電訊茶室's Archiver

vpn-learner 發表於 2017-1-22 01:21

请问图中 DNS server 设定?

请问图中 DNS server 设定?
[attach]3825[/attach]

请教一下, 图中的server 框一栏 及  Dynamic servers 一栏有什么区别呢?
如果我想设定我在香港ISP的 DNS server 来防止被大陆污染, 应该在那个位置设定呢?
先谢了!

yiucsw 發表於 2017-1-22 18:17

用處不大,在中國是Monitor DNS 53 Port。所以最好通過VPN到香港的DNS。

gfx86674 發表於 2017-1-22 18:31

[quote]请问图中 DNS server 设定?


请教一下, 图中的server 框一栏 及  Dynamic servers 一栏有什么区别呢?
...
[size=2][color=#999999]vpn-learner 發表於 2017-1-22 01:21[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43452&ptid=6999][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
Dynamic dns是ppp-client或dhcp-client從ISP業者Server抓取DNS.
[attach]3826[/attach]

[attach]3827[/attach]

但注意這DNS指定的是給Router使用,而非pc群組的.
pc群組在/ip dhcp-server network內指定的才是.
[attach]3828[/attach]

您會怕DNS的感染,那肯定有VPN繞道的需求.
防範很簡單,使用公網的DNS時不要直接用預設的ISP接口連結,一樣經VPN接口繞道即可.

vpn-learner 發表於 2017-1-23 10:07

[quote]防範很簡單,使用公網的DNS時不要直接用預設的ISP接口連結,一樣經VPN接口繞道即可.[/quote]

请问可在哪里设置?
谢谢!

vpn-learner 發表於 2017-1-23 10:16

我正是从大陆(DDWRT)VPN 回香港的mikrotik 时, 发觉被大陆DNS污染了,不知怎样设置DNS解决这个问题?

gfx86674 發表於 2017-1-23 12:09

[i=s] 本帖最後由 gfx86674 於 2017-1-23 12:15 編輯 [/i]

[quote]我正是从大陆(DDWRT)VPN 回香港的mikrotik 时, 发觉被大陆DNS污染了,不知怎样设置DNS解决这个问题? ...
[size=2][color=#999999]vpn-learner 發表於 2017-1-23 10:16[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43460&ptid=6999][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
把mikrotik的dns server啟用:
[attach]3830[/attach]

若您的mikrotik vpn-server-profile地址設為192.168.88.128
[attach]3831[/attach]

您ddwrt的dhcp內dns-server設置,就設192.168.88.128即可.

切記ddwrt勿設定second-dns-server ,
目的是為了讓first-dns-server:192.168.88.128成為ddwrt唯一的選擇;
否則多了個second-dns-server,就有可能節外生枝前功盡棄了~

vpn-learner 發表於 2017-1-23 12:42

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43464&ptid=6999]6#[/url] [i]gfx86674[/i] [/b]


    太感谢了!

vpn-learner 發表於 2017-1-23 16:37

gfx86674 兄,

如果我如下图这般设置可以不?(在香港的mikrotik router 内)
[attach]3832[/attach]

gfx86674 發表於 2017-1-23 17:54

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43467&ptid=6999]8#[/url] [i]vpn-learner[/i] [/b]
除非您ddwrt的vpn-route ,優先權大於原本的isp-route ,不然一點作用也沒有.
連接203.185.0.32與203.186.94.20 只會往原本的isp去,並不會使用vpn.

yiucsw 發表於 2017-1-23 20:50

在这里以前我问过,有人給了答案,现在找不到。主要是將Port53 的Request 通過VPN到香港那DNS resolver。

[url]http://ju.outofmemory.cn/entry/275083[/url]
[url]http://www.xlgps.com/article/121684.html[/url]

gfx86674 發表於 2017-1-23 21:54

[i=s] 本帖最後由 gfx86674 於 2017-1-23 22:41 編輯 [/i]

[quote]在这里以前我问过,有人給了答案,现在找不到。主要是將Port53 的Request 通過VPN到香港那DNS resolver。

...
[size=2][color=#999999]yiucsw 發表於 2017-1-23 20:50[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43471&ptid=6999][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
這很容易,
首先路由表您的default route(目前使用的isp)的distance不能為最優先,也就是不能為0或1
小弟的習慣是將isp的distance設為5.
dst-address=0.0.0.0/0 gateway=isp distance=5

像google的dns server =>8.8.8.8
您只要在/ip route 新增:
dst-address=8.8.8.8/32 gateway=vpn-client distance=4

因為gateway=vpn-client distance=4 優先於gateway=isp distance=5 ,
8.8.8.8便不會透過isp去連接,而是指定往vpn-client方向去.


但dst-adress=8.8.8.8/32 ,vpn-client與isp的distance皆為1 ,兩者權限一樣...
這就一點意義也沒有,往那接端看router當時的心情{:5_258:}

如範例:
[attach]3833[/attach]
小弟讓想連結郵件伺服器202.39.224.125的電腦,皆透過<sstp-afactcat>去連結,
而非ether1-wan(default route) ,即透過這樣的概念下去完成的.

yiucsw 發表於 2017-1-27 12:09

改不了 /IP Route。有什麼辦法改?

首先路由表您的default route(目前使用的isp)的distance不能為最優先,也就是不能為0或1
小弟的習慣是將isp的distance設為5.
dst-address=0.0.0.0/0 gateway=isp distance=5

gfx86674 發表於 2017-1-27 16:57

[i=s] 本帖最後由 gfx86674 於 2017-1-27 16:58 編輯 [/i]

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43485&ptid=6999]12#[/url] [i]yiucsw[/i] [/b]
您的isp應該是兩種方式之一連接的,直接宣告distance值即可:
pppoe-client:
[attach]3835[/attach]

dhcp-client:
[attach]3837[/attach]

yiucsw 發表於 2017-1-28 11:17

謝謝,我看到你沒選Peer DNS,是自己定?還是什麼原因?

gfx86674 發表於 2017-1-28 13:00

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43487&ptid=6999]14#[/url] [i]yiucsw[/i] [/b]
Peer DNS是router直接從isp抓取dns.

我想讓router用google dns,非是isp的.
所以不勾選peer dns ,而是在/ip dns新增8.8.8.8(google dns)使用.

若是勾選peer dns ,router等於多了好幾個dns可用
[color=Pink](多組dns server時,router決定使用的是亂數決定並無固定)[/color]
尤其是有dns汙染風險的中國 ,isp給的dns是汙染過的無法信任.

gfx86674 發表於 2017-1-28 13:17

dns汙染千萬別被"汙染"這兩字混淆.

而是說您要連接到8.8.8.8 ,但您連接的並非是8.8.8.8
而是在isp這邊偷偷幫您映射到x.x.x.x的地址去.

所以您dns查詢的結果是x.x.x.x給的,而非原來的8.8.8.8
x.x.x.x給的查詢地址是有誤甚至是空白的,所以您永遠連接不到目的網址去.

所以若要防dns汙染,盡量用私人地址,不用公開的,這樣才不會被針對被映射到別處去.
要不然則是將dns地址透過vpn連接,透過vpn-server代理查詢才是較佳的方式.

vpn-learner 發表於 2017-1-28 19:30

[quote]把mikrotik的dns server啟用:


若您的mikrotik vpn-server-profile地址設為192.168.88.128


您ddwrt的dh ...
[size=2][color=#999999]gfx86674 發表於 2017-1-23 12:09[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43464&ptid=6999][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]

是否如下图的大陆 ddwrt router 位置输入 DNS server 地址 (香港 mikrotik 的 地址)?
[attach]3838[/attach]

gfx86674 發表於 2017-1-28 20:26

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=43490&ptid=6999]17#[/url] [i]vpn-learner[/i] [/b]
我原本是說vpn-server的地址,
但mikrotik 的lan地址也是可以的,先決條件是192.168.101.1透過vpn要連接的到.

建議您先用ddwrt的ping工具先試ping 192.168.101.1看看.
若ping 192.168.101.1有正常回應 ,那ddwrt的dns server就指定192.168.101.1吧{:5_219:}

vpn-learner 發表於 2017-1-29 00:06

[i=s] 本帖最後由 vpn-learner 於 2017-1-29 00:12 編輯 [/i]

gfx 兄,

谢谢你的指导!

頁: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.