Fórum Root.cz
Hlavní témata => Server => Téma založeno: skrzjdouci 06. 07. 2016, 12:01:43
-
Zdravím, řeším nasazení domény Active Directory WS2012R2 v malé síti - 20PC.
Narazil jsem na problém, jestli umístit DNS a DHCP na server nebo na router? Router je RB951G-2HnD.
DNS a DHCP na Win serveru:
+ vše bude na jednom místě
+ jednodušší správa a konfigurace AD na serveru (našel jsem spoustu návodů)
+ když padne router, doména zůstane funkční - PC v LAN se mohou stále přihlašovat do domény na serveru a pracovat se sdílenými složkami
- problém bude asi v licencování: 20PC se přihlašuje do domény - mají device CAL, na wifi se občas připojují mobily - jen pro přístup na internet, ale když ip přidělí server a primární DNS bude ukazovat na server, tak bych měl mít CAL i pro tyto zařízení?
- když padne server, na PC v LAN nepojede ani internet
DNS a DHCP na routeru mikrotik:
+ odpadá problém s CAL pro mobily co jdou jen na internet
+ když padne server, na PC v LAN půjde alespoň internet
- když padne router, přestane fungovat doména? - PC v LAN se nebudou moct přihlašovat do domény na serveru?
- Jak se budou přenášet názvy PC z AD do DNS záznamů na mikrotiku?
- Jak nastavím DNS na mikrotiku? Nedaří se mi nic vygooglit, spíš nevím co přesně hledat.
Kterou variantu zvolit? Nebo alespoň podle čeho se primárně rozhodnout?
-
Neriesil som mikrotik ale nejaky 4x WAN tplink (lebo to musel vediet managovat aj blbec), DHCP na Tplinku, primarny DNS na radici, sekundarny dns na Tplinku. Ked bol server nedostupny, tak aj tak siet fungovala dalej.
Ked ti klakne mikrotik (DHCP), vies ho nahradit cimkolvek inym, co vie DHCP (prva krabicka z obchodu za 20 eur).
Alebo si tam skonfiguruj 2 (mikrotiky, ak je na to rozpocet), do jedneho len nasypes aktualny konfig, a za par minut ficis ...
-
Pozeram, ze som ti na vsetko neodpovedal.
Nech je router 192.168.1.1, server 192.168.1.10, a stanice od 192.168.1.100 vyssie.
Router bude poskytovat DHCP s primarnym DNS 192.168.1.10 a sekundarnym 192.168.1.1.
Server bude poskytovat DNS sam sebe (127.0.0.1, to s tebou wizard prejde).
Stanica bude vyzerat:
ip:192.168.1.100
mask: 255.255.255.0
gat: 192.168.1.1
dns1: 192.168.1.10
dns2: 192.168.1.1
Ked server zhodis, stanice sa samozrejme nedostanu k sietovym zdrojom (na serveri), ale do domeny sa "lognu" (nakesovane credentials), a net pojde normalne ...
Podla velkosti siete vies nefunkcne DHCP obist nudzovo aj rucne (staticky), aj ked to v danej chvili bude ten mensi problem (aj tak musis nejako ist na net, takze ked rozbehnes krabicku, zvycajne ti poskytne sj sluzby DHCP).
-
Opravdu tam potřebuješ AD?
Pokud ano, opravdu musí běžet na Windows? Nestačila by Samba 4.x?
Pokud by nestačila, opravdu budeš onanovat s přenosem DNS zón z AD na ten DNS server na Mikrotiku - a jde to vůbec - nebo to tam nedejbože datlovat ručně? (Ne, opravdu tam nestačí napráskat hostnames, to nebude ta AD vůbec fungovat, ani se nepřipojíš do té domény.)
Ty PC budou mít fixní IP natvrdo nastavené na každém počítači? Pokud ne, jinak budeš opět onanovat s registrací DNS záznamů z DHCP na Mikrotiku do AD na Windows Serveru - a jde to vůbec?
P.S. Mít jeden domain controller je taky dobrá sebevražda.
-
DNS rozhodně na tom AD (ať už to bud eWindows nebo Linux/Samba). DHCP je celkem jedno, používám RBčka. DNS v Mikrotiku se použitelný jako resolver, ale ne DNS server, nejde do toho zadat potřebné záznamy.
-
DNS rozhodně na tom AD (ať už to bud eWindows nebo Linux/Samba). DHCP je celkem jedno, používám RBčka. DNS v Mikrotiku se použitelný jako resolver, ale ne DNS server, nejde do toho zadat potřebné záznamy.
Souhlas. A pro wifi klienty "na internet" udelat vlastni (guest) VLAN s DHCP i DNS na RB.
-
DHCP servery muzou byt na siti s klidem 2 i vic, staci, aby se jim nekprekryvaly pooly. Stanic si vezmou adresu z jednoho ci druheho, podle toho, kdo drive odpovi. Kdyz jeden lehne, prevezme to druhy DHCP server. Otazka je, jestli Mikrotik umi nastavit jako DNS server neco jineho, nez sebe sama. Treba sestakove routery to obvykle neumi.
-
Ano, DHCP v Mikrotiku může nastavit libovolné parametry (dneska i různé parametry pro různé klienty), takže může DNS servery a další parametry odkazovat na to AD. Podporuje i opožděné DHCP, kdy pak mohu mít puštěné DHCP na tom AD i Mikrotiku a teprve když DHCP na AD nebude odpovídat, tak odpoví na DHCP ten Mikrotik (opoždění o 2 nebo 10 sekund, případně skriptová kontrola funkčnosti DHCP na AD a aktivace DHCP v Mikrotiku až když AD opravdu je tuhé).
-
Zdravím, řeším nasazení domény Active Directory WS2012R2 v malé síti - 20PC.
Narazil jsem na problém, jestli umístit DNS a DHCP na server nebo na router? Router je RB951G-2HnD.
1) podle mne ti AD bez vlastního DHCP nebude fungovat
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ
Já bych to nechal vše na jednom serveru. Dle mé letité zkušenosti je to v tomto případě mnohem lepší.
-
1) podle mne ti AD bez vlastního DHCP nebude fungovat
Pardon, oprava:
1) podle mne ti AD bez vlastního DNS nebude fungovat
-
1) podle mne ti AD bez vlastního DNS nebude fungovat
Provozovat AD řadič tak, aby zároveň nedělal i DNS pro klienty je naprosto funkční a provozuji v řadě míst. Jenom je nutno do aktivního DNS stromu vložit patřičné (převážně SRV) záznamy pro danou doménu a každý doménový řadič. Pak to jede přesně jak má.
V případě použití Mikrotiku jako DNS serveru jdou vkládat jen A/AAA/PTR záznamy, tím pádem nejde takto rozumně použít.
-
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ
To bych radši moc nerozebíral, MS už totiž zjevně mrdá na majáku (http://blogs.technet.com/b/volume-licensing/archive/2014/03/10/licensing-how-to-when-do-i-need-a-client-access-license-cal.aspx)...
Q2 – If I have guests that come into my office an temporarily use a Windows DHCP server to grab an IP address to access the Internet, do they need CALs? I guess the takeaway is to never use a Windows DHCP server?
A2 – Yes, they are using a Windows Server service and would need a CAL.
-
Moc děkuji za odpovědi.
Tohle je mi už jasné:
Primární DNS server vytvořit na serveru s active directory. Na mikrotiku DNS resolver do internetu.
DHCP na mikrotiku, nastavení jak popsal Medo
Opravdu tam potřebuješ AD?
Pokud ano, opravdu musí běžet na Windows?
Ty PC budou mít fixní IP natvrdo nastavené na každém počítači? Pokud ne, jinak budeš opět onanovat s registrací DNS záznamů z DHCP na Mikrotiku do AD na Windows Serveru - a jde to vůbec?
AD, winserver - oboje je potřeba.
PC budou mít IP přidělené DHCP serverem. Dál tomu nerozumím, podle mě to bude fungovat tak, že se do AD bude hlásit stanice s IP adresou, kterou přidělil mikrotik, pokud bude jiná oproti předchozímu přihlášení, tak si DNS server pro jméno tohoto PC sám aktualizuje záznam, nějaké ruční přenášení z DHCP mikrotiku do DNS winserveru snad není potřeba - jestli se pletu, tak mě opravte.
DNS rozhodně na tom AD (ať už to bud eWindows nebo Linux/Samba). DHCP je celkem jedno, používám RBčka. DNS v Mikrotiku se použitelný jako resolver, ale ne DNS server, nejde do toho zadat potřebné záznamy.
Souhlas. A pro wifi klienty "na internet" udelat vlastni (guest) VLAN s DHCP i DNS na RB.
S těmi wifi klienty je problém: Z těch 20PC s CAL licencemi jsou 2 notebooky, které se někdy připojují kabelem a někdy přes wifi. Tyto 2 NB by se pak nemohly přihlásit do AD.
Další problém je, že v síti je ještě jeden wifi tplink v režimu L2 - na ten se také připojují mobily "na internet".
Jak tohle pořešit?
DHCP na win serveru - nedostanu se do problémů s licencemi? V jiném vlákně na rootu jsem se dočetl, že pokud DHCP win serveru přidělí nějakému zařízení adresu už je to využití služby win serveru a na každé takové zařízení bych měl mít CAL licenci. (licence na pokrytí všech mobilů nemám) Nebo tohle prostě neřešit?
-
Mikrotik je velmi konfigurovatelná krabička. Můžete na ni vytvořit několik oddělených wifi sítí na jednom fyzickém rádiu (Virtual AP funkce), kde třeba wifi-firma bude síť, která je L2 bridgvoaná do LAN a vidí na AD (pro přípojení notebooků) a vedle toho wifi-guest, která je izolovaný segment s jinými IPčky a vlastním DHCP serverem, který se routuje pouze do Internetu (do LAN nebude mít vůbec přístup) a bude jako DNS používat nějaký resolver ISPíka. TPlink bych někomu daroval a pořídil druhou malou Mikrotik krabičku, která se nastaví podobně na víc oddělených wifi sítí a použiju ji i jako sekudnární DHCP server pro LAN.
Že bych měl mít CAL licenci i při použití DHCP je uvedeno i o pár příspěvků výše, a to včetně odkazu na MS FAQ, od Lol Phirae.
-
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ
To bych radši moc nerozebíral, MS už totiž zjevně mrdá na majáku (http://blogs.technet.com/b/volume-licensing/archive/2014/03/10/licensing-how-to-when-do-i-need-a-client-access-license-cal.aspx)...
Q2 – If I have guests that come into my office an temporarily use a Windows DHCP server to grab an IP address to access the Internet, do they need CALs? I guess the takeaway is to never use a Windows DHCP server?
A2 – Yes, they are using a Windows Server service and would need a CAL.
A kur*a... tak to je ale novinka, protože ještě relativně nedávno byly potřeba jen pro přístupy k doménovým službám a sdílení. No asi chlapci fakt chtějí, aby se přestalo používat i to málo, co z jejich výtvorů funguje spolehlivě.
-
zahlídl jsem definici pro CAL že platíš za využití infrastruktury.. takže by CAL rádi.. jinak to podle mě padá do tvz šedé zóny kde se to neřeší... navíc pokud máš CAL na uživatele tak je to zařízení uživatele co CAL má.. obejít to pro zaměstnance bez lze PC tak že uděláš další dhcp rozsah s přístupem jen do internetu.. stejně je nic jiného nezajímá, nakonfiguruješ ho na routeru
-
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ
Obavam se, ze potrebujes, alternativne potrebujes specielni licenci widli, na kterych zas nesmi bezet nic jinyho ... CAL potrebujes pro LIBOVOLNY zarizeni, ktery i ZPROSTREDKOVANE pouziva widle (priapadne pro uzivatele).
-
P.S. Mít jeden domain controller je taky dobrá sebevražda.
Má smysl udělat druhý domain controller v druhé virtuální mašině, která poběží na stejném HW serveru? Nebo je na to potřeba druhý HW server?
-
Má smysl udělat druhý domain controller v druhé virtuální mašině, která poběží na stejném HW serveru? Nebo je na to potřeba druhý HW server?
No, smysl to má snad v tom, že ten virtuál můžeš rychle zprovoznit jinde, pokud ho to budeš pravidelně zálohovat. Jako redundance to na jednom železe samozřejmě smysl nemá.
-
P.S. Mít jeden domain controller je taky dobrá sebevražda.
Má smysl udělat druhý domain controller v druhé virtuální mašině, která poběží na stejném HW serveru? Nebo je na to potřeba druhý HW server?
Mit dva je taky sebevrazda ... vyzkouseno osobne, neustale je neco rozjebany, protoze se to neumi udrzet syncly (na widlich pochopitelne).
-
Mit dva je taky sebevrazda ... vyzkouseno osobne, neustale je neco rozjebany, protoze se to neumi udrzet syncly (na widlich pochopitelne).
Nevim, jake pravdy MS hlasa dnes, ale v dobe NT a okolo doporucovali, aby na kazde siti byl jeden PDC a minimalne jeden BDC. Takze jestli se jim to nesynchronizuje, tak nevim, jak to ma clovek provozovat.
-
to zas jenom j ukazuje, jak nic neumi, funguje to v pohode.....
On mu tu někdo ještě zere ze necemu rozumi?
-
Snažím se to rozjet:
WIN Server: - AD řadič + DNS server
IP: 192.168.1.10
gw:192.168.1.1
DNS: 192.168.1.10
DNS2:192.168.1.1
Mikrotik: - DHCP server
IP: 192.168.1.1
DHCP stanicím přiděluje:
ip: 192.168.1.100 - 192.168.1.200
gw: 192.168.1.1
dns:192.168.1.10
dns2:192.168.1.1
Domain: ad.domain.cz
V IP/DNS je nastaveno:
Servers: 8.8.8.8
4.4.4.4
allow remote requests
Takto nastavené to nefunguje, ze stanice se nejde přihlásit do domény. Problém bude asi v tom, že záznamy z mikrotiku DHCP/Leases se nepřenášejí do DNS na winserveru.
Co je potřeba ještě nastavit aby to fungovalo?
-
Snažím se to rozjet:
DHCP stanicím přiděluje:
dns:192.168.1.10
dns2:192.168.1.1 --- tohle zruš
Protože Windows si vyberou DNS a pokud si vyberou Mikrotik, chybí na něm záznamy pro AD.
Prozkoumej DNS na AD a uvidíš speciální záznamy (LDAP/Kerberos) a ty na MK chybí.
Pokud nepojede AD, je zbytečné, aby DNS na ně vracel záznamy. A v malé síti ti jeden DNS pro Win uživatele stačí.
A pokud ne, pak použij jiný Win server jako záložní DNS s replikací (funguje to, ne že ne. Sám to používám).
A pro nedoménová zařízení (typicky mobily) udělej na Wifi vlastní rozsah (třeba 192.168.2.1/24), na něj rozjeď DHCP a tam dej DNS jen Mikrotiku.
Protože: Pokud se přihlašuje uživatel, co má na Win účet (a CAL) je jedno, kolik má zařízení. A uživatelé bez CALu (hosté ...) nepotřebují služby sítě Windows (ani to není žádoucí).
-
Díky, už to funguje!
Ještě mám otázku, jak doménu pojmenovat?
ad.domena.cz
domena.local
které je lepší? nebo je to jedno?
-
Na pojmenovavani veci nejsou na Rootu odbornici, s takovym dotazem musis na Hrad. Abych ti usetril cas, tak ti prozradim odpoved: domena se ma jmenovat bimbo.
-
Podle tohoto článku:
https://acbrownit.com/2013/04/15/active-directory-domain-naming-in-the-modern-age/
Je lepší varianta ad.domena.cz
Jenže když potom nebude server v LAN dostupný, tak to začne resolvovat z DNS poskytovatele na domena.cz - IP někde v internetu, z toho mám obavu aby s tím pak nebyly problémy.
-
Jenže když potom nebude server v LAN dostupný, tak to začne resolvovat z DNS poskytovatele na domena.cz - IP někde v internetu, z toho mám obavu aby s tím pak nebyly problémy.
Tak to snad ne, protoze kdyz nebude server dostupny, nebude dostupny ani DNS server, ktery bezi na temze zeleze. A kdyby snad hrozilo, ze muze lehnout server pouze castecne, pricemz DNS server by stale odpovidal, tak by tam snad sel nastavit staticky zaznam, aby se to nevyptavalo nekde venku.
-
domena.local
Doména .local je již obsazená pro mDNS.
-
Opravdu tam potřebuješ AD?
Pokud ano, opravdu musí běžet na Windows? Nestačila by Samba 4.x?
Chci letět na dovolenou letadlem ... opravdu by ti nestačil karavan? Fakt inteligentní. pod každou otázkou na Windows se musí ukázat troll ... .
-
+ odpadá problém s CAL pro mobily co jdou jen na internet
nooo, stejně jestli chceš mít trochu čistější design, tak wifi síť pro BYOD uděláš úplně separátní od doménový, a pro případ, že lidi potřebujou z wifi do domény, tak ať si vytočí VPNku.. Tím že WPA PSK je stejný pro všechny, tak je přístup do sítě de-facto kompromitovaný už dopředu..
Jestli tedy nenasazuješ WPA "enterprise", který ti na základě usera rozhodi mobily mimo a doménový zařízení do doménový sítě...
-
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ
To bych radši moc nerozebíral, MS už totiž zjevně mrdá na majáku (http://blogs.technet.com/b/volume-licensing/archive/2014/03/10/licensing-how-to-when-do-i-need-a-client-access-license-cal.aspx)...
Q2 – If I have guests that come into my office an temporarily use a Windows DHCP server to grab an IP address to access the Internet, do they need CALs? I guess the takeaway is to never use a Windows DHCP server?
A2 – Yes, they are using a Windows Server service and would need a CAL.
Hi hi, to je hezké. Takže když přijdu do nějaké firmy s mobilem nebo s notebookem s Linuxem, tak porušuju licenci, když půjdu do Internetu, když jsem IP adresu získal z DHCP Windows serveru a používám pro resolving jeho DNS? :-D
No vlastně já nic neodsouhlasil, takže licenci porušuje firma, jen proto, že zprovozní úplně normální věc, jako je DHCP nebo DNS ve své síti :-D
-
Ještě mám otázku, jak doménu pojmenovat?
ad.domena.cz
domena.local
"To záleží na v vkusu každého soudruha" :-)
Pokud uděláš doménu .local, bude z internetu neadresovatelná.
Osobně raději dávám neadresovatelnou subdoménu něco.firma.cz a na ní mám lokální DNS a protože i v hlavní doméně firma .cz mám neinteretové adresy, udržuju si pro LAN vlastní DNS záznamy - je to sice pracné, ale bezpečné.
Jo a na routeru mám nastaveno, že TCP/UDP 53 smí používat jen hlavní DNS server (forward pro ten Windows) a Mikrotik. Ostatní Forward TCP/UDP i Input/Output na 53 je Drop (současně ochrana před DDoS na DNS - co má co někdo cizí používat tvůj resolver).
Takže tady taky bych chybu neviděl.
-
Osobně raději dávám neadresovatelnou subdoménu něco.firma.cz a na ní mám lokální DNS a protože i v hlavní doméně firma .cz mám neinteretové adresy, udržuju si pro LAN vlastní DNS záznamy - je to sice pracné, ale bezpečné.
lokální DNS - tím se myslí DNS na winserveru?
Jo a na routeru mám nastaveno, že TCP/UDP 53 smí používat jen hlavní DNS server (forward pro ten Windows) a Mikrotik. Ostatní Forward TCP/UDP i Input/Output na 53 je Drop (současně ochrana před DDoS na DNS - co má co někdo cizí používat tvůj resolver).
Takže tady taky bych chybu neviděl.
Na tohle jsem se chtěl právě zeptat, na HKfree wiki jsem našel návod:
http://wiki.hkfree.org/Zabezpe%C4%8Den%C3%AD_DNS
Je mi jasné, že ten address-list, co tam mají uvedený funguje jen pro síť HKfree,
co do toho listu mám dát? IP adresy DNS poskytovatele, IP rozsah co mám na LAN, a co tam dělá ten loopback? Ten tam mám dávat také?
Forward tam neřeší (nepočítají s vlastním DNS pro LAN) jak bude pravidlo forward vypadat?
accept forward src. Address: ip-serveru tcp/udp port: 53 (cesta ze serveru přes router na DNS poskytovatele)
accept forward dst. Address: ip-serveru tcp/udp port: 53 (cesta z DNS poskytovatele na server)
Nebo stačí pořešit jen chain input?
-
Je mi jasné, že ten address-list, co tam mají uvedený funguje jen pro síť HKfree,
co do toho listu mám dát? IP adresy DNS poskytovatele, IP rozsah co mám na LAN, a co tam dělá ten loopback? Ten tam mám dávat také?
Nejjednodušší je použít stavový firewall v tom Mikrotiku, který nedovolí navázat žáná spojení na ten router z venku, vyjma vysloveně povolených (např pro VPN připojení) a podobně nedovolí navázat žádný nový forward, vyjma povolených. Paranoici filtrují patřičně i směr ven, případně filtrovat mezi soebou oddělené sítě pro návštěvy, pokud je budeš dělat.
nooo, stejně jestli chceš mít trochu čistější design, tak wifi síť pro BYOD uděláš úplně separátní od doménový, a pro případ, že lidi potřebujou z wifi do domény, tak ať si vytočí VPNku.. Tím že WPA PSK je stejný pro všechny, tak je přístup do sítě de-facto kompromitovaný už dopředu..
Jestli tedy nenasazuješ WPA "enterprise", který ti na základě usera rozhodi mobily mimo a doménový zařízení do doménový sítě...
Když tam má Mikrotika, tak tohle na něm jde elegantně řešit tak, že podporuje víc WPA/WPA2 hesel na jednom SSID, takže každému svému uživateli pro jeho vlastní hračky vygeneruji jeho soukromý WPA2 klíč, takže když se proflákne, ví se od koho. A když je odejit, smáznu jen jeho profil a netřeba měnit klíč u všech. Tyhle jejich mobily/noťasy s ehodí na ssid wifi-byod, kde mají s cstupem do firmy smůlu a mohou jen na itnernet nebo přes VPN dovnitř.
Pro firemní notebooky samozřejmě WPA2 ověřované přes Radius proti AD na nějakém ssid wifi-firma, které může volně dovnitř. A pro občasné návštěvy klidně otevřená wifi a captive portálem, pokud si na tom někdo potrpí...
Díky, už to funguje!
Ještě mám otázku, jak doménu pojmenovat?
ad.domena.cz
domena.local
které je lepší? nebo je to jedno?
Radjěi forma ad.domena.cz. MS už před časem deklaroval, že použití .local pro AD zaízne, aby zůstala jen pro mDNS situaci a někdy se hodí něco z doménx propaovat v omezneé míže ven, což se z ad.firma.cz dělá snadněji, než z local a podobných...
-
Jo a na routeru mám nastaveno, že TCP/UDP 53 smí používat jen hlavní DNS server (forward pro ten Windows) a Mikrotik. Ostatní Forward TCP/UDP i Input/Output na 53 je Drop (současně ochrana před DDoS na DNS - co má co někdo cizí používat tvůj resolver).
Takže tady taky bych chybu neviděl.
Nebylo by inteligentnejsi to transparentne presmerovat na vas DNS server? To kdyz k vam prijde nekdo, kdo ma na telefonu nastaveny jiny DNS server, nez defaultni z DNS, tak bude muset prekonfigurovat telefon, protoze vy ho nepustite ven na DNS dle jeho vkusu? Ja treba DNS z DHCP nikdy nepouzivam.
-
M. - děkuji, udělám to ve formě ad.domena.cz
Síť pro návštěvy mám v plánu, nejdřív se musím zbavit toho tplinku, díky za info, o těchto možnostech mikrotiku jsem nevěděl.
Na mikrotiku jsem zprovoznil OpenVPN - v režimu L2, podle tohoto threadu: https://forum.root.cz/index.php?topic=10245.0 (ještě jednou děkuji M.)
Stavový firewall se snažím používat:
Pravidla na iput mám nastavena takto:
accept input icmp
accept input established
accept input related
drop input invalid
accept input tcp 1194 -(pro openVPN - měl bych tady přidat: Connection State new?)
accept input src address: (ip rozsah LAN) tcp 22 In. Interface bridge-LAN new -(přístup SSH na RB z LAN)
accept input src address: (ip rozsah LAN) tcp 80 In. Interface bridge-LAN new -(přístup WEBFIG na RB z LAN)
accept input src address: (ip rozsah LAN) tcp 8291In. Interface bridge-LAN new -(přístup WINBOX na RB z LAN)
accept input src address: (ip rozsah LAN) udp 53 -(DNS z LAN měl bych tady přidat: Connection State new?)
accept input src address: (ip rozsah LAN) tcp 53 -(DNS z LAN měl bych tady přidat: Connection State new?) - tady neprošly žádné pakety
drop input
V pravidlech pro port 53 mám nastavený ip rozsah LAN, takže bych čekal, že DNS bude fungovat jen z LAN a zbytek skončí v drop, ale podle toho testu z HKFree DNS funguje i z venku( na veřejnou IP mikrotiku), jak je to možné?
Jak to změnit, aby to bylo zabezpečené?
Co se týká forwardu, tak všechna komunikace z LAN do internetu je povolena
Provoz z internetu do LAN je povolen jen pro mailserver. (Vím že by mailserver měl být v DMZ, ale zatím je to nerealizovatelné)
-
Nebylo by inteligentnejsi to transparentne presmerovat na vas DNS server? To kdyz k vam prijde nekdo, kdo ma na telefonu nastaveny jiny DNS server, nez defaultni z DNS, tak bude muset prekonfigurovat telefon, protoze vy ho nepustite ven na DNS dle jeho vkusu? Ja treba DNS z DHCP nikdy nepouzivam.
Jj, to by taky šlo. Nicméně pokud někdo přijde k nám a chce použít Wifi, pak získá adresu z DHCP a to včetně naší DNSky. Pokud se někdo snaží o nějaké 8.8.8.8, tak holt má smolíčka.
PS: Zase tak moc lidí sem nechodí a ti co ano jsou fakt jen uživatelé, co mají občas problm opsat i jednoduchý WPA2 klíč :-)
-
V pravidlech pro port 53 mám nastavený ip rozsah LAN, takže bych čekal, že DNS bude fungovat jen z LAN a zbytek skončí v drop, ale podle toho testu z HKFree DNS funguje i z venku( na veřejnou IP mikrotiku), jak je to možné?
Jak to změnit, aby to bylo zabezpečené?
nastav input drop pro udp/53 na rozhraní Internet.
Bohužel tohle MK nemá ošetřeno, DNS resolver (pokud je nastaveno Allow remote request) ochotně odpovídá na všech rozhraních. Proto je třeba to explicitně zakázat. Nebo používat jen Win DNS a na MK/Gateway Remote nepovolovat.
Jinak v AD je asi lepší mít DHCP+DNS na Win, neboť i stanice Win se pak registrují do DNS a lépe funguje procházení sítě. Naopak pokud je to na MK, o tuto "fičurinu" přijdeš. Nehledě k tomu, že DNS se mohou mezi Win replikovat - to používám a jede to obstojně.
Co se týká forwardu, tak všechna komunikace z LAN do internetu je povolena
Jj, taky ... dovnitř jen povolené a ostatní drop a ven vše kromě zakázaného (na žádost šéfa omezuji třeba facebook, aby nám tady neseděli celý den jen u něj ... ale moc to nepomáhá, protože zase furt čumí do mobilu :-))