Šta je novo?
Od:
Filteri

Koji koristite DNS

Ima vec par godina otkako je na novim ali i na starim sbb ruterima onemogucena promena (resetuje se automatski na predefinisane adrese). Jedino resenje je dhcp server na drugom uredjaju na mrezi, za automatsku dodelu dns.
 
Zoran_KS je napisao(la):
Da, pretpostavio sam da je zakljucan, tj da je taj deo izostavljen u ovom primerku. Videcu koje su mi opcije, trenutno koristim pihole instaliran na orangepi-u, sa svakim klijentom rucno podesenim da koristi pihole ip.
Kliknite za proširenje...
Pihole ima sopstveni DHCP server.
 
alex303 je napisao(la):
Pihole ima sopstveni DHCP server.
Kliknite za proširenje...
Da, ima, ali da ne spamujem sad temu, koristio sam ga neko vreme kao dhcp i dns server, ali ako se ne varam, proslo je godinu i nesto od tad, iz nekog razloga nisam mogao da dodeljujem ip adrese klijentima na 5Ghz mrezi, pa sam odustao od dhcp servera (ako se lepo secam). Sad pihole koristim samo kao dns resolver uz nginx na unraid serveru uz tailscale. Ali, to je za neku drugu temu.
 
Zoran_KS je napisao(la):
Da, ima, ali da ne spamujem sad temu,
Kliknite za proširenje...
Nije spamovanje. Pričamo o DNS serverima i kako ih pravilno setovati.
Zoran_KS je napisao(la):
koristio sam ga neko vreme kao dhcp i dns server, ali ako se ne varam, proslo je godinu i nesto od tad, iz nekog razloga nisam mogao da dodeljujem ip adrese klijentima na 5Ghz mrezi, pa sam odustao od dhcp servera (ako se lepo secam). Sad pihole koristim samo kao dns resolver uz nginx na unraid serveru uz tailscale. Ali, to je za neku drugu temu.
Kliknite za proširenje...
Da li si povezan kablom, USB-m, na 2.4, 5 ili 6 Ghz je totalno nebitan podatak i nema nikakve veze sa DHCP-om.
 
Iz nekog razloga uopste nisam video klijente na 5Ghz-a u dhcp podesavanjima pihole-a, zato sam vratio da default podesavanja za ubee.
Instalirao sam i adguard na orangepi, probacu da obrisem pihole i stavim adguard kao dhcp i dns server.
 
Zoran_KS je napisao(la):
Iz nekog razloga uopste nisam video klijente na 5Ghz-a u dhcp podesavanjima pihole-a, zato sam vratio da default podesavanja za ubee.
Instalirao sam i adguard na orangepi, probacu da obrisem pihole i stavim adguard kao dhcp i dns server.
Kliknite za proširenje...
Tako nešto jednostavno nije moguće ako je Pihole bio jedini DHCP server na mreži i ako ne koristiš VLAN-ove za segmentaciju. Ili je to, ili se ti klijenti na 5Ghz nikada nisu povezali iz nekog razloga.
 
Moja greska, moram da se ispravim, potpuno si u pravu, lupao sam napamet, a nisam proverio. Problem koji sam imao i zasto sam odustao od dhcp servera je sto ne vidim ip adrese uredjaja koji imaju staticku ip adresu a konektovani su preko lana.
Juce sam instalirao adguard, hteo sam da probam njega, ali nikako nisam uspeo da ga namestim da radi, jer je na orange pi-u vec bio instaliran pihole, i neki problem sa portovima sam imao.
Danas reinstaliram armbian na op3, instaliram svez adguard, ugasim dhcp na ruteru, stavim na adguardu, isti problem sto se tice ip adresa(ili je to jednostavno tako), ali dns radi bez problema.
 
Zoran_KS je napisao(la):
Moja greska, moram da se ispravim, potpuno si u pravu, lupao sam napamet, a nisam proverio. Problem koji sam imao i zasto sam odustao od dhcp servera je sto ne vidim ip adrese uredjaja koji imaju staticku ip adresu a konektovani su preko lana.
Kliknite za proširenje...
To znači da negde imaš aktivan DHCP server ili NAT. Switch, router...itd. Ručnim setovanjem IP adresa u mreži gde postoji DHCP server, zaobilaziš bilo kakav DNSBL kao što je Pihole ili AGH.
Zoran_KS je napisao(la):
Juce sam instalirao adguard, hteo sam da probam njega, ali nikako nisam uspeo da ga namestim da radi, jer je na orange pi-u vec bio instaliran pihole, i neki problem sa portovima sam imao.
Danas reinstaliram armbian na op3, instaliram svez adguard, ugasim dhcp na ruteru, stavim na adguardu, isti problem sto se tice ip adresa(ili je to jednostavno tako), ali dns radi bez problema.
Kliknite za proširenje...
Kad u mreži imaš DHCP server, onda treba izbegavati ručno setovanje IP adresa. Ako želiš da određeni uređaji u mreži imaju fiksnu IP adresu po tvom izboru, onda treba odraditi statičko DHCP mapiranje. Na taj način će uređaji na koje si do sada uvek ručno postavljao IP adresu, od DHCP servera uvek dobijati IP adresu koju ti odrediš.
 
Jedina dva uredjaja koji imaju fiksnu ip adresu su op3 gde je instaliran AGH i home server gde je instaliran unRaid (oni se i ne vide u dhcp podesavanjima). Uredjaji kojima sam dodelio static lease su dve ip kamere i dve smart uticnice. Za telefone, laptop, i televizore mi nije bitno, tako da oni idu na automatic dhcp.
 
Poslednja izmena:
Koliko ima smisla uzimati Pro plan na NextDNS? Trenutno koristim provajderove DNS servere, pa razmisljam da predjem na NextDNS.
 
Recoba20 je napisao(la):
Koliko ima smisla uzimati Pro plan na NextDNS? Trenutno koristim provajderove DNS servere, pa razmisljam da predjem na NextDNS.
Kliknite za proširenje...
Nema nikakvog smisla. Uvek se više isplati hostovati sopstveni besplatni DNS u vidu pfBlocker-a, Pihole-a ili AdGuard-a koji ima daleko bolju kontrolu i najbitnije od svega, bolji odziv.
 
alex303 je napisao(la):
Nema nikakvog smisla. Uvek se više isplati hostovati sopstveni besplatni DNS u vidu pfBlocker-a, Pihole-a ili AdGuard-a koji ima daleko bolju kontrolu i najbitnije od svega, bolji odziv.
Kliknite za proširenje...
Lako je vama network nindžama da dižete DNS servere, pfBlockere i izvodite ostale magije. Šta mi obični smrtnici da radimo? Probao sam da aktiviram AdGuard Home na ruteru (Flint 2), ali kao da je usporio internet saobraćaj. Mislim, brzina dl/ul je i dalje ista, ali odziv je nekako sporiji i treba više vremena nego inače da otvori stranice. Verovatno zato što se filtriranje saobraćaja vrši na mom ruteru, a kod NextDNSa je na njihovim serverima pa bi trebalo da bude brže. Zato sam i pitao za NextDNS jer sam video da blokira malware i reklame, a našao sam i neko uputstvo za konfiguraciju.
github.com

GitHub - yokoffing/NextDNS-Config: Setup guide for NextDNS, a DoH proxy with advanced capabilities

Setup guide for NextDNS, a DoH proxy with advanced capabilities - yokoffing/NextDNS-Config
github.com github.com
 
Realno, neces primetiti nikakvo ubrzanje u odnosu na neki drugi DNS. Usporovanje se primeti do duse ako radi lose.
Aktivacija je vrlo laka, dodavanje filtera takodje. Neces imati user management kao na adguard, ali sta da se radi. Zapravo, nextdns podrsava korisnike, ali u tvom slucaju bi svakome ponaosob to morao da namestis, sto je patnja. Namestis osnovni profil na ruter i picis.
 
Da li je neko od vas na Supernovi i da li je uspeo da se uloguje u njihov optički ruter, mislim da je ZTE F680 ili neka slična oznaka? Standardne kombinacije usera i passworda ne prolaze
 
Recoba20 je napisao(la):
Lako je vama network nindžama da dižete DNS servere, pfBlockere i izvodite ostale magije. Šta mi obični smrtnici da radimo? Probao sam da aktiviram AdGuard Home na ruteru (Flint 2), ali kao da je usporio internet saobraćaj. Mislim, brzina dl/ul je i dalje ista, ali odziv je nekako sporiji i treba više vremena nego inače da otvori stranice. Verovatno zato što se filtriranje saobraćaja vrši na mom ruteru, a kod NextDNSa je na njihovim serverima pa bi trebalo da bude brže. Zato sam i pitao za NextDNS jer sam video da blokira malware i reklame, a našao sam i neko uputstvo za konfiguraciju.
github.com

GitHub - yokoffing/NextDNS-Config: Setup guide for NextDNS, a DoH proxy with advanced capabilities

Setup guide for NextDNS, a DoH proxy with advanced capabilities - yokoffing/NextDNS-Config
github.com github.com
Kliknite za proširenje...
[rant] Glavni problem je što vi zahtevate napredne DNS mogućnosti bez ulaganja u hardware i bez želje da nešto naučite. A oni koji imaju želju da nauče, sramota ih da otvore temu na forumu i da pitaju, nego šalju privatne poruke i nude novac za privatne časove. Forum gubi svaki smisao ako znanje razmenjujemo privatnim porukama. Ako već vidite da na forumu postoje članovi koji se razumeju u materiju, ne davite ih na PM, nego otvorite temu i postavite pitanje. Ne budite lenji i stidljivi.[/rant]

On topic: Nijedan remote DNS filtering ne može da radi ni približno brzo kao local filtering. I ne samo to, nego u većini slučajeva radi lošije nego da nemate ništa. Pogotovo ako imate brz net, a većina vas ima. Mnogo više vremena treba da DNS request ode na Nextdns, da se izvrši filtriranje, i da vam se vrati resolved IP bez reklama, nego što treba da se ceo sajt učita sa sve reklamama. Kada se radi lokalno filtriranje, DNS deny reqest stiže iz lokalne mreže, dok je upstream DNS zadužen samo da vam vrati IP adresu sajta koji želite da otvorite. Zato kažem, ako nemate sposoban hardware i ako DNS ne hostujete lokalno, manite se remote DNS filtriranja jer je penalty mnogo veći nego realni dobitak. Pogotovo ako postoji mnogo klijenata u mreži.
 
alex303 je napisao(la):
Isto koristim Quad9 DoH ali kao main upstream DNS.
Kliknite za proširenje...
Inspirisao si me da testiram par DoH servera i pozitivno sam iznenađen da nema previše razlike u odzivu u odnosu na "klot" DNS upite. Mislim da ću da zadržim load balancing mode između quad1 i quad9 DoH servera za upstream.

1733087511700.png
 
voidpg je napisao(la):
Da li je neko od vas na Supernovi i da li je uspeo da se uloguje u njihov optički ruter, mislim da je ZTE F680 ili neka slična oznaka? Standardne kombinacije usera i passworda ne prolaze
Kliknite za proširenje...
ovo ne prolazi?

user: superadmin
pass: r0[+$Qz@5g4pIB6Xd3T,
 
c h e je napisao(la):
Inspirisao si me da testiram par DoH servera i pozitivno sam iznenađen da nema previše razlike u odzivu u odnosu na "klot" DNS upite. Mislim da ću da zadržim load balancing mode između quad1 i quad9 DoH servera za upstream.

Pogledajte prilog 469455
Kliknite za proširenje...
Hardware je dostigao nivo gde takve stvari više ne predstavljaju problem ni sa client, ni sa server side.

1733088748332.png
 
Šta bih trebao da proverim zašto se "kolju" DNS-ovi (objašnjenje u nastavku) na različitim uređajima ili je samo do krš provajderskog uređaja? Mreža nije ništa komplikovana, supernovin zte f680 ruter na koji je LAN kablom povezan neki stari TP-Link ruter na drugom kraju kuće za par uređaja tamo. Preko drugog LAN kabla je povezan mini pc, na kom se hostuje Adguard home. Svi ostali uređaji se kače na zte, neki su sa uključenim VPNom, neki bez. Nekim uređajima (i LXCovima) je data statička IP, dok neki idu preko DHCP. Ovaj setup radi odlično, nema nikakvih problema. DNS adresa na zte je statička IP adguard home LXC-a.

Međutim, nedavno sam nešto testirao na proxmoxu i AGH je bio offline, samim tim nema DNS-a. Da se ne bi dešavala ta situacija, podignem drugi AGH i unbound na raspberry pi zero i dodam ga kao drugu DNS adresu na zte ruteru. Odradim reconnect svih uređaja, za DNS dobiju obe IP od oba AGH, ali zato počinju problemi. Sajtovi se učitavaju po 40 sekundi ili se ne učitaju uopšte, odradi se refresh, ono opet isto, učita se svaki 3-4 request. Kad obrišem IP od drugog AGH iz DNS-a u okviru zte, ponovo radi normalno.

Postoji li način da se reši ova situacija da kad je AGH na mini pc-u offline, da failover bude ovaj na RPi i može li da se reši bez dodavanja još jednog uređaja? Razmišljao sam o nekom servisu za uptime koji bi konstantno proveravao da li je AGH online, ali je opet problem kako zameniti na zte-u kad se ispostavi da jeste offline.
 
Ja ti ne mogu pomoći, ali jedna stvar mi nije jasna, a to je da hostuješ sopstveni DNS bez sopstvenog routera. Oslanjati se na taj ubogi ZTE je asking for trouble i upravo to ti se i dešava. Mogao si pored AGH-a da hostuješ OpenWRT, OPNSense ili pfSense ili da skroz eliminišeš AGH iz priče i pređeš na pfBlockerNG koji je superiorniji u svakom pogledu.
 
Kakve veze ima koji je ruter? On samo provajduje IP adresu DNS servera klijentima. Klijenti posle kveruju njegov AGH u lokalu.

@optical
U suštini to kako si uradio je pravilno ja bih rekao. Ne kontam što se učitava toliko vremena. Jesi probao da gledaš query log na oba AGHa dok nešto učitavaš? Šta se desi ako oboriš prvi AGH i ostaviš samo drugi?

Elem, da ti se zahvalim :D ja sam u DHCPu rutera imao konfigurisan primarni DNS server koji je moj AGH, i sekundarni koji je 1.1.1.1. Kontao sam da u slučaju da je primarni down, koristiće se sekundarni. Sad malo izguglah i videh da to ne radi tako. U suštini zavisi od klijenta do klijenta kako to koriste(tj OSa na njima) ali se izgleda generalno radi load balancing, tj može da se koristi bilo koji od ta dva. Što znači da će reklame ipak prolaziti nekad ;)

discourse.pi-hole.net

Why should Pi-hole be my only DNS server?

Reduced Ad Blocking Capability The main reason you should Pi-hole as your only DNS server is that you will see increased performance in the blocking of ads. If you have two DNS servers (Pi-hole and something else), your network clients may not always query Pi-hole for name resolution. If a...
discourse.pi-hole.net discourse.pi-hole.net
 
optical je napisao(la):
Šta bih trebao da proverim zašto se "kolju" DNS-ovi (objašnjenje u nastavku) na različitim uređajima ili je samo do krš provajderskog uređaja?
Kliknite za proširenje...

Proveri da li si greškom uključio DHCP server na nekom AdGuard-u. Ne bi tebalo da imaš više od 1 aktivnog u istoj mreži.

optical je napisao(la):
Postoji li način da se reši ova situacija da kad je AGH na mini pc-u offline, da failover bude ovaj na RPi i može li da se reši bez dodavanja još jednog uređaja? Razmišljao sam o nekom servisu za uptime koji bi konstantno proveravao da li je AGH online, ali je opet problem kako zameniti na zte-u kad se ispostavi da jeste offline.
Kliknite za proširenje...

Ovo je verovatno jedan od komplikovanijih scenarija koji može da se reši na nekoliko načina. Ne postoje komeracijalni uređaji koji ovo rade out of the box (bar ne da ja znam trenutno), pa je zbog toga potrebno poznavanje više povezanih tehnologija.

Svestan sam da ovo što pišem nije potpuno relevantno za tvoj scenario, ali možda ti pomogne sa idejama kako to treba da izgleda na nivou cele tvoje lokalne mreže.

Moj DHCP server je MikroTik 5009 a lokalni DNS je AdGuard Home kontejner hostovan na mini PC u k3s klasteru.

Par stvari moraš da imaš na umu da bi ti failover radio:
1) Nešto mora da proverava dostupnost DNS servera. To nešto je idealno uređaj na kome je DHCP server.
- Na mom ruteru to rešavam skriptom koja se okida schedulerom na 5 sekundi (code block 1) i koja proverava razrešavanje nekog domena, u mom slučaju lokalnog servera čiji DNS zapis je već u konfiguraciji AdGuarda pa se zapis procesira jako brzo (screenshot).
1733993634086.png
2) Tvoji uređaji u lokalnoj mreži moraju da koriste bekap DNS dok je primarni nedostupan. Ovo je mnogo komplikovanije postići ako međusobna komunikacija uređaja u tvojoj lokalnoj mreži ne prolazi kroz ruter/firewall CPU (jednostavnije rečeno switching) i/ili ruter/firewall nema mogućnost automatizacije.
- Ja sam to rešio presretanjem svih DNS upita na adresu nedostupnog servera. Ti upiti se usmeravaju lokalno na MikroTik (skripta iz code block 1 koja okidaju uključivanje/isključivanje firewall pravila iz code block 2). U mojoj mreži DHCP server uvek dodeljuje AdGuard LAN adresu kao jedini DNS server za klijentske uređaje.

Tvoj slučaj je malo komplikovaniji nego moj jer imaš dva servera u priči a ja imam jedan, i po mom mišljenju potrebno je da proveravaš dostupnost oba :).

Code block 1:
Kod: 
:global globalHostnameResolved
:local testHostname "cher.lan"
:local testServer "192.168.4.2"
:local testHostnameResolved ""
:do {
  :set testHostnameResolved [:resolve $testHostname server=$testServer]
} on-error={}

:if ($globalHostnameResolved != $testHostnameResolved) do={
    :if ($globalHostnameResolved = "192.168.4.2") do={
      /ip firewall nat enable [find where comment="dst-nat - dns is down"]
      /ip firewall nat disable [find where comment="dst-nat - dns intercept"]
      /ip dns set servers=1.1.1.1
      :set globalHostnameResolved $testHostnameResolved
      :log info "k3s DNS is down!"
    } else={
      /ip firewall nat disable [find where comment="dst-nat - dns is down"]
      /ip firewall nat enable [find where comment="dst-nat - dns intercept"]
      /ip dns set servers=192.168.4.2
      :set globalHostnameResolved $testHostnameResolved
      /ip/dns/cache/flush
      :log info "k3s DNS is back!"
  }
}

Code block 2:
Kod: 
[[email protected]] > /ip/firewall/nat/export 
add action=redirect chain=dstnat comment="dst-nat - dns is down" disabled=yes dst-address-list=dns-local dst-port=53 in-interface-list=!WAN protocol=udp to-ports=53
add action=redirect chain=dstnat comment="dst-nat - dns is down" disabled=yes dst-address-list=dns-local dst-port=53 in-interface-list=!WAN protocol=tcp to-ports=53
add action=dst-nat chain=dstnat comment="dst-nat - dns intercept" dst-address-list=!dns-local dst-port=53 in-interface-list=LAN protocol=udp to-addresses=192.168.4.2
add action=dst-nat chain=dstnat comment="dst-nat - dns intercept" dst-address-list=!dns-local dst-port=53 in-interface-list=LAN protocol=tcp to-addresses=192.168.4.2
[[email protected]] >
 
Poslednja izmena:
alex303 je napisao(la):
Ja ti ne mogu pomoći, ali jedna stvar mi nije jasna, a to je da hostuješ sopstveni DNS bez sopstvenog routera. Oslanjati se na taj ubogi ZTE je asking for trouble i upravo to ti se i dešava. Mogao si pored AGH-a da hostuješ OpenWRT, OPNSense ili pfSense ili da skroz eliminišeš AGH iz priče i pređeš na pfBlockerNG koji je superiorniji u svakom pogledu.
Kliknite za proširenje...
Razmišljam već neko vreme da dodam svoj ruter i ubacim openWRT, ali onda dodajem još jedan uređaj u nizu ispred krajnjih uređaja, pa bih ako se ne varam imao dupli nat i na sve to CGNAT. Možda bi to sve radilo ok, nisam ni sam siguran. Mini pc jeste kinez, ali sam uzeo baš sa dva LAN porta, da bih probao da namestim OPNSense, samo što trenutno nemam slobodnog vremena, a ni znanja da ispratim sve to. Ne znam koliko je zahtevan inicijalni setup i posle održavanje, jer mi ono što si ti pisao ovde ne deluje jednostavno, doduše moguće da grešim. To bih svakako morao da hostujem na proxmoxu pored HA, Z2M i još nekih servisa, pa ne znam ni da li je N100/16GB/512GB dovoljno za sve to.


nightshadow je napisao(la):
Kakve veze ima koji je ruter? On samo provajduje IP adresu DNS servera klijentima. Klijenti posle kveruju njegov AGH u lokalu.

@optical
U suštini to kako si uradio je pravilno ja bih rekao. Ne kontam što se učitava toliko vremena. Jesi probao da gledaš query log na oba AGHa dok nešto učitavaš? Šta se desi ako oboriš prvi AGH i ostaviš samo drugi?

Elem, da ti se zahvalim :D ja sam u DHCPu rutera imao konfigurisan primarni DNS server koji je moj AGH, i sekundarni koji je 1.1.1.1. Kontao sam da u slučaju da je primarni down, koristiće se sekundarni. Sad malo izguglah i videh da to ne radi tako. U suštini zavisi od klijenta do klijenta kako to koriste(tj OSa na njima) ali se izgleda generalno radi load balancing, tj može da se koristi bilo koji od ta dva. Što znači da će reklame ipak prolaziti nekad ;)

discourse.pi-hole.net

Why should Pi-hole be my only DNS server?

Reduced Ad Blocking Capability The main reason you should Pi-hole as your only DNS server is that you will see increased performance in the blocking of ads. If you have two DNS servers (Pi-hole and something else), your network clients may not always query Pi-hole for name resolution. If a...
discourse.pi-hole.net discourse.pi-hole.net
Kliknite za proširenje...
I ja sam isto mislio, dok nisam naleteo na ovaj problem. :) Gledao logove, na ovaj sekundarni nije išlo skoro ništa ili po jedan - dva requesta. Na primarnom se vide requestovi, izvršeni su brzo, recimo 20-100ms (ili par ms, ako je iz keša), zavisi šta se učitava, dakle daleko od onih 30 sekundi ili request timed out, zato i postavih pitanje ovde, jer mi nije jasno gde se onda desi problem neučitavanja stranice. Generalno, mislio sam da će bar Android ili iOS imati mehanizam da provale ako je DNS sa prve IP adrese down, da koriste DNS sa druge IP adrese, pošto su od rutera dobili obe. Kad su obe DNS IP adrese prisutne, učita se poneki request, ali većinom ne radi, dok kad ostavim na ruteru samo primarnu DNS IP adresu (ili stavim sekundardnu na samom uređaju poput telefona) sve radi odlično.

c h e je napisao(la):
Proveri da li si greškom uključio DHCP server na nekom AdGuard-u. Ne bi tebalo da imaš više od 1 aktivnog u istoj mreži.



Ovo je verovatno jedan od komplikovanijih scenarija koji može da se reši na nekoliko načina. Ne postoje komeracijalni uređaji koji ovo rade out of the box (bar ne da ja znam trenutno), pa je zbog toga potrebno poznavanje više povezanih tehnologija.

Svestan sam da ovo što pišem nije potpuno relevantno za tvoj scenario, ali možda ti pomogne sa idejama kako to treba da izgleda na nivou cele tvoje lokalne mreže.

Moj DHCP server je MikroTik 5009 a lokalni DNS je AdGuard Home kontejner hostovan na mini PC u k3s klasteru.

Par stvari moraš da imaš na umu da bi ti failover radio:
1) Nešto mora da proverava dostupnost DNS servera. To nešto je idealno uređaj na kome je DHCP server.
- Na mom ruteru to rešavam skriptom koja se okida schedulerom na 5 sekundi (code block 1) i koja proverava razrešavanje nekog domena, u mom slučaju lokalnog servera čiji DNS zapis je već u konfiguraciji AdGuarda pa se zapis procesira jako brzo (screenshot).
Pogledajte prilog 471275
2) Tvoji uređaji u lokalnoj mreži moraju da koriste bekap DNS dok je primarni nedostupan. Ovo je mnogo komplikovanije postići ako međusobna komunikacija uređaja u tvojoj lokalnoj mreži ne prolazi kroz ruter/firewall CPU (jednostavnije rečeno switching) i/ili ruter/firewall nema mogućnost automatizacije.
- Ja sam to rešio presretanjem svih DNS upita na adresu nedostupnog servera. Ti upiti se usmeravaju lokalno na MikroTik (skripta iz code block 1 koja okidaju uključivanje/isključivanje firewall pravila iz code block 2). U mojoj mreži DHCP server uvek dodeljuje AdGuard LAN adresu kao jedini DNS server za klijentske uređaje.

Tvoj slučaj je malo komplikovaniji nego moj jer imaš dva servera u priči a ja imam jedan, i po mom mišljenju potrebno je da proveravaš dostupnost oba :).

Code block 1:
Kod: 
:global globalHostnameResolved
:local testHostname "cher.lan"
:local testServer "192.168.4.2"
:local testHostnameResolved ""
:do {
  :set testHostnameResolved [:resolve $testHostname server=$testServer]
} on-error={}

:if ($globalHostnameResolved != $testHostnameResolved) do={
    :if ($globalHostnameResolved = "192.168.4.2") do={
      /ip firewall nat enable [find where comment="dst-nat - dns is down"]
      /ip firewall nat disable [find where comment="dst-nat - dns intercept"]
      /ip dns set servers=1.1.1.1
      :set globalHostnameResolved $testHostnameResolved
      :log info "k3s DNS is down!"
    } else={
      /ip firewall nat disable [find where comment="dst-nat - dns is down"]
      /ip firewall nat enable [find where comment="dst-nat - dns intercept"]
      /ip dns set servers=192.168.4.2
      :set globalHostnameResolved $testHostnameResolved
      /ip/dns/cache/flush
      :log info "k3s DNS is back!"
  }
}

Code block 2:
Kod: 
[[email protected]] > /ip/firewall/nat/export
add action=redirect chain=dstnat comment="dst-nat - dns is down" disabled=yes dst-address-list=dns-local dst-port=53 in-interface-list=!WAN protocol=udp to-ports=53
add action=redirect chain=dstnat comment="dst-nat - dns is down" disabled=yes dst-address-list=dns-local dst-port=53 in-interface-list=!WAN protocol=tcp to-ports=53
add action=dst-nat chain=dstnat comment="dst-nat - dns intercept" dst-address-list=!dns-local dst-port=53 in-interface-list=LAN protocol=udp to-addresses=192.168.4.2
add action=dst-nat chain=dstnat comment="dst-nat - dns intercept" dst-address-list=!dns-local dst-port=53 in-interface-list=LAN protocol=tcp to-addresses=192.168.4.2
[[email protected]] >
Kliknite za proširenje...

DHCP je samo na nivou zte rutera, ova dva AGH su samo za blokiranje reklama. Tebi mreža ide ruter/modem provajdera -> mikrotik -> krajnji uređaji? Ili je tebi mikrotik glavni ruter tj. ono što je kod mene zte + dodatne mogućnosti poput intercepta? Da, kod mene nema presretanja i koliko vidim, biće da je lakša opcija da podignem tailscale, stavim mu Quad9 DNS i ako padne AGH dok nisam kod kuće, uđem na lokalnu mrežu i ručno zamenim DNS IP na drugu instancu. :)
 
optical je napisao(la):
Razmišljam već neko vreme da dodam svoj ruter i ubacim openWRT, ali onda dodajem još jedan uređaj u nizu ispred krajnjih uređaja, pa bih ako se ne varam imao dupli nat i na sve to CGNAT. Možda bi to sve radilo ok, nisam ni sam siguran.
Kliknite za proširenje...
Sve bi ti radilo bez problema.
optical je napisao(la):
Mini pc jeste kinez, ali sam uzeo baš sa dva LAN porta, da bih probao da namestim OPNSense, samo što trenutno nemam slobodnog vremena, a ni znanja da ispratim sve to.
Kliknite za proširenje...
I OPNSense i pfSense su next, next, finish metoda i sigurni su out of the box sa njihovim default podešavanjima.
optical je napisao(la):
Ne znam koliko je zahtevan inicijalni setup i posle održavanje, jer mi ono što si ti pisao ovde ne deluje jednostavno, doduše moguće da grešim.
Kliknite za proširenje...
Jednostavno je. Kod pfSense-a nema održavanja jer nema ni update-a. Kritične izmene se rade kroz system patches paket i to je to. OPNSense redovno dobija update-e i to je nekada bio veliki problem jer se dešavalo da update ubije sistem. Nedavno su ubacili boot environment backup što je fantastična stvar. Ako odradiš update i taj update ubije sistem, samo butuješ u prethodno stanje kao da ništa nije bilo. Ovo je slično system restore-u na Windowsu, samo što je na nivou ZFS file systema.
optical je napisao(la):
To bih svakako morao da hostujem na proxmoxu pored HA, Z2M i još nekih servisa, pa ne znam ni da li je N100/16GB/512GB dovoljno za sve to.
Kliknite za proširenje...
Više nego dovoljan.
 
optical je napisao(la):
I ja sam isto mislio, dok nisam naleteo na ovaj problem. :) Gledao logove, na ovaj sekundarni nije išlo skoro ništa ili po jedan - dva requesta. Na primarnom se vide requestovi, izvršeni su brzo, recimo 20-100ms (ili par ms, ako je iz keša), zavisi šta se učitava, dakle daleko od onih 30 sekundi ili request timed out, zato i postavih pitanje ovde, jer mi nije jasno gde se onda desi problem neučitavanja stranice. Generalno, mislio sam da će bar Android ili iOS imati mehanizam da provale ako je DNS sa prve IP adrese down, da koriste DNS sa druge IP adrese, pošto su od rutera dobili obe. Kad su obe DNS IP adrese prisutne, učita se poneki request, ali većinom ne radi, dok kad ostavim na ruteru samo primarnu DNS IP adresu (ili stavim sekundardnu na samom uređaju poput telefona) sve radi odlično.
Kliknite za proširenje...
M jok, i ja sam mislio da tako radi, ali nije tako :D

Ajde probaj sa racunara da pokrenes wireshark i startuj capturing(samo kliknes dva puta na WiFi, ili eth, kako si vec povezan).
Posle toga probaj da otvoris neki sajt i nakon sto zabode samo sacuvaj fajl u wiresharku i okaci ga ovde da bacim pogled. Mora se videti nesto odatle. :)


Inace, da se nadovezem na moj prethodni post oko primarnih/sekundarni DNS servera - ovaj moj TP-Link(Archer Ax55) izgleda ima neki bag - kad ostavim secondary DNS server blank u DHCP podesavanjima, on ce automatski uredjajima da dodeli sebe kao sekundarnog DNS servera. Ovo moze da se vidi na samim uredjajima koji se konektuju. Tako da, ako hocete da koristite samo jedan DNS server, mora da se stavi taj jedan i kao primarni i kao sekundarni. U tom slucaju uredjaji dobijaju samo njega kao DNS server.
 

Prilozi

  • 1734020096148.png
    1734020096148.png
    15.8 KB · Pregleda: 12
  • 1734020665284.png
    1734020665284.png
    22.2 KB · Pregleda: 10
Poslednja izmena:
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno