返回列表 發帖
gfx86674

Rank: 1
1# 跳轉到 »
發表於 2017-1-22 18:31 | 顯示全部帖子
请问图中 DNS server 设定?


请教一下, 图中的server 框一栏 及  Dynamic servers 一栏有什么区别呢?
...
vpn-learner 發表於 2017-1-22 01:21

Dynamic dns是ppp-client或dhcp-client從ISP業者Server抓取DNS.




但注意這DNS指定的是給Router使用,而非pc群組的.
pc群組在/ip dhcp-server network內指定的才是.


您會怕DNS的感染,那肯定有VPN繞道的需求.
防範很簡單,使用公網的DNS時不要直接用預設的ISP接口連結,一樣經VPN接口繞道即可.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
2#
發表於 2017-1-23 12:09 | 顯示全部帖子
本帖最後由 gfx86674 於 2017-1-23 12:15 編輯
我正是从大陆(DDWRT)VPN 回香港的mikrotik 时, 发觉被大陆DNS污染了,不知怎样设置DNS解决这个问题? ...
vpn-learner 發表於 2017-1-23 10:16

把mikrotik的dns server啟用:


若您的mikrotik vpn-server-profile地址設為192.168.88.128


您ddwrt的dhcp內dns-server設置,就設192.168.88.128即可.

切記ddwrt勿設定second-dns-server ,
目的是為了讓first-dns-server:192.168.88.128成為ddwrt唯一的選擇;
否則多了個second-dns-server,就有可能節外生枝前功盡棄了~
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
3#
發表於 2017-1-23 17:54 | 顯示全部帖子
回復 8# vpn-learner
除非您ddwrt的vpn-route ,優先權大於原本的isp-route ,不然一點作用也沒有.
連接203.185.0.32與203.186.94.20 只會往原本的isp去,並不會使用vpn.

TOP

gfx86674

Rank: 1
4#
發表於 2017-1-23 21:54 | 顯示全部帖子
本帖最後由 gfx86674 於 2017-1-23 22:41 編輯
在这里以前我问过,有人給了答案,现在找不到。主要是將Port53 的Request 通過VPN到香港那DNS resolver。

...
yiucsw 發表於 2017-1-23 20:50

這很容易,
首先路由表您的default route(目前使用的isp)的distance不能為最優先,也就是不能為0或1
小弟的習慣是將isp的distance設為5.
dst-address=0.0.0.0/0 gateway=isp distance=5

像google的dns server =>8.8.8.8
您只要在/ip route 新增:
dst-address=8.8.8.8/32 gateway=vpn-client distance=4

因為gateway=vpn-client distance=4 優先於gateway=isp distance=5 ,
8.8.8.8便不會透過isp去連接,而是指定往vpn-client方向去.


但dst-adress=8.8.8.8/32 ,vpn-client與isp的distance皆為1 ,兩者權限一樣...
這就一點意義也沒有,往那接端看router當時的心情

如範例:

小弟讓想連結郵件伺服器202.39.224.125的電腦,皆透過<sstp-afactcat>去連結,
而非ether1-wan(default route) ,即透過這樣的概念下去完成的.
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
5#
發表於 2017-1-27 16:57 | 顯示全部帖子
本帖最後由 gfx86674 於 2017-1-27 16:58 編輯

回復 12# yiucsw
您的isp應該是兩種方式之一連接的,直接宣告distance值即可:
pppoe-client:


dhcp-client:
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

gfx86674

Rank: 1
6#
發表於 2017-1-28 13:00 | 顯示全部帖子
回復 14# yiucsw
Peer DNS是router直接從isp抓取dns.

我想讓router用google dns,非是isp的.
所以不勾選peer dns ,而是在/ip dns新增8.8.8.8(google dns)使用.

若是勾選peer dns ,router等於多了好幾個dns可用
(多組dns server時,router決定使用的是亂數決定並無固定)
尤其是有dns汙染風險的中國 ,isp給的dns是汙染過的無法信任.

TOP

gfx86674

Rank: 1
7#
發表於 2017-1-28 13:17 | 顯示全部帖子
dns汙染千萬別被"汙染"這兩字混淆.

而是說您要連接到8.8.8.8 ,但您連接的並非是8.8.8.8
而是在isp這邊偷偷幫您映射到x.x.x.x的地址去.

所以您dns查詢的結果是x.x.x.x給的,而非原來的8.8.8.8
x.x.x.x給的查詢地址是有誤甚至是空白的,所以您永遠連接不到目的網址去.

所以若要防dns汙染,盡量用私人地址,不用公開的,這樣才不會被針對被映射到別處去.
要不然則是將dns地址透過vpn連接,透過vpn-server代理查詢才是較佳的方式.

TOP

gfx86674

Rank: 1
8#
發表於 2017-1-28 20:26 | 顯示全部帖子
回復 17# vpn-learner
我原本是說vpn-server的地址,
但mikrotik 的lan地址也是可以的,先決條件是192.168.101.1透過vpn要連接的到.

建議您先用ddwrt的ping工具先試ping 192.168.101.1看看.
若ping 192.168.101.1有正常回應 ,那ddwrt的dns server就指定192.168.101.1吧

TOP

返回列表