Mikrotik cloud dns не работает

Обновлено: 07.07.2024

Как правило, динамический DNS (DDNS) требуется в случае, когда при выходе в Интернет вам назначается динамический IP адрес и нужно удалённо подключаться к камерам или другим ресурсам внутри сети за роутером. Впрочем, есть и более изощренные схемы организации сети, когда такое соединение необходимо.

Так, в одном из офисов у меня настроено два канала связи от разных провайдеров — основной , со статическим IP-адресом, который указан в настройках VPN-соединения удалённых пользователей и резервный с динамикой. Автоматическим переключением между ними заведует роутер MikroTik.

Всё прекрасно работает до тех пор, пока не случается авария в сети основного провайдера и не происходит переключение на запасной канал связи. Вот тут то все удаленные пользовали и отваливаются. Как быть?

Можно попросить второго провайдера выделить статический адрес и настроить каждому удалённому пользователю ещё одно соединение на случай аварии, но это долго, неудобно и вообще какие-то костыли. Более правильным вариантом будет настроить на роутере DDNS и прописать в настройках VPN-соединения полученный динамический DNS вместо физического IP адреса, выделенного провайдером.

Тут следует учесть один существенный момент, для работы DDNS требуется реальный (белый) адрес от провайдера.

Принцип действия сервиса DDNS заключается в том, чтобы присвоить устройству уникальное доменное имя, которое привязывается к текущему (динамическому) IP-адресу, назначенному интернет-провайдером.
Время жизни (TTL) динамической записи делается очень маленьким и составляет от одной до трёх минут, чтобы другие DNS-сервера не помещали её в свой кэш, а их клиенты не получали устаревшую информацию.

Включаем функцию MikroTik Cloud (DDNS)

Активировать функцию DDNS в роутерах MikroTik довольно просто, достаточно поставить всего одну галочку в настройках. Заходим в web-интерфейс и выбираем IP -> Cloud, где активируем функцию DDNS Enabled:

В течении минуты в поле "DNS name" отобразится полученное уникальное DNS-имя, присвоенное устройству, которое хранится в MikroTik Cloud (изменение IP-адреса автоматически проверяется каждые 60 секунд):

Включить службу ddns можно и через консоль:

Подписывайтесь на канал и узнавайте первыми о новых материалах, опубликованных на сайте.

ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ,
НЕ ЛЕНИТЕСЬ СТАВИТЬ ЛАЙКИ И ДЕЛИТЬСЯ С ДРУЗЬЯМИ.

Вообще я очень люблю фирму Микротик. Их роутеры и коммутаторы у меня везде и всюду и даже дома. Фишка в том, что эти роутеры очень надежные и по факту их можно один раз настроить и забыть что они существуют. Но настроек там так много, что новичку все осилить за раз крайне сложно. Так вот пост для тех ребят кто купили роутеры, но так и не воткнули в их настройку, ведь они и из коробки работают хорошо, а там есть серьезный проеб.

Как не работать ДНС если у вас есть Mikrotik Mikrotik, Длиннопост, DNS, Эникейщик

Именно такой стоит у меня дома (1350 руб в свое время), но существенной разницы в настройке нет, так как у всех моделей интерфейс один.

Преамбула: Я простой эникей, однако за пару лет набил оскомину с этими роутерами на работе, убивая и восстанавливая все заново по раз 5, однако никак не трогал домашний роутер (1.5 года без сбоев). Но последнее время у меня как то добавились фризы и лаги в сетевых играх. Зайдя на роутер с телефона обнаружил что проц загружен на 100%. Перезагрузил. И снова получил такую же загрузку. Тут точно было что то не так. Зайдя в интерфейсы я увидел это:

Как не работать ДНС если у вас есть Mikrotik Mikrotik, Длиннопост, DNS, Эникейщик

То есть домашние устройства в сумме кушали 68 кбайт/с, а вот на внешнем канале творилось что то аж на 5 мегабайт. Это "жжжж!", точно было не с проста. Если роутер хакнули (подбором обычно), то вполне вероятно что сейчас вы уже ДДОСите какой то сервер, сами того не зная. Однако это был не мой случай, потому что (IP->Services):

Как не работать ДНС если у вас есть Mikrotik Mikrotik, Длиннопост, DNS, Эникейщик

Советую и вам так сделать. Это означает что к роутеру можно присоедениться только через винбокс и только из внутренней сети (вместо 192.168.10.0 — должна стоять ваша сеть).

К делу: Не буду вас особо грузить поисками. В конце концов я просто вспомнил что у Микротик по-умолчанию включен вот такой пункт (IP->DNS):

Как не работать ДНС если у вас есть Mikrotik Mikrotik, Длиннопост, DNS, Эникейщик

Allow Remote Requests заставляет слушать DNS-сервис на всех портах маршрутизатора. Таким образом при включении сервиса мы становились отличным хостом для атаки ботами и прочей нечистью из Интернетов.

А так как у меня была статика IP последние 2 месяца, то я был вообще идеальным DNS.

(к слову на работе все галки были сняты сразу, так как на тот момент я про нее уже знал).

После снятия галочки, картина такая:

Как не работать ДНС если у вас есть Mikrotik Mikrotik, Длиннопост, DNS, Эникейщик

На пикабу я часто встречал ребят с микротиками, в которые они не втыкали и надеюсь что это кому-нибудь поможет. Лично у меня фризы как рукой сняло и чутка упал пинг.

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Mikrotik RouterOS новая функция Cloud

Раздел для тех, кто начинает знакомиться с MikroTik

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

1, не заходит потому, что нужен белый ип для клауда
2. принцип работы клауда микротика и сервисов у асуса совсем разный, потому и не судьба

Вам же подсказали, что службы DynDNS (это аббревиатура мне больше нравиться) у разных
производителей разные и устроены и работают по-разному в целом.
У Кинетик судя по всему эта функция реализовано иначе и при подключении роутера
в Интернет, роутер инициирует какое-то соединение с облаком Кинетик, а уже
облако при запросе нужного роутера внутри этого канала позволяет обратиться на роутер.

У микротика своя функция(иная), она позволяет обратиться(попасть) на роутер всегда,
когда у роутера сменяется постоянно/регулярно внешний реальный адрес.
Если адрес подключения не Внешний, от данной функции мало пользы,
поэтому у Вас внизу и было предупреждение (на английском, что Вы находитесь за NAT'ом).

В Вашем случаи,
если Вам нужен доступ на микротик с внешнего мира, то единственные варианты:

а) это купить аренду реального адреса, то есть за 20-40руб или за 100-150руб
Вам провайдер будет выдавать реальный динамический/постоянный адрес.
Правда сразу Вам напомню, файрвол Вам нужно будет сразу уже настроить заблаговременно,
иначе атаки (со стороны Китайцев) сразу увидите в кол-ве пару сотен в 10-20 сек.

б) второй вариант, сложнее, если провайдер не даёт/не имеет возможности выдачи адреса,
то можно инициировать со стороны роутера соединяться куда-то (на тот адрес/сервер естественно
у которого есть уже реальный адрес) и уже с того объекта/сервера заходить по этому установленному
каналу на роутер.


На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE

Изображение

Микротик не получает адрес DNS через свой сервис cloud.
Запросы на облако идут, трассировка строится, но имя не получает.

Прошивка тоже свежая. Микротик не получает адрес DNS через свой сервис cloud.
Запросы на облако идут, трассировка строится, но имя не получает.
Прошивка тоже свежая.

А чего не показали что прошивка свежая и как идут запросы?
1) перезагрузите роутер
2) отключить все-все правила в первой закладке (Filter Rules)
3) WinBox "свежий" стоит? (обновите).

P.S.
(по скрину как будто Вин7 или даже ВинХР)


На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE


Изображение

1) SSH на роутере Вы не отключили, посмотрите по логам, атаки (попытки) входа на роутер по SSH есть?
(красным должно быть и их должно быть не мало)
Это простой способ = если атак нету, значит Вас что-то прикрывает.
1.1) Оставляете как есть, отключаете в файрволе, в закладке Filter Rules = ВСЕ. правила на 2-3 минуты
и опять, пукт 1 - смотрите есть атаки по SSH
Если появились, значит какие-то правила у Вас ограничивают доступ, а так как Вы используете
пре-заводские настройки, то скорее всего это так и есть.
1.2) можете телнет и фтп включит на 2-10 минут на роутере, обычно их ой как любят атаковать.

2) У Вас правила проброса имеют нулевой счётчик сработки = грубо говоря до данных правил пакет не дошёл.
Проверять надо всё.
2.1) У Вас L2TP подключение это как раз и есть внешнее подключение, а у Вас по пре-заводскому конфигу,
лишь порт1 описан в переменной как WAN, добавьте ещё и L2TP также в переменную WAN

3) Ну и не совсем ясно с arp записью для камеры? Понятно что Вы руками так делали,
запись руками добавили, а толку, если ограничения на бридже не стоят.
Я бы убрал это всё, заставил получить камере адрес автоматически, и уже увидев
в закладке аренды адресов DHCP (Leases) там камеру, дал её уже нужный адрес, который
она будет и получать в будущем постоянно (совет лишь).
3.1) Также надо более детально настроить DHCP, а именно в настройках DHCP поставить,
чтобы он сам создавал ARP запись по каждому клиенту, и тогда будет более правильно.
3.2) также надо настроить чтобы DHCP отдавал DNS'ы клиентам.

4) Я не вижу у Вас по-умолчанию маршрута в Интернет , либо Вы делали конфиг когда
подключение по L2TP было не активно, либо что-то ещё. Если нет шлюза
в Интернет, ничего работать не будет.

5) Проброс проверяется ОБЯЗАТЕЛЬНО с чужого канала, не с этого канала.
5.1) Камера локально на порту 8999 - работает и доступно (надеюсь) .

Mikrotik DDNS (Dynamic DNS)


DDNS (Dynamic DNS) это служба, которая периодически обновляет информацию об IP-устройства. Служба позволяет сопоставить постоянному, неизменному доменному имени, текущий временный публичный IP-адрес, выданный провайдером вашему роутеру. Это позволяет взаимодействовать через интернет с устройствами, не имеющими внешних фиксированных IP-адресов, например, с роутерами Mikrotik.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.


Сразу нюанс - если провайдер выдает серый IP, то DDNS работать не будет, ведь серые IP не маршрутизируются через интернет. DDNS поможет только если провайдер выдает белый, хоть и не фиксированный, IP-адрес.

Основное применение: защита от внезапной смены белого IP-адреса. Например, даже когда IP-адрес оплачивается, провайдер может провести реструктуризацию сети и вы можете узнать о смене вашего IP только тогда, когда безуспешно попробуете подключиться к домашней сети, находясь в отпуске.

На Mikrotik DDNS работает следующим образом:

Через Winbox: IP - Cloud -> DDNS-Enabled

Устанавливаете интервал обновления адреса (DDNS Update Interval), например, раз в 5 минут: 00:05:00

Mikrotik DDNS

По-умолчанию, устанавливается включенный чек-бокс Update Time.

/ip cloud set update-time=no
/system clock set time-zone-autodetect=no

Безопасность и DDNS

Даже если вы выключите DDNS-функционал, последний IP-адрес, сопоставленный с вашим роутером, так и останется. Он не удалится уже никогда, а лишь обновится при следующем включении функции DDNS.

Не скажу, что функцинал DDNS - это существенная брешь в безопасности, но! Как только ваш микротик "засветится" в DDNS-сервисе, его IP станет частью списка, по которому можно сканером проверять, уязвимо устройство или нет. Злоумышленникам сканировать вообще все IP-адреса интернет сложно. Очень. Тут же не только микротики. И динамических адресов кучи. Сканировать неудобно. А вот пройтись сканером, перебирая варианты серийных номеров микротиков, гораздо удобнее. Если кто-то будет искать уязвимые микротики в сети, то такой вариант точно может быть использован. Это не значит, что вас взломают. Вы ведь и так настроили firewall mikrotik? И вообще, защитили роутер хотя бы базово?

Выбор между функционалом и безопасностью всегда труден. Или прост. Или очевиден ;)

Читайте также: