um dns recursivo ou autoritativo, é necessário instalar outro software na routerboard. Neste caso recomendo nem fazer isto na routerboard e dependendo da rede e utilização, fazer isto em uma raspberry pi que fica melhor.

[fhayashi]

Pois é, aqui eu tinha 2 vms rodando unbound. Como fiquei com uma Edgerouter parada, subi um unbound nela e desliguei uma das VMs. Roda redondo na Edgerouter

[andrecarlim]

Então qual o funcionamento de um DNS recursivo?

[csjuniormga]

O dns recursivo responde solicitações aos computadores baseado em consultas aos root servers.
De uma forma didática, não muito técnica e a grosso modo, os roots servers são servidores de dns na internet, geralmente fixos, e que respondem consultas base para iniciar uma consulta no dns. Um exemplo seria a resolução (nome para o ip) de:

www.teste.com.br

1. A consulta no dns, começa com quem é responsavel pelo dominio .br (ip1
2. Ai vai no ip1 e pergutna quem é responsavel por: .com.br (ip2)
3. Vai no ip2 e pergunta, quem é responsavel por .teste.com.br (ip3)
4. E finalmente via no ip3 e pergunta quem é o www.teste.com.br (ip4)

Observe a quantidade de consultas que um recursivo faz. A vantagem é que ele mantem estas consultas em cache, e isto é bom pois aumenta em muito a velocidade de resolução e consequentemente a diminui a quantidade de trafego e aumenta a velocidade de resposta de acessos aos sites que são populares.

Observe que o servidor recursivo tem que ser bem configurado, para responder somente aos teus IPs e principalmente garantir que não foi comprometido e que não esta sendo utilizado por pessoas com mal intenção para gerar trafego (dos) em outras maquinas, pois tem versões dos populares servidores que tem falhas no software, falhas que não acontecem com os softwares mais atuais e tambem que estejam atraz de um bom firewall.

[andrecarlim]

Ótima explicação! Parabéns!