Использование публичных DNS-серверов – Keenetic

Какие нужно выполнить настройки на Keenetic, чтобы определение адресов доменных имён в Интернете осуществлялось не через предоставленные провайдером DNS-серверы, а через общедоступные публичные DNS-сервера?

В сети Интернет доступ к узлам может осуществляться по их адресам (например, 2.11.115.99) либо соответствующим доменным именам, таким как help.keenetic.com. Соответствие между доменными именами и их адресами хранится в иерархической структуре службы доменных серверов (DNS-серверов). Обычно интернет-провайдер автоматически предоставляет своим пользователям собственный доменный сервер, однако в некоторых случаях может потребоваться использовать так называемые публичные серверы, расположенные в сети Интернет и доступные всем её пользователям.

В KeeneticOS модуль, отвечающий за работу службы доменных имён (DNS Proxy), агрегирует полученные от провайдера и настроенные вручную адреса серверов DNS в соответствии с указанными зонами (интерфейсами) и отправляет запрос на определение адреса доменного имени наиболее подходящему из них.

Далее рассмотрим настройки интернет-центра Keenetic, которые можно выполнить для использования DNS-серверов в сети Интернет.

1. Использование публичных серверов DNS непосредственно компьютерами, подключенными к интернет-центру

Существует два варианта такой настройки — на компьютерах домашней сети или в интернет-центре.

а) На компьютере выполняется ручная настройка параметров протокола IP и требуемые адреса серверов DNS указываются в конфигурации сетевого интерфейса, например как на приведенном ниже скриншоте, — интерфейс компьютера получит IP-адрес и адрес шлюза по умолчанию от интернет-центра автоматически, но использовать в качестве DNS-сервера будет не его, а адреса серверов публичного провайдера SafeDNS.

Такой способ может быть неудобен, когда необходимо выполнить настройки на большом количестве устройств в сети или когда к интернет-центру подключаются всякий раз разные устройства, для которых требуется обеспечить одинаковые условия доступа.

б) Можно указать нужные публичные адреса DNS-серверов в веб-конфигураторе интернет-центра на странице «Домашняя сеть» в раздел

Настройка DDNS (Динамический DNS) на роутере TP-Link

Если вы зашли на эту страницу, то скорее всего хотите настроить функцию DDNS на своем роутере TP-Link. Возможно, для удаленного доступа к настройкам роутера, для доступа к FTP-серверу через интернет, или еще для каких-то задач, для которых может понадобится настройка динамической системы доменных имен. Если это так, то вы зашли по адресу. В этой статье я покажу, как выполнить настройку функции «Динамический DNS» на роутерах компании TP-Link со старым (зеленым) и новым (синим) веб-интерфейсом. Чтобы подготовить простую, а главное рабочую инструкцию, я уже все проверил на своем роутере (даже на двух). Сделал необходимые скриншоты, и готов рассказать вам о всех нюансах и возможных проблемах, с которыми можно столкнуться в процессе настройки. Прежде чем перейти непосредственно к настройке, в двух словах расскажу о DDNS, зачем он нужен и как работает.

Функция «Динамический DNS», или просто DDNS позволяет присвоить маршрутизатору постоянный адрес, с помощью которого можно получать доступ к роутеру. А так же к устройствам (IP-камерам, например) или серверам (FTP, HTTP), которые находятся (настроены) за роутером, или на роутере. Проще говоря, DDNS решает проблему внешнего динамического IP-адреса. Интернет провайдер выдает роутеру внешний IP-адрес, используя который можно зайти на роутер. Если этот WAN IP-адрес статический (постоянный) – отлично, настраивать DDNS вам не нужно. Но обычно провайдеры выдают динамические IP-адреса (которые постоянно меняются). Так вот, функция «Динамический DNS» позволяет привязать роутер к одному постоянному адресу, не смотря на динамический WAN IP-адрес.

Два важных момента:

1. Если провайдер выдает роутеру внешний (публичный) статический IP-адрес, то выполнять настройку DDNS на роутере TP-Link не нужно, так как у роутера уже есть постоянный адрес. Как правило, эту функцию можно подключить у провайдера за дополнительную плату.
2. Функция DDNS не работает с серыми IP-адресами. И это большая проблема, так как большинство провайдеров сейчас выдают именно серые, внешние IP-адреса, а не белые.

Больше информации об этой технологии, и о том, как проверить какой адрес (белый, или серый) выдает ваш провайдер, я писал в этой статье: DDNS (динамический DNS) на роутере: что это, как работает и как пользоваться. Обязательно прочитайте ее.

Как это работает: выбираем сервис (который предоставляет данную услугу) из списка доступных на своем роутере и регистрируемся в нем. Получаем постоянный адрес. В настройках роутера вводим этот адрес, имя пользователя и пароль (от сервиса, на котором регистрировались).

TP-Link DNS – только на роутерах с поддержкой облачных функций

Некоторые модели маршрутизаторов поддерживают фирменный сервис TP-Link DNS. Его можно настроить только на роутерах с поддержкой облачных функций. Как правило, это новые, дорогие модели (Archer C3150 V2, Archer C1200 V2/V3, Archer C59 V2/V3, Archer C9 V4/V5, Archer C7/V4 V5 и т. д.). Если у вас в роутере есть поддержка «Облако TP-Link», то рекомендую использовать DDNS от TP-Link.

Сначала нужно зарегистрировать аккаунт TP-Link ID и войти в него в настройках роутера, в разделе «Облако TP-Link» на вкладке «Базовые настройки».

Роутер будет привязан к вашему TP-Link ID. И, например, если войти в этот аккаунт в приложении TP-LINK Tether, то вы сможете управлять роутером удаленно. Через облако. Но это уже тема для другой статьи. И еще один момент: после привязки роутера к TP-Link ID, при входе в его настройки нужно будет вводить не пароль администратора роутера, а логин и пароль от аккаунта TP-Link ID.

Переходим в «Дополнительные настройки» — «Сеть» — «Динамический DNS». Ставим переключатель возле «TP-Link» в строке «Поставщик услуг». Нажимаем на кнопку «Зарегистрируйтесь». В поле «Доменное имя» нужно придумать и записать уникальный адрес для своего роутера. После чего нажимаем на кнопку «Сохранить».

Все, теперь установленный адрес (у меня это http://helpwifi123. tplinkdns.com/) можно использовать для обращения к маршрутизатору через интернет.

Всегда можно отвязать этот адрес от роутера и удалить его. Или создать новый.

Если роутер с поддержкой облачных функций, то однозначно рекомендую использовать именно TP-Link DNS. Настраивается очень просто и быстро, чего не скажешь о сторонних сервисах, о которых речь пойдет дальше в статье.

Регистрируем адрес DDNS (подходит для всех роутеров)

В начале статьи я уже писал, что сначала нам нужно выбрать сервис и зарегистрироваться в нем. Сервис нужно выбирать из списка доступных в своем роутере. Для этого заходим в настройки роутера TP-Link и переходим в раздел «Динамический DNS» (Dynamic DNS). На новых прошивках это вкладка: «Дополнительные настройки» — «Сеть» — «Динамический DNS».

Выбираем из писка «Поставщик услуг» нужный сервис и переходим по ссылке «Перейти к регистрации…»

Я регистрировал адрес на сайте no-ip.com. Мне он показался самым простым.

В сервисе no-ip.com можно получить адрес и использовать его бесплатно (тариф free), но там есть три ограничения: нужно каждые 30 дней подтверждать активность аккаунта, можно получить максимум три адреса третьего уровня, и ограниченный выбор доменов.

Переходим по ссылке, и сразу на главной странице нам нужно придумать и ввести адрес, который в дальнейшем будет использоваться для доступа к роутеру через интернет. Это должен быть уникальный адрес. Впрочем, если вы введет адрес, который уже используется, сервис вас об этом предупредит. Придумываем адрес и нажимаем на кнопку «Sign Up». У меня после регистрации этот адрес почему-то не появился в личном кабинете. Добавлял его заново.

Дальше нужно указать свою почту, придумать и указать пароль (эту почту и пароль мы будем вводить еще в настройках роутера), принять лицензионное соглашение и нажать на кнопку «Get Enhanced».

Откроется окно, где нам предложат оплатить платные услуги.

Откроется страница, на которой переходим в свой аккаунт (если необходимо, войдите в свой аккаунт используя почту и пароль).

Так как адрес, который я вводил при регистрации почему-то не был создан автоматически, то нужно создать его вручную. Для этого в своем аккаунте переходим в раздел «Dynamic DNS» и нажимаем на кнопку «Create Hostname».

Нужно придумать какой-то уникальный адрес (в дальнейшем это будет адрес нашего роутера) и указать его в поле «Hostname». Если хотите, можете выбрать любой домен из списка «Domain» (это не обязательно). Больше ничего не меняем. Регистрируем адрес нажав на кнопку «Create Hostname».

Видим, что адрес зарегистрирован. После настройки роутера, по этому адресу (доменному имени) мы сможем получать доступ к нашему роутеру из интернета (в том числе к FTP-серверу, IP-камерам и т.

Все, регистрация завершена. Осталось только настроить маршрутизатор.

Настройка функции «Динамический DNS» на роутере TP-Link

Настройка роутеров со старой версией веб-интерфейса. Выполните вход в настройки своего маршрутизатора (зайдите на адрес 192.168.0.1, или 192.16.1.1) по этой инструкции.

Откройте раздел «Динамический DNS» (Dynamic DNS). Вменю «Поставщик услуг» выбираем сервис, в котором зарегистрировали адрес.

Дальше вводим «Доменное имя», которое создали на сайте постановщика услуг DDNS (см. скриншот выше). В поле «Имя пользователя» и «Пароль» нужно ввести электронную почту и пароль, которые использовали при регистрации на сайте (в нашем случае на no-ip.com).

Ставим галочку возле «Включить DDNS» и нажимаем на кнопку «Войти».

Если мы все сделали правильно, то статус подключения сменится на «Успешно». Сохраните настройки.

Вы можете отвязать роутер от этого адреса. Просто нажмите на кнопку «Выйти» и сохраните настройки.

Настройка DDNS на роутере с новым веб-интерфейсом

Открываем настройки роутера и переходим в раздел «Дополнительные настройки» — «Сеть» — «Динамический DNS».

Выбираем поставщика услуг и вводим данные, которые использовали при регистрации на сайте. В том числе доменное имя, которое мы создали для нашего маршрутизатора. Нажимаем на кнопку «Войти». После успешного подключения к DDNS можно сохранить настройки.

В любой момент можно перестать использовать динамический DNS, нажав на кнопку «Выход» и сохранив настройки.

Как пользоваться?

Чтобы зайти в настройки роутера TP-Link через интернет используя DDNS (с любого устройства, где бы вы не находились) нужно просто в браузере перейти по адресу, который мы получили в процессе регистрации. Например, http://tplinkhelpwifi.hopto.org/ (в моем случае).

Но перед этим нужно в настройках маршрутизатора открыть удаленный доступ для всех IP-адресов.

Я так понимаю, что для конкретного IP-адреса открыть доступ не получится (только в том случае, когда провайдер выдает вам статический IP-адрес). А это не очень безопасно. Поэтому, обязательно установите надежный пароль администратора роутера по этой инструкции: как на роутере поменять пароль с admin на другой. Он будет защищать страницу с настройками. Так же смените имя пользователя с заводского admin на другое.

Этот адрес можно использовать для доступа к FTP-серверу (который настроен на роутере) через интернет. В браузере переходим по этому адресу прописав в начале ftp://. Получится примерно такой адрес: ftp://tplinkhelpwifi.hopto.org/

Нужно сначала настроить FTP-сервер по инструкции настройка FTP-сервера на роутере TP-LINK и включить в настройках «Доступ к Интернет» (подробнее смотрите в инструкции по ссылке выше).

IP-телевидение (IPTV) и настройки UDP Proxy, UDP-to-HTTP

Следует отметить, что не все устройства такие как смартфоны, планшеты, IPTV-приставки, телевизоры Smart TV и Android TV, а также игровые консоли и различные онлайн ТВ-плееры способны воспроизводить мультикаст трафик (multicast) напрямую. В таких случаях необходимо указывать в настройках самих устройств, или в установленных на них приложениях и программах для просмотра IPTV непосредственно IP-адрес и порт прокси (proxy), указанные в настройках Wi-Fi роутера (маршрутизатора), или прокси-сервера (proxy-server) в локальной (домашней) сети. В роли такого сервера может выступать не только роутер, но и один из ваших персональных компьютеров, подключенных к такой малой сети. Например этот адрес может выглядеть так: 192.168.1.1:1234.

Глубоко в терминологию, схемы и принципы работы прокси-сервера мы погружаться не будем. Об этом можно прочесть на безграничных просторах интернета. Единственное, что нужно отметить, так это то, что для устройств, не способных воспроизводить IPTV по протоколу UDP, multicast поток преобразуется таким сервером в unicast поток, или UDP  в TCP, а точнее — UDP-to-HTTP. Рассмотрим с вами в общих чертах несколько примеров данных настроек.

И начнём мы с роутеров, так как в первую очередь организация домашней сети начинается именно с них и именно от их возможностей зависит, сможете вы смотреть IPTV вашего провайдера, или нет.

Поддержка UDP Proxy имеется в таких моделях роутеров как ASUS, Zyxel Keenetic, Mikrotik, Eltex и др. Также Udpxy — Linux-прокси существует как отдельный компонент, доступный для загрузки и установки на альтернативные прошивки маршрутизаторов:  OpenWRT, DD-WRT, Gargoyle и прочих им подобных. Можно попробовать найти и установить такую прошивку, подходящую для модели и аппаратной версии вашего роутера, и произвести необходимые настройки.

Настройка Proxy на Wi-Fi роутере (маршрутизаторе)

В некоторых моделях маршрутизаторов (далеко не во всех), поддерживающих передачу мультикаст-потоков, имеется возможность включить встроенный программный прокси-сервер. Обычно такой пункт в веб-интерфейсе роутера находится во вкладке или на странице «Настройка локальной сети», «Домашняя сеть», или «LAN», возможно  «IPTV», «IP-телевидение» и называется соответственно «UDP Proxy», «Udpxy», «Proxy», «UDP-to-HTTP», «HTTP Proxy», «Включить Прокси», или что-то наподобие.

Имейте в виду, что при наличии и возможности включения IGMP Proxy, как в роутерах Zyxel Keenetic, его нужно обязательно включить.

Следует дополнительно включить UDP Proxy и назначить (прописать) порт, если его значение установлено как 0. Например: 1234, или любой другой. Что касается IP-адреса, то он по-умолчанию на различных моделях маршрутизаторов может быть 192.168.0.1, или 192.168.1.1, иногда, но редко — 192. 168.10.1. Смотрите инструкцию по настройке вашего роутера. Чаще всего данные об IP напечатаны на нижней крышке или на задней части корпуса маршрутизатора.

Пример настройки HTTP-прокси на маршрутизаторе Eltex WB-2

• Выбираем вкладку IP-телевидение, затем IPTV.
• В открывшихся настройках включаем IPTV (ставим галочку в чекбоксе).
• Выбираем версию IGMP (здесь 3 варианта: Автоматически, V2 или V3, если сомневаемся, то оставляем как есть).
• Включаем HTTP-прокси (также ставим галочку в чекбоксе).
• Указываем порт прокси (в нашем случае это — 1234).
• Применяем настройки нажатием соответствующей кнопки.

Пример настройки UDPXY на роутере D-Link DIR-615

• Выбираем пункт настроек Дополнительно, затем Разное.
• Выбираем версию IGMP (по-умолчанию V3).
• Включаем сервис UDPXY (ставим галочку в чекбоксе).
• Вписываем порт (в нашем случае номер порта — 1234).
• Нажимаем кнопку Применить.
• Сохраняем введённые данные (конфигурацию устройства).

Пример настройки UDPXY на роутере SNR-CPE-W4N

• В настройках нужно выбрать пункт Сервисы, потом Разное.
• Отключить Режим обработки NAT.
• Включить IGMP прокси.
• Преобразование мультикаста в http установить для LAN.
• Ввести номер порта UDPXY — 1234.
• Применить введённые настройки.

Пример настройки UDP-прокси на интернет-центре Keenetic Ultra

• Выбираем в настройках пункт Управление, а затем Общие настройки.

• Нажимаем кнопку Изменить набор компонентов.

• Ищем в списке компонентов Прокси-сервер UDP-HTTP (udpxy).
• Отмечаем его для установки (ставим галочку в чекбоксе).
• Нажимаем кнопку Установить обновления.

• После установки компонента и перезагрузки устройства открываем пункт настроек Управление, затем Приложения.

• Ищем установленный компонент UDP-прокси.
• Включаем прокси-сервер (переводим ползунок в правое положение).
• Переходим в настройки компонента, нажав на ссылку UDP-прокси.

• Вписываем номер порта (в нашем случае — 1234, по умолчанию — 4022).
• В пункте настроек подключения (Подключаться через) нужно выбрать локальную сеть Провайдера (IPoE).

• Сохраняем внесённые данные нажатием соответствующей кнопки.

После всех соответствующих настроек интернет-центра нужно указать (прописать) вручную IP-адрес и номер порта в настройках ваших устройств (виджетов, приложений, или программ), через которые вы хотите смотреть IPTV посредством прокси-сервера домашнего роутера. Если все данные указаны и введены вами верно, то телеканалы будут доступны для просмотра уже не по протоколу UDP, а по TCP.

Настройка Proxy на компьютере (прокси-сервер в домашней локальной сети)

Если ваш роутер поддерживает приём и передачу мультикастового трафика IPTV (например TP-Link, или D-Link с официальной заводской прошивкой), но в нём нет настроек UDP Proxy, то в качестве прокси-сервера можно использовать небольшую утилиту, установленную на один из персональных компьютеров, подключенных к этому Wi-Fi роутеру, то есть к малой локальной сети. При этом не важно какое подключение используется — проводное, или беспроводное.

Для этого нужно скачать специальную утилиту: UDP-to-HTTP Proxy для компьютеров под управлением ОС Windows.

Запускаем UDP-to-HTTP Proxy.exe и переходим к настройкам:

1. Устанавливаем интерфейс UDP-мультикаста: 192. 168.1.2
2. Устанавливаем интерфейс HTTP-сервера: 192.168.1.2
3. Указываем порт: 1234 или какой-то другой.
4. Сохраняем введённые данные.
5. Запускаем программу вручную нажатием соответствующей кнопки, или настраиваем её запуск в качестве сервисной службы. Во втором случае утилита будет запускаться автоматически при включении компьютера.

Далее указываем вручную IP-адрес и номер порта (в нашем конкретном случае это — 192.168.1.2:1234)  в настройках ваших устройств, виджетов, приложений, или программ, через которые вы желаете смотреть IP-телевидение, используя прокси-сервер на компьютере. Если данные указаны и введены верно, то начнётся воспроизведение телеканалов.

• sys-s.ru/wp-content/uploads/4-e1535514125844.jpg» data-title=»» data-description=»»>

Примечание: Иногда в некоторых приложениях, как например, в настройках виджета OTT-Player для Smart TV, нужно указывать IP-адрес и номер порта следующим образом: http://192.168.1.1:1234

Очень большим плюсом использования UDP Proxy в небольшой домашней сети как на Wi-Fi роутерах, так и на компьютерах является надёжность доставки пакетов трафика IPTV по Wi-Fi и возможность воспроизведения его практически на любых устройствах, а также значительно стабильнее транслируются телеканалы в HD качестве — без подвисаний и различных визуальных, звуковых артефактов.

Помочь в выборе подходящего Wi-Fi маршрутизатора вам помогут статьи на нашем сайте:

DNSCrypt-Proxy — документация Traffic Inspector Next Generation 1. 7.0

Плагин os-dnscrypt-proxy представляет собой гибкий DNS прокси-сервер с поддержкой современных шифрованых DNS протоколов DNSCrypt v2, DNS-over-HTTPS и Anonymized DNSCrypt.

Также плагин os-dnscrypt-proxy может выступать в роли самостоятельного DNS резолвера.

Установка плагина.

Перейдите в раздел Система -> Прошивка -> Плагины

На вкладке Плагины нажмите на кнопку + напротив плагина os-dnscrypt-proxy для его установки.

Настройка плагина

Перейдите в раздел Службы -> DNSCrypt-Proxy -> Конфигурация

Закладка Общие:

Выполните основные настройки плагина:

• Адрес для прослушивания -Задайте комбинации IP-адресов и портов, которые должна прослушивать эта служба в формате IPv4 адрес:порт и/или [IPv6 адрес]:порт ( к примеру 127.0.0.1:5353 и/или [:: 1]:53 )

• Разрешить привилегированные порты — Установите, чтоб разрешить службе работать на порту 53.

• Максимум Клиентских Подключений — Установите максимальное число одновременных клиентских подключений.

• Использовать сервера IPv4 — Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv4.

• Использовать сервера IPv6 — Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv6.

• Требовать NoFilter — Используйте только DNS-сервер без собственного черного списка. ( есть много серверов, удаляющих рекламу или с включенным родительским контролем.)

• Принудительно TCP — Всегда использовать TCP для подключения к вышестоящим серверам.

• Прокси — Использовать для маршрутизации всех TCP-соединений на локальный узел Tor, формат должен быть 127.0.0.1:9050

• Тайм-аут — Как долго DNS-запрос будет ждать ответа в миллисекундах.

• Постоянное соединение — Длительность keepalive (сек. ) для запросов HTTP (HTTPS, HTTP/2) в секундах.

• Задержка обновления сертификата — Задержка в минутах, после чего сертификаты перезагружаются.

• Ключи Ephemeral — Создайте новый уникальный ключ для каждого DNS-запроса ( это может улучшить конфиденциальность, но также может оказать значительное влияние на использование ЦП )

• TLS отключить тикеты сеанса — Отключить тикеты сеанса TLS ( увеличивает конфиденциальность, но и задержку ).

• Резервный резолвер — Адрес DNS сервера, который будет использоваться только для первоначальных запросов при получении исходного списка шифрованых DNS серверов и только если конфигурация DNS системы не работает. Формат IP адрес:порт ( к примеру 9.9.9.9:53 ).

• Блокировка IPv6 — Отвечать на запросы, связанные с IPv6, пустым ответом ( обработка будет быстрее, когда не используется IPv6).

• Кэш — Включить кэш DNS для уменьшения задержки и экономии исходящего трафика.

• Размер кэша — Задайте размер DNS кэша.

• Кэш минимальное значение TTL — Минимальный TTL для кэшированных записей.

• Кэш максимальное значение TTL — Максимальный TTL для кэшированных записей.

• Кэш минимальное значение отрицательного TTL — Минимальный TTL для отрицательных кэшированных записей.

• Кэш максимальное значение отрицательного TTL — Максимальный TTL для отрицательных кэшированных записей.

После внесения всех изменений нажмите Сохранить

Закладка Пересылки:

Иногда возникает необходимость часть запросов пересылать на определенные DNS сервера (к примеру, локальные).

В таком случае вам необходимо создать описание такой пересылки (форвардинга).

Для этого нажмите + и добавьте описание пересылки:

• Включен — включить данный форвардинг.

• Домен — имя домена, для которого необходимо использовать конкретный DNS сервер.

• DNS-сервер — IP адрес DNS сервера, на который будут пересылаться запросы. Можно использовать список адресов, разделенный запятой.

Закладка Переопределение:

На данной закладке вы можете создать записи переопределения доменов в определенные IP адреса (аналог файла hosts). В случае совпадения записи, плагин os-dnscrypt-proxy не будет пересылать запрос вышестоящим серверам, а сразу вернет ответ клиенту.

Для этого нажмите + и добавьте описание переопределения:

• Включен — включить данное переопределение.

• Имя — имя домена, для котрого необходимо выполнять переопределение.

• Получатель — адрес, который будет возвращен клиенту в случае совпадения.

*.example.com
=example. com
*.example.*
example.*
example[0-9]*

Закладка Серверы:

При отсутствии сервера, необходимого для обработки ваших запросов, вы можете самостоятельно добавить его описание и использовать его в дальнейшем.

Для этого на закладке Серверы нажмите + и добавьте описание необходимого вам сервера.

• Имя — название сервера, которое используется в списке серверов.

• SDNS Stamp — Штамп сервера, в котором закодирован адрес сервера и его свойства.

Закладка DNSBL:

На данной закладке вы можете задать списки DNSBL фильтров, с помощью которых можно ограничивать запросы пользователей (черный список).

Для этого вам необходимо Включить данную настройку и в выпадающем списке отметь необходимые списки.

Закладка Белый список:

В случае, если необходимый домен попадает в черный список, вы можете создать исключение для него.

Для этого нажмите + и добавьте необходимую запись.

Настройка работы в качестве кеширующего сервера DNS:

Для настройки плагина os-dnscrypt-proxy в качестве проксирующего резолвера необходимо выполнить следующие настройки:

1. Убедитесь, что выключены все модули TING, выполняющие резолвинг DNS на 53 порту, кроме Unbound DNS.

2. На закладке Система -> Настройки -> Общие уберите все записи из секции DNS серверы (список должен быть пустым).

3. Убедитесь, что сняты галочки с настроек

   • Позволить переопределить список DNS-серверов DHCP/PPP на WAN

   • Не используйте локальную службу DNS в качестве сервера имен для этой системы

4. В общих настройках плагина os-dnscrypt-proxy:

5. Перейти в настройку сервера Unbound DNS (Службы -> Unbound DNS -> Общие)

6. Выключите параметр Переадресация DNS-запросов.

7. В секцию Пользовательские настройки внесите следующий код:

   do-not-query-localhost: no
   forward-zone:
       name: "."
           forward-addr: 127.0.0.1@5353
   

   Адрес и порт должны совпадать с введенными ранее в П.4

8. Нажмите кнопку Сохранить, а затем Применить изменения

Настройка в качестве основного резолвера DNS:

Для настройки плагина os-dnscrypt-proxy в качестве основного резолвера необходимо выполнить следующие настройки:

1. Убедитесь, что выключены все модули TING, выполняющие резолвинг DNS на 53 порту (Unbound DNS, Dnsmasq DNS).

2. На закладке Система -> Настройки -> Общие уберите все записи из секции DNS серверы (список должен быть пустым).

3. Убедитесь, что сняты галочки с настроек

   • Позволить переопределить список DNS-серверов DHCP/PPP на WAN

   • Не используйте локальную службу DNS в качестве сервера имен для этой системы

4. В общих настройках плагина os-dnscrypt-proxy:

Журналы:

В данном разделе вы можете просмотреть журналы работы плагина и выполненных запросов.

Настройка DNS на маршрутизаторах Cisco

Целью этого документа является сведение воедино некоторых данных об использовании DNS маршрутизаторами Cisco.

Требования

Читатели данного документа должны обладать знаниями по следующим темам:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Можно настраивать конфигурацию маршрутизатора для использования поиска DNS, если вы хотите использовать команды ping или traceroute с именем хоста, а не IP адресом. Используйте для этого следующие команды:

Здесь приведен пример конфигурации на маршрутизаторе, конфигурированном для основного поиска DNS:

 

Router# show running-config
Building configuration. .. 
Current configuration : 470 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
ip name-server 192.168.1.100

!--- Configures the IP address of the name server. !--- Domain lookup is enabled by default.
 
!
!
interface Ethernet0
 ip address 192.168.1.1 255.255.255.0
!
!  

!--- Output Suppressed.

 end

Router# ping www.cisco.com
Translating "www.cisco.com"...domain server (192.168.1.100) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.133.219.25, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 224/228/236 ms

Устранение неисправностей

Довольно редко можно увидеть одну из следующих ошибок:

Router# debug ip udp
UDP packet debugging is on
Router# ping www. yahoo.com 
Translating "www.yahoo.com"...domain server (129.250.35.250) 
*Mar  8 06:26:41.732: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
*Mar  8 06:26:44.740: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
*Mar  8 06:26:47.744: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
% Unrecognized host or address, or protocol not running. 
Router#undebug allAll possible debugging has been turned off

Router# ping www.yahoo.co.kr 
Translating "www.yahoo.co.kr"...domain server (169.140.249.4) ¡¦ 
Not process 
 
Router# ping www.novell.com 
Translating "www.novell.com"...domain server (255.255.255.255) 
% Unrecognized host or address, or protocol not running.

Для того чтобы устранить эту проблему, выполните следующие шаги:

1. Убедитесь, что маршрутизатор может достичь сервера DNS. Отправьте на сервер DNS эхозапрос от маршрутизатора с помощью его IP-адреса и убедитесь, что для настройки IP-адреса сервера DNS на маршрутизаторе используется команда ip name-server.

2. Используйте эти шаги, чтобы проверить, перенаправляет ли маршрутизатор запросы поиска:

   1. Задайте список контроля доступа (ACL), совпадающий на пакетах DNS:

      access-list 101 permit udp any any eq domain 
      access-list 101 permit udp any eq domain any
      

   2. Используйте команду debug ip packet 101.

       Примечание. Убедитесь, что задан ACL. При выполнении без ACL объем выходных данных команды debug ip packet в консоли может оказаться слишком большим, что приведет к перезагрузке маршрутизатора.

3. Убедитесь, что на маршрутизаторе включена команда ip domain-lookup.

В редких случаях доступ к определенным веб-сайтам по имени невозможен. Обычно проблема возникает из-за недоступных сайтов, выполняющих обратный поиск DNS на исходном IP адресе с целью проверки того, что адрес не имитируется. При возврате неверной записи или отсутствии записей (иными словами, при отсутствии cвязанного названия для диапазона IP-адресов) запрос HTTP будет заблокирован.

Получив доменное имя в Интернете, следует также обратиться за получением домена inaddr.arpa. Этот специальный домен иногда называют обратным доменом. Домен обратного преобразования осуществляет преобразование цифровых IP-адресов в доменные имена. Если интернет-провайдер предоставляет вам сервер имен или назначил вам адрес из блока своих адресов, не требуется самостоятельно обращаться за получением домена in-addr.arpa. Консультация Интернет-провайдера.

Давайте Давайте Рассмотрим пример, в котором используется www.cisco.com. Приведенные ниже выходные данные были получены от рабочей станции UNIX. Использовались программы nslookup и dig. Обратите внимание на различия в выходных данных:

sj-cse-280% nslookup www.cisco.com 
Note:  nslookup is deprecated and may be removed from future releases.  
Consider using the 'dig' or 'host' programs instead.  Run nslookup with 
the '-sil[ent]' option to prevent this message from appearing. 
Server:         171.68.226.120 
Address:        171.68.226.120#53 
Name:   www.cisco.com 
Address: 198.133.219.25

sj-cse-280% nslookup 198.133.219.25 
Note:  nslookup is deprecated and may be removed from future releases. 
Consider using the 'dig' or 'host' programs instead.  Run nslookup with 
the '-sil[ent]' option to prevent this message from appearing. 
Server:         171.68.226.120 
Address:        171.68.226.120#53 
25.219.133.198.in-addr.arpa     name = www.cisco.com.

Программа dig дает более детальную информацию о DNS пакетах:

sj-cse-280% dig 198.133.219.25 
 
; <<>> DiG 9.0.1 <<>> 198.133.219.25 
;; global options:  printcmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5231 
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;198. 133.219.25.                        IN      A 
 
;; AUTHORITY SECTION: 
.                       86400   IN      SOA     
A.ROOT-SERVERS.NET. nstld.verisign-grs.com. 
( 2002031800 1800 900 604800 86400 ) 

;; Query time: 135 msec 
;; SERVER: 171.68.226.120#53(171.68.226.120) 
;; WHEN: Mon Mar 18 09:42:20 2002 
;; MSG SIZE  rcvd: 107

В зависимости от уровня сетевой активности маршрутизатор может запросить несколько серверов имен, перечисленных в конфигурации. Ниже представлен пример:

router> test002 
Translating ?test002?...domain server (172.16.33.18) (171.70.10.78) 
(171.100.20.78) 
(172.16.33.18) (171.70.10.78) (171.10.20.78)
Translating ?test002?...domain server (172.16.33.18) [OK] 
Trying test002.rtr.abc.com (171.68.23.130)... Open

Это поведение весьма вероятно и имеет место, когда маршрутизатору требуется создать запись протокола разрешения адресов (ARP) для сервера DNS. По умолчанию маршрутизатор поддерживает ARP-запись в течение четырех часов. В периоды низкой активности маршрутизатору требуется дополнить ARP-запись и затем выполнить запрос DNS. Если ARP-запись для сервера DNS отсутствует в ARP-таблице маршрутизатора, при передаче только одного запроса DNS произойдет сбой. Поэтому отправляются два запроса: один для получения ARP-записи, если необходимо, а второй — для отправки запроса DNS. Такое поведение является обычным для приложений TCP/IP.

 
 PAD Опция 0, длина 0, встречается 26 
 13: 56: 08. 194197 IP (tos 0x0, ttl 255, id 39994, смещение 0, флаги [нет], протокол UDP (17), длина 328) 
 0.0.0.0.68> 255.255.255.255.67: [udp sum ok] BOOTP / DHCP, запрос от 9c: f3: 87: b4: 8b: c6, длина 300, xid 0xb9065a44, флаги [нет] ( 0x0000) 
 Client-Ethernet-Address 9c: f3: 87: b4: 8b: c6 
 Vendor-rfc1048 Extensions 
 Magic Cookie 0x63825363 
 Параметр DHCP-сообщения 53, длина 1: Discover 
 Параметр запроса параметра 55, длина 9: 
 Маска подсети, шлюз по умолчанию, сервер доменного имени, доменное имя 
, опция 119, LDAP, опция 252, Netbios-Name-Server 
 Netbios-Node 
 MSZ, опция 57, длина 2: 1500 
 Client-ID, опция 61 , длина 7: ether 9c: f3: 87: b4: 8b: c6 
 Вариант аренды 51 , длина 4: 7776000 
 Имя хоста, опция 12, длина 9: «OwenAir-2» 
 END, опция 255, длина 0 
 PAD, опция 0, длина 0, происходит 15 
 13:56:08.290723 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.50 tell 192.168.0.1, length 46 
 13:56: 08. 389741 ARP, Ethernet (len 6), IPv4 (len 4), запрос who-has 192.168.0.65 сказать 192.168.0.32, длина 46 
 13: 56: 08.492557 IP (tos 0x0, ttl 64, id 43105, смещение 0, флаги [нет], протокол UDP (17), длина 116) 
 192.168. 0.55.61188> 192.168.0.255.19540: [udp sum ok] UDP, длина 88 
 13:56: 08.802977 IP (tos 0x0, ttl 64, id 0, смещение 0, флаги [нет], протокол UDP (17), длина 328) 
 192.168.0.1.67> 192.168.0.50.68: [udp sum ok] BOOTP / DHCP, ответ, длина 300, xid 0xb9065a44, флаги [нет] (0x0000) 
 Your-IP 192.168.0.50 
 Client-Ethernet-Address 9c: f3 : 87: b4: 8b: c6 
 Vendor-rfc1048 Extensions 
 Magic Cookie 0x63825363 
 Параметр DHCP-сообщения 53, длина 1: Предложение 
 Вариант идентификатора сервера 54, длина 4: 192.168.0.1 
 Параметр времени аренды 51, длина 4 : 86400 
 Вариант 1 маски подсети, длина 4: 255.255.255.0 
 Вариант 3 шлюза по умолчанию, длина 4: 192.168.0.1 
 Вариант 6 сервера доменного имени, длина 4: 192.168.0.1 
 END Опция 255, длина 0 
 PAD Опция 0, длина 0, встречается 26