mình tận dụng cái domain của synology được không bác, với nếu mà máy khách sử dụng dns ngoài thì cái dns rewrite này hình như cũng vô tác dụng luônTên miền của cái NAS trong mạng nội bộ của bác hiện vẫn resolve ra cái địa chỉ IP public của router à? Nhất là với trường hợp NAS (có thể truyền hàng GB dữ liệu 1 lúc) lẫn các thiết bị đều cùng 1 subnet LAN 192.168.10.0/24 thì việc này làm tốn kém tài nguyên của router một cách vô ích (mọi packet phải chạy qua CPU của router để xử lý, rồi router phải chỉnh sửa địa chỉ trong mọi packet vì mấy cái rules dstnat với masquerade). Nếu trong LAN các thiết bị đang sử dụng thông tin DNS server cấp qua DHCP và DNS server đó do bác quản lý, thí dụ chính là cái DNS server trên con router hoặc 1 con AGH trong LAN thì bác cấu hình static DNS entry (RouterOS) / DNS rewrite (AGH) để cho cái domain đó nó trỏ vào 192.168.10.20 thôi. Như thế các thiết bị trong 192.168.10.0/24 truy cập con NAS sẽ sử dụng ít tài nguyên của router hơn hẳn (nói chuyện với nhau chỉ trên Layer 2). Bên ngoài nhà bác thì cái domain nó vẫn resolve vào địa chỉ public của router và sử dụng port forwarding.
Nhược điểm của cách này là thứ nhất không áp dụng nếu các thiết bị trong mạng sử dụng DNS bên ngoài, thí dụ các điện thoại có thể bật thiết lập sử dụng secure dns của google hay cloudflare. Ngoài ra, nếu hiện bác có nhiều thiết bị khác nhau trong LAN cùng đang dùng chung cái DDNS domain và port forwarding qua router thì bác sẽ phải cho mỗi thiết bị 1 cái subdomain riêng (để trong LAN mỗi cái resolve ra 1 địa chỉ LAN riêng). Nếu bác sở hữu domain name của riêng bác thì cái này đơn giản. Bác tạo nhiều subdomain, bên ngoài thì cho chúng CNAME vào cái domain DDNS, còn trong LAN thì cho mỗi cái một cái A record riêng là địa chỉ LAN của các thiết bị. Còn nếu bác không có domain riêng thì đăng ký nhiều tài khoản DDNS cùng config trỏ vào router của bác, rồi trong LAN chia chúng cho các thiết bị cần port forward.
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
mình tận dụng cái domain của synology được không bác, với nếu mà máy khách sử dụng dns ngoài thì cái dns rewrite này hình như cũng vô tác dụng luôn
wuhoatu
Senior Member
Mình cũng đang dùng NAS và WG. Từ ngoài vào NAS có thể dùng public IP hoặc WG IP miễn là mở port cho NAS. Nếu dùng domain thì gán domain chính cho public IP, domain phụ cho WG IP rồi redirect sang domain chính.
à bác có biết cách set hijack dns sao không nhỉ, chỉ em với
tanngle
Senior Member
Yêu cầu của bạn cụ thể là cái gì
CGGX_ANNX
Senior Member
DNS trong LAN của bác thì bác thích cho nó thay địa chỉ của domain nào chẳng được, kể cả whitehouse.gov. Còn với thiết bị dùng DNS server bên ngoài thì em có ghi ở post #14921 top trang này rồi đó thảo luận - Cộng đồng người dùng MikroTik Router (https://voz.vn/t/cong-dong-nguoi-dung-mikrotik-router.50804/post-30861200)
Bác cố gắng để các thiết bị resolve domain đó ra IP LAN nếu có thể (performant nhất và tiết kiệm tài nguyên của router nhất). Còn giải pháp ở #14921 là để fallback khi các thiết bị không dùng DNS server của mạng LAN đưa.
em làm theo hướng dẫn này của bác thì đã có thể truy cập con nas qua domain trong local được rồi nhưng giờ em muốn bắt buộc tất cả các ip trong mạng local phải sử dụng dns chỉ định là con pihole trong mạng lan đó bác, kể cả những thiết bị set dns của google hay bất cứ dns nào khác
tanngle
Senior Member
Client dùng https hay tls thì buộc điều hướng kiểu gì nhỉ
CGGX_ANNX
Senior Member
Nếu các clients mặc dù có tự set DNS servers, nhưng vẫn chỉ dùng DNS53, chứ không phải Secure DNS kiểu DoH hay DoT thì bác có thể add rules lên router, ép tất cả các kết nối tới cổng TCP và UDP 53 phải đi qua con pihole của bác. Giả sử con pihole có địa chỉ 192.168.10.41.
Code:
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 in-interface-list=LAN protocol=udp \
src-address=!192.168.10.41 to-addresses=192.168.10.41
add action=dst-nat chain=dstnat dst-port=53 in-interface-list=LAN protocol=tcp \
src-address=!192.168.10.41 to-addresses=192.168.10.41
add action=masquerade chain=srcnat dst-address=192.168.10.41 \
src-address=192.168.10.0/24Interface list LAN bác cho các interface lan (thí dụ cái bridge) và vlan của bác vào. Rule cuối là để hairpin nat trong trường hợp các thiết bị client trong dải 192.168.10.0/24 cùng với con pihole.
Nếu bác có các rules mangle thí dụ chỉnh sửa routing mark cho các thiết bị đi qua đường WireGuard, thì bác cũng nên tạo 2 rule mangles này và kéo chúng lên trên đỉnh của bảng
Code:
/ip firewall mangle
add action=accept chain=prerouting dst-port=53 protocol=udp
add action=accept chain=prerouting dst-port=53 protocol=tcpNhư thế các queries DNS sẽ không bị tác động bởi các rules còn lại của bảng mangle.
Nếu bác có cả IPv6 thì thêm 1 rules bên bảng filter, chain forward bên đó, drop tất cả kết nối ra ngoài WAN cổng UDP và TCP 53. Như thế để các thiết bị không dùng địa chỉ IPv6 của DNS resolver bên ngoài được (thí dụ 2001:4860:4860::8888 của Google), fallback về dùng DNS server IPv4. Không cần mất công cấu hình dstnat bên IPv6 làm gì, vì nếu mạng của bác nhận được prefix IPv6 động thì lại phải sửa rules mỗi khi nhà mạng cấp cho prefix mới.
Ngoài ra bác có thể "block" DoH và DoT với một số nhà cung cấp quen thuộc. Block DoT thì block luôn dst-port 853. Còn block DoH thì bác tìm một số cái DoH hay dùng, cho địa chỉ IPv4, IPv6 của bon nó vào address list rồi tạo filter rules drop dst-address-list đó với dst-port 443 trên cả 2 tường lửa IPv4 và IPv6. Bác có thể tham khảo danh sách địa chỉ IP ở đây GitHub - crypt0rr/public-doh-servers: A simple list with public DNS-over-HTTPS (DOH) providers so you can easily block them. (https://github.com/crypt0rr/public-doh-servers). Như thế các thiết bị đó sẽ phải tạm thời tắt secure DNS và quay sang dùng DNS53. Các rules drop bên IPv4 bác nên thêm src-address=!192.168.10.41 (thay bằng địa chỉ con pihole) để tạo ngoại lệ cho trường hợp pihole có cấu hình sử dụng DoH/DoT.
Last edited:
Nếu có 4 dải vlan là mỗi dãi mình phải làm các rule tương ứng cho từng dải trong phần in-interface-list phải không bác
seneken
Senior Member
Giờ mua con 3011 vọc vạch thay con hapAC2 đc không bác, mình đang xài con hapac2 os 7.14.x đang bị memory không đủ để add cái TheDude sv vào
để remove thử cái wireless package xem sao
Update :
mình gỡ cái wireless package kô xài ra thì cài được Dude rồi, quên là từ os 7.14 trở lên wireless nó tách riêng thành 1 package.
Last edited:
CGGX_ANNX
Senior Member
Bác chỉ việc add 4 vlan đó vào list LAN ở chỗ /interface list member thôi. Không cần lặp lại các rules bên firewall nữa. Nếu chưa có list LAN này thì bác tạo nó chỗ /interface list. Trong WinBox có nút Lists bác ấn vào để tạo.
CGGX_ANNX
Senior Member
Nếu bác tìm được con 3011 siêu rẻ thì bác mua cũng được ạ. Tuy nhiên em xem qua trên mạng thì thấy ngay cả đồ cũ cũng toàn trên 3 triệu. Nếu giá đó thì không nên mua ạ. Con RB3011 cũ rồi (đã có 2 thế hệ ra thay thế là 4011 với 5009), tốc độ routing còn không bằng con hap ac2. Với giá 2.8 triệu chưa voucher em thấy trên mạng bán con hap ax2 mới sẽ ngon hơn nhiều bác ạ. Nếu cần nhiều cổng bác bỏ thêm vài trăm mua thêm con switch vẫn ngon hơn con rb3011.Giờ mua con 3011 vọc vạch thay con hapAC2 đc không bác, mình đang xài con hapac2 os 7.14.x đang bị memory không đủ để add cái TheDude sv vào
để remove thử cái wireless package xem sao
View attachment 2395345
Con 3011 mười cổng của nó lại chia thành 2 cụm 5 cổng, mỗi cụm chỉ có 1 đường 1gbps đến mỗi cpu core thôi (có 2 core) nên không lợi thế gì hơn việc con ax2 cắm thêm switch nếu bác cần nhiều cổng. Cổng SFP của nó cắm vào là ăn luôn 1 đường 1Gbps trong số này nên không phải là ngon. Còn lại CPU con ax2 mới và ngon hơn ạ, có đường fullspeed 5gbps đến 5 cổng ethernet. Quan trọng hơn là trong tương lai tốc độ và khả năng của con này sẽ còn tốt hơn nữa. Các thông số hiện giờ của nó đã ngon ngay cả khi RouterOS chưa sử dụng tính năng tăng tốc phần cứng routing với switching nào của con chip ạ. Trên forum các chú nhân viên của MikroTik đã confirm là đang tích cực phát triển phần hỗ trợ tăng tốc phần cứng cho cái chip IPQ-PPE mà con ax2 và ax3 sử dụng. Khi nào xong thì những tính năng hiện đang dùng phần mềm như bridge vlan filtering hay dhcp snooping sẽ được tăng tốc. Giờ tuy vẫn dùng phần mềm nhưng performance vẫn ngon hơn con 3011.
Nhược điểm là nó không có cổng USB nên không thêm được storage hay cắm modem LTE. Storage mãi mãi 128MB. Cái USB này ax3 mới có. Mà với giá mới của ax3 thì cố đầu tư 5009 hoặc PC router nếu bác không cần Wi-Fi.
Con 3011 cũ cực rẻ mới nên đầu tư ạ.
Last edited:
seneken
Senior Member
cảm ơn bác nhiều,quá chi tiết, đúng là con 3011 quá cũ mà giá vẫn khá cao. Đám mik cũ hay bị giới hạn về việc chia đường 1gbps trên board, càng về sau càng cải tiến cho hợp lý. Mình cũng có nghĩ tới PC router xong kèm theo ssd license. Để xem cái nào kinh tế p/p nhất thì upgrade
trinhymh
Senior Member
oo7
Senior Member
Bao nhiêu bạn ơi?
trinhymh
Senior Member
2,5tr hầu như ít dùng chỉ mua về tháo ra xem bên trong linh kiện thế nào thôi nói chung hoàn hảo còn rất mới , do lúc trước chơi audio nghe trực tuyến nên mua em này và RB5009
via theNEXTvoz for iPhone
CGGX_ANNX
Senior Member
Coi như là hiện giờ bác đang để 4 cái interface vlan1-4 trong cái interface list LAN như em nói ở trên nhé bác. Giờ bác tạo thêm 1 interface List tên là VLAN chẳng hạn, rồi bác add 3 cái interface vlan2-4 vào cái list này, interface vlan1 không trong list này chỉ trong list LAN. Với giả sử pihole vẫn ở 192.168.10.41 như ở thí dụ trước thì bác add các rules filter này vào ạ:
Code:
/ip firewall filter
add action=accept chain=forward comment="allow access to pihole" \
dst-address=192.168.10.41 in-interface-list=LAN
add action=drop chain=forward comment="block vlan to lan" in-interface-list=VLAN \
out-interface-list=LANNhư thế với dòng thứ nhất từ cả 4 vlan (là members của list LAN) đều vào được 192.168.10.41 (nếu bác muốn chỉ cho vào DNS thì biến nó thành 2 rules có dst-port=53 và protocol=udp và tcp).
Với dòng thứ 2 thì cả 3 thành viên của list VLAN (tức là gồm vlan2-4) đều không truy cập được vào các vlan còn lại (tức là 2 không truy cập được vào 1, 2, 3, 4). Nhưng vlan1 vẫn vào được 3 con còn lại vì không nằm trong list VLAN nên không bị dính rule drop.
Còn nếu bác chỉ không muốn vlan2-4 vào vlan-1, còn vẫn cho chúng liên lạc giữa nhau, thì bác thay out-interface-list=LAN thành out-interface=vlan1, tức là chỉ cấm vào vlan1.
Bác chú ý là cái này chỉ hoạt động nếu ở phía bên trên của chain forward này có rules:
Code:
/ip firewall filter
add action=accept chain=forward comment="accept established, related, untracked" \
connection-state=established,related,untrackedsẵn rồi nhé. Rule này có trong cấu hình tường lửa defconf. Nếu chưa có thì bác phải thêm nó vào và kéo lên trên. Không có rule này thì khi từ vlan1 vào vlan2-4 gửi được packet nhưng packet trả lời sẽ không nhận được vì bị drop bởi rule drop VLAN to LAN kia.
Nếu dùng IPv6 thì bác copy cái rule drop thứ 2 đó sang bên /ipv6 firewall filter (và kiểm tra xem ở bên trên bên đó có rule "accept established, related, untracked" ở chain forward sẵn chưa nữa).
Last edited:
Similar threads
