Обновлено: 15.01.2025

Как правило, динамический DNS (DDNS) требуется в случае, когда при выходе в Интернет вам назначается динамический IP адрес и нужно удалённо подключаться к камерам или другим ресурсам внутри сети за роутером. Впрочем, есть и более изощренные схемы организации сети, когда такое соединение необходимо.

Так, в одном из офисов у меня настроено два канала связи от разных провайдеров — основной , со статическим IP-адресом, который указан в настройках VPN-соединения удалённых пользователей и резервный с динамикой. Автоматическим переключением между ними заведует роутер MikroTik.

Всё прекрасно работает до тех пор, пока не случается авария в сети основного провайдера и не происходит переключение на запасной канал связи. Вот тут то все удаленные пользовали и отваливаются. Как быть?

Можно попросить второго провайдера выделить статический адрес и настроить каждому удалённому пользователю ещё одно соединение на случай аварии, но это долго, неудобно и вообще какие-то костыли. Более правильным вариантом будет настроить на роутере DDNS и прописать в настройках VPN-соединения полученный динамический DNS вместо физического IP адреса, выделенного провайдером.

Тут следует учесть один существенный момент, для работы DDNS требуется реальный (белый) адрес от провайдера.

Принцип действия сервиса DDNS заключается в том, чтобы присвоить устройству уникальное доменное имя, которое привязывается к текущему (динамическому) IP-адресу, назначенному интернет-провайдером.

Время жизни (TTL) динамической записи делается очень маленьким и составляет от одной до трёх минут, чтобы другие DNS-сервера не помещали её в свой кэш, а их клиенты не получали устаревшую информацию.

Включаем функцию MikroTik Cloud (DDNS)

Активировать функцию DDNS в роутерах MikroTik довольно просто, достаточно поставить всего одну галочку в настройках. Заходим в web-интерфейс и выбираем IP -> Cloud, где активируем функцию DDNS Enabled:

В течении минуты в поле "DNS name" отобразится полученное уникальное DNS-имя, присвоенное устройству, которое хранится в MikroTik Cloud (изменение IP-адреса автоматически проверяется каждые 60 секунд):

Включить службу ddns можно и через консоль:

Подписывайтесь на канал и узнавайте первыми о новых материалах, опубликованных на сайте.

ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ,
НЕ ЛЕНИТЕСЬ СТАВИТЬ ЛАЙКИ И ДЕЛИТЬСЯ С ДРУЗЬЯМИ.

Сейчас разберём очень полезную фичу которая позволяет подключаться к микротику из вне даже если у вас динамический белый ip адрес, называется она MikroTik DDNS.

У многих из вас, я думаю, возникала потребность в подключении к вашему RouterBoard или CHR по доменному имени. Те, кто имеют статический белый IP адрес от провайдера и публичную зону DNS, скорее всего, создавали A запись и не напрягались по этому поводу. А что делать, если у тебя нет публичной зоны и адрес вроде белый, но динамический? Т.е. у меня есть микротик, нет публичной зоны, а адрес провайдер мне выдаёт белый, но динамический (замечал такое у Ростелеком).

С версии RouterOS 6.14 появилось несколько облачных сервисов. Один из них это IP-Cloud. По-русски говоря DDNS. Он смотрит исключительно на облачные сервера компании Mikrotik. Т.е. нет выбора DDNS провайдера как допустим у Keenetic или TP-Link. Но как правило они сейчас уже платные, в отличие от IP-Cloud.

Принцип работы

• Проверяется исходящий IP адрес каждые 60 сек;
• Ожидает ответ 15 сет от облачного сервера Mikrotik;
• Время жизни DDNS 60 секунд;
• Отправляется зашифрованный пакет к облачным серверам используя UDP порт 15252.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Включение DDNS

Все довольно просто и легко. Открываем Winbox, IP – Cloud

Перед нами открывается меню настроек. Ставим галочку DDNS Enabled и Update Time, если у вас свои сервера времени, то последнее можно не включать.

Внимание, для CHR версии free данный функционал не доступен

После включения, мне присваивается уникальное имя. В поле Public IP определился автоматически публичный адрес, но если прочитать справа внизу уведомление, то подключиться у нас по имени через интернет не получится.

Давайте проверим, какой адрес у меня назначен на WAN интерфейсе.

Действительно, RouterOS верно определил. Обращаю ваше внимание, что по такому IP у вас не получится подключиться к вашему девайсу, т.к. вы находитесь за провайдерским NATом.

Чтобы изменить время обновления DNS записи на серверах Mikrotik, правим DDNS Update Interval.

Для ручного обновления записи, прям здесь и сейчас жмём кнопку Force Update или в CLI:

Чтобы выключить DDNS сервис снимаем галочку или выполняем команду:

Обращаю внимание, не забывать про правила фаервола при подключении как снаружи, так и внутри. А также про DNS кэш клиента и серверов.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Mikrotik DDNS (Dynamic DNS)

DDNS (Dynamic DNS) это служба, которая периодически обновляет информацию об IP-устройства. Служба позволяет сопоставить постоянному, неизменному доменному имени, текущий временный публичный IP-адрес, выданный провайдером вашему роутеру. Это позволяет взаимодействовать через интернет с устройствами, не имеющими внешних фиксированных IP-адресов, например, с роутерами Mikrotik.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Сразу нюанс - если провайдер выдает серый IP, то DDNS работать не будет, ведь серые IP не маршрутизируются через интернет. DDNS поможет только если провайдер выдает белый, хоть и не фиксированный, IP-адрес.

Основное применение: защита от внезапной смены белого IP-адреса. Например, даже когда IP-адрес оплачивается, провайдер может провести реструктуризацию сети и вы можете узнать о смене вашего IP только тогда, когда безуспешно попробуете подключиться к домашней сети, находясь в отпуске.

На Mikrotik DDNS работает следующим образом:

Через Winbox: IP - Cloud -> DDNS-Enabled

Устанавливаете интервал обновления адреса (DDNS Update Interval), например, раз в 5 минут: 00:05:00

По-умолчанию, устанавливается включенный чек-бокс Update Time.

/ip cloud set update-time=no
/system clock set time-zone-autodetect=no

Безопасность и DDNS

Даже если вы выключите DDNS-функционал, последний IP-адрес, сопоставленный с вашим роутером, так и останется. Он не удалится уже никогда, а лишь обновится при следующем включении функции DDNS.

Не скажу, что функцинал DDNS - это существенная брешь в безопасности, но! Как только ваш микротик "засветится" в DDNS-сервисе, его IP станет частью списка, по которому можно сканером проверять, уязвимо устройство или нет. Злоумышленникам сканировать вообще все IP-адреса интернет сложно. Очень. Тут же не только микротики. И динамических адресов кучи. Сканировать неудобно. А вот пройтись сканером, перебирая варианты серийных номеров микротиков, гораздо удобнее. Если кто-то будет искать уязвимые микротики в сети, то такой вариант точно может быть использован. Это не значит, что вас взломают. Вы ведь и так настроили firewall mikrotik? И вообще, защитили роутер хотя бы базово?

Выбор между функционалом и безопасностью всегда труден. Или прост. Или очевиден ;)

Если в магазине вас угораздило купить роутер MikroTik себе домой и вы не знаете зачем он вам, а отравление DNS кэша вашим провайдером не дает вам спать по ночам, то этот пост для вас.

Можно не мучаться и поставить DNS от Yandex, Google, Adquard и прочее, а можно пойти более сложным путем:

Если их несколько, выбираем какой больше нравится вам :)

1. Первым делом удаляем автополучение DNS провайдера:

открываем настройки интерфейса и убираем галочку "use peer dns"

2. В настройке DNS (IP -> DNS), вводим IP DNS сервера (начиная с сервера который у вас в городе). Размер кэша укажите сколько не жалко (учитывайте свободное место).

На этом можно было бы закончить, но мы пойдем далее.

Далее открываем терминал и добавляем статические маршруты

/ip dns static add comment="OpenNIC" forward-to=185.121.177.177,169.239.202.202,2a05:dfc7:5::53::1,2a05:dfc7:5::5353::1 regexp=".*(\\.bbs|\\.chan|\\.cyb|\\.dyn|\\.geek|\\.gopher|\\.indy|\\.libre|\\.neo|\\.null|\\.o)\$" type=FWD

/ip dns static add comment="OpenNIC" forward-to=185.121.177.177,169.239.202.202,2a05:dfc7:5::53::1,2a05:dfc7:5::5353::1 regexp=".*(\\.oss|\\.oz|\\.parody|\\.pirate|\\.opennic.glue|\\.dns\\.opennic\\.glue)\$" type=FWD

В настройках DNS делаем очистку кэша.

Если пользуетесь Microsoft Edge, отключаем "улучшайзеры", в других браузерах аналогично.

Ребутим все что можно отребутить :)

Что мне это дало? Нормально заработали уведомления от mihome, перестали "тупить" китайские лампочки. Ну и немного ощущаешь себя кулхацкером чуть более независимым от своего провайдера.

upd: корневой сервер DNS (в городе) не является публичным резолвером и не отвечает на запросы, нужно вводить ip публичного резолвера данного корневого сервера DNS.

Читайте также:

  
• Как посмотреть какие групповые политики применяются к компьютеру
  
• Ritmix rbk 470 как подключить к компьютеру
  
• Oracle сохранить изменения в бд
  
• Mpif расширение чем открыть
  
• Что такое хэш функция