Dns relay что это в роутере
Dns relay что это в роутере
Этот пример описывает настройки DNS Relay для межсетевых экранов. Все межсетевые экраны DFL (DFL-210/800/1600/2500) поддерживают эту функцию, начиная с прошивок v2.04 и более поздних.
Примечание: Что касается этой функции, она обеспечивает только передачу/пересылку DNS пакетов, т.к. D-Link DFL межсетевые экраны не имеют встроенного DNS-сервера в ядро операционной системы. Таким образом, они не могут заменить реальный DNS сервер для обеспечения конвертации доменных имен и относительной функциональности.
Создайте IP Address с именем dns_server с адресом 12.0.0.1
Нажмите Ok.
2. Создайте IP правила для перенаправления DNS пакетов в Интернет
Создайте новое правило IP Rule с действием SAT.
Во вкладке General:
Name: SAT_DNS_Relay
Action: SAT
Service: dns_all
Address Filter:
Source Interface: lan
Source Network: lannet
Destination Interface: core
Destination Network: lan_ip
Во вкладке SAT:
General:
Translate the: Destination IP Address
New IP Address: dns_server
Нажмите Ok.
Создайте аналогичное правило IP Rule с действием NAT. Если среда не NAT, создайте вместо этого правило ALLOW.
Во вкладке General:
Name: Allow_DNS_Relay
Action: NAT
Service: dns_all
Address Filter:
Source Interface: lan
Source Network: lannet
Destination Interface: core
Destination Network: lan_ip
Нажмите Ok.
Убедитесь, что два этих правила находятся перед другими правилами (т.е. allow_standard правилами).
И также, установите все персональные компьютеры PC, чтобы иметь firewall lan_ip (192.168.1.1) в качестве DNS сервера.
Сохраните и активизируйте конфигурацию межсетевого экрана.
Soft Settings
Надо ли включать DNS-Relay?
Большинство пользователей знают, что такое сервис DNS, точнее, зачем он был создан. DNS-сервер получает запрос с именем сайта, а в ответе должен содержаться адрес IP, соответствующий искомому узлу. Именно так компьютеры могут узнавать, к какому адресу надо обращаться, чтобы перейти на тот или иной сайт. Любой домашний и офисный роутер ДНС запросы тоже обрабатывает, а как именно ему удается это выполнять, вроде бы, не так важно.
Но если разобраться с тем, как на самом деле выглядит алгоритм обработки запроса ДНС, то станет понятно – не все роутеры «одинаково хорошие». Некоторые устройства могут обладать функциональностью настоящего DNS-сервера, ну а другие умеют только передавать информацию на маршрутизатор провайдера.
Как устроена система DNS
Обзор разбит на несколько глав, и в первой из них не будет рассматриваться что-либо, имеющее отношение к домашним, либо офисным, сетевым комбайнам. Попытаемся вначале понять, что именно происходит, когда Ваш компьютер пытается открыть сайт. Подразумевается, что адрес DNS-сервера задан в настройках сетевой карты (он может быть получен автоматически, или прописан в явном виде). Сейчас в примере будет рассмотрена последовательность действий, выполняемых маршрутизатором провайдера.
Алгоритм обработки доменных имен
Слово DNS расшифровывается так – Domain Name System. Английские сочетания переводятся с перестановкой слов, то есть, по-русски это будет вот что: Система Доменных Имен. Эта система включает в себя множество машин, обрабатывающих DNS-запросы. Каждая машина (сервер) может относиться к тому или иному уровню. Позже станет понятно, что это значит.
Пример выполнения обработки
Итак, было сказано, что количество DNS-серверов в Интернете не ограничивается одним или двумя. Сервер нулевого уровня, самого высшего – один, и он продублирован 12-ю другими машинами. Адреса этих 13-ти «высших» машин известны любому DNS-серверу. Рассмотрим, что происходит, когда на сервер провайдера присылается запрос DNS:
Любой «внешний» DNS-сервер может сделать одно из двух: либо прислать искомый адрес, либо указать, к какой машине более низкого уровня надо обращаться.
Схема работы системы DNS
Чтобы лучше понять, как все это работает, посмотрите на приведенную здесь схему. Показано, что будет, если готовый ответ придет на шаге «3». Даже для такого случая, как видим, количество пересылаемых пакетов равняется 6-ти. Вот почему рассматриваемый сервис работает достаточно медленно.
Рекурсивный и итеративный запрос
Компьютер присылает провайдеру рекурсивный запрос, то есть такой, ответом на который может быть только IP, соответствующий запрашиваемому имени. Надеемся, это понятно. А вот сам провайдер направляет «внешним» машинам итеративные запросы. Ответом на них может быть как искомый адрес, так и адрес другого (более низшего) DNS-сервера. В последнем случае запрашивающая сторона связывается с машиной, указанной ей в ответе, и все повторяет по-новому (выполняется так называемая итерация).
Иерархия имен и серверов
Как можно понять, сейчас Интернет устроен так, что количество итераций, требуемых для обработки любого рекурсивного запроса, не может превзойти 3 или 4.
На каждой итерации уровень запрашиваемой машины понижается, что очень важно. Правда, нумеруются эти уровни в обратном порядке (начиная от «0»), но максимум их может быть только 4. Заметим, что все итерации обычно выполняются сетевым маршрутизатором, выступающим в роли DNS-сервера.
Возможности домашних роутеров
Домашний или офисный сетевой комбайн (роутер) может содержать в себе кеширующий сервер доменных имен. Последний можно задействовать, тогда итерации начнет выполнять сам роутер. А если опцию не включать, все запросы просто перенаправляются к провайдеру. «DNS-пересылка» – вот как называется последний вариант настройки.
Иногда надо использовать пересылку, но в некоторых случаях DNS-машину лучше включить. Соответствующая опция в роутерах носит название «DNS-relay». Отключите ее, и вычислительная нагрузка по работе с доменными именами перейдет на оборудование «за роутером». Заметим, что в некоторых моделях офисных устройств эту опцию включить нельзя, так как она не реализована.
Задействуем опцию в интерфейсе
Специалисты рекомендуют поступать так: сначала лучше проверить работоспособность сети, не включая рассматриваемую опцию.
Затем, Вы ее задействуете, и должны будете заметить, насколько быстрее станут открываться сайты. Если два роутера соединены каскадом, то на втором из них (включенном в локальную сеть первого) опцию задействовать не надо! И в любом случае роутер, подключенный к провайдеру, должен «знать» хотя бы два адреса DNS-серверов, услуги которых Вам предоставляются.
КЭШ и кэширование
Были рассмотрены принципы работы машин, составляющих собой систему, позволяющую по значению доменного имени узнать IP-адрес. Для ускорения работы такой системы каждая машина может делать вот что: она запоминает, что именно чаще всего у нее спрашивают. Речь идет о тех сетевых машинах, которые могут обрабатывать рекурсивный запрос. По идее, подобной функциональностью наделяется и маршрутизатор Вашего провайдера, и офисный или домашний роутер (не каждая модель).
Если сайт, и соответствующий ему адрес, были запомнены, происходит вот что: по запрашиваемому значению находится ответ, который сразу отсылается запрашивающей стороне. Число передаваемых пакетов здесь равно 2. Но если Вы в роутере не включите DNS-relay, количество пакетов станет равным как минимум четырем. Получается, что рассматриваемая опция ускоряет работу вдвое, но только с теми сайтами, которые были запомнены (сохранены в КЭШе).
2 или 4 пакета
Отметим, что в домашних роутерах нельзя включить или отключить кэширование. Либо Вы задействуете кэширующий сервер, либо отключаете его полностью. А сделать его «не кэширующим» не получится, таковы уж особенности web-интерфейса. Можно поступить еще проще – задать в настройках роутера одну из публичных машин ДНС. Вроде бы, число передаваемых пакетов при этом резко сократится. Но делать здесь рекламу общедоступным публичным сервисам (вроде Google, Yandex и т.д.) никто не собирается.
Dns relay что это в роутере
На межсетевых экранах серии DFL-260E/860E/870/1660/2560 DNS релей настраивается при помощи IP политик. Для этого необходимо создать такую политику, которая перехватит DNS трафик наплавляемый на само устройство и отправит его на указанный DNS сервер.
Настройка DNS-Relay выполняется в 2 шага. Шаг 1, создание объекта IP с адресом DNS сервера. Шаг 2, создание самой политике релей.
Шаг 1. Создание объекта IP с IP адресом DNS сервера.
Создание объекта с IP адресом через веб интерфейс:
Зайдите на веб интерфейс, Objects → address book, нажмите кнопку add, из выпадающего меню выберите IP Addresses (рис 1.)
В поле Name укажите имя объекта (в примере my_dns), а в поле Addresses укажите IP адрес хоста (в примере 8.8.8.8), куда необходимо перенаправить DNS запрос, затем нажмите кнопку ОК. Пример выполнения этих действий вы можете увидеть на рисунке 2.
Рисунок 2.
Создание объекта с IP адресом через CLI:
Для создания объекта с IP адресом DNS сервера через CLI выполните следующую команду:
add Address IP4Address my_dns Address=8.8.8.8
Шаг 2. Создания IP политики для перенаправления DNS запросов.
Создание IP Политики через веб интерфейс:
Пройдите в веб интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку add, из выпадающего меню выберите IP Policy. (Рис. 3)
В поле Name укажите название политики (в примере dns_relay). Раздел Filter заполните следующим образом:
Service: dns-all
Интерфейс и сеть источника: lan1 и lan1_net
Интерфейс и сеть назначения: core и lan1_ip
В разделе Source Translation из выпадающего меню Address Translation выберите NAT.
В разделе Destination Translation выполните следующие настройки:
Address translation: укажите SAT
Address action: Укажите Single IP
New IP address: Выберите объект с DNS сервером на который отправлять запросы (в примере my_dns)
Пример заполненной формы вы можете увидеть на рисунке 4.
Создание IP политики через CLI
Для создание IP политики с выше описанными свойствами выполните команду:
add IPPolicy Name=dns_relay Service=dns-all SourceInterface=lan1 DestinationInterface=core SourceNetwork=InterfaceAddresses/lan1_net DestinationNetwork=InterfaceAddresses/lan1_ip SourceAddressTranslation=NAT DestAddressTranslation=SAT DestAddressAction=SingleIP DestNewIP=my_dns
Для того, чтобы выполненные настройки вступили в силу, необходимо выполнить их активацию. Для этого в веб интерфейсе выберите Configuration → Save and Activate
Dns relay что это
Что такое DNS
DNS (Domain Name System) — это система преобразования доменных имён в IP-адреса. DNS-сервер содержит записи соответствия определённых доменных имён (имён хостов) соответствующим IP-адресам. Система DNS используется как в Интернете, так и в локальной сети.
Настройка DNS на компьютере
1 Нажмите правой кнопкой мыши по значку сети в панели задач.
2 Выберите Центр управления сетями и общим доступом:
3 Нажмите на ссылку, соответствующую нужному сетевому подключению:
4 Нажмите кнопку Свойства:
5 Найдите в списке пункт Протокол Интернета версии 4 (TCP/IPv4) и выделите его левой кнопкой мыши.
6 Нажмите кнопку Свойства:
7 Установите переключатель в положение Получить адрес DNS-сервера автоматически если в вашей сети работает DHCP-сервер.
В противном случае, установите переключатель в положение Использовать следующие адреса DNS-серверов и укажите адреса серверов.
8 Нажмите OK:
9 Нажмите кнопку Закрыть в окне Ethernet:Свойства для применения настроек:
10 Нажмите кнопку Закрыть в окне Состояние — Ethernet:
Настройка DNS на роутере
Если в вашей локальной сети компьютеры подключены к Интернету через роутер, то в качестве DNS-сервера на компьютерах должен быть указан внутренний IP роутера (например, 192.168.0.1). Всё, что нужно для этого — это включённый DHCP-сервер и включённый параметр DNS relay.
Проверьте настройки DNS в конфигурации WAN-порта:
Войдите в конфигурацию LAN-порта:
Проверьте настройки DNS relay:
Что такое DNS relay и для чего он нужен
DNS relay — это функция трансляции DNS. Если функция включена, в качестве DNS-сервера будет использоваться сам роутер. DNS служба роутера будет разрешать не только Интернет-имена, но и внутренние имена в локальной сети.
Если фукнция выключена, компьютерам будет выдаваться DNS-сервер провайдера или сервер, указанный вручную в настройках WAN-порта. При этом, компьютеры не смогут обращаться друг к другу по имени хоста, т.к. сервера провайдера не обладают информацией о сопоставлении внутренних IP-адресов с именами компьютеров внутри локальной сети.
После смены настроек DNS рекомендуется сбросить кэш командой ipconfig /flushdns
Настройка DNS: видео
Возможно, будет интересно:
Пожалуйста, поделитесь статьей, если она вам понравилась:
Большинство пользователей знают, что такое сервис DNS, точнее, зачем он был создан. DNS-сервер получает запрос с именем сайта, а в ответе должен содержаться адрес IP, соответствующий искомому узлу. Именно так компьютеры могут узнавать, к какому адресу надо обращаться, чтобы перейти на тот или иной сайт. Любой домашний и офисный роутер ДНС запросы тоже обрабатывает, а как именно ему удается это выполнять, вроде бы, не так важно.
Но если разобраться с тем, как на самом деле выглядит алгоритм обработки запроса ДНС, то станет понятно – не все роутеры «одинаково хорошие». Некоторые устройства могут обладать функциональностью настоящего DNS-сервера, ну а другие умеют только передавать информацию на маршрутизатор провайдера.
Обзор разбит на несколько глав, и в первой из них не будет рассматриваться что-либо, имеющее отношение к домашним, либо офисным, сетевым комбайнам. Попытаемся вначале понять, что именно происходит, когда Ваш компьютер пытается открыть сайт. Подразумевается, что адрес DNS-сервера задан в настройках сетевой карты (он может быть получен автоматически или прописан в явном виде). Сейчас в примере будет рассмотрена последовательность действий, выполняемых маршрутизатором провайдера.
Алгоритм обработки доменных имен
Слово DNS расшифровывается так – Domain Name System. Английские сочетания переводятся с перестановкой слов, то есть, по-русски это будет вот что: Система Доменных Имен. Эта система включает в себя множество машин, обрабатывающих DNS-запросы. Каждая машина (сервер) может относиться к тому или иному уровню. Позже станет понятно, что это значит.
Пример выполнения обработки
Итак, было сказано, что количество DNS-серверов в Интернете не ограничивается одним или двумя. Сервер нулевого уровня, самого высшего – один, и он продублирован 12-ю другими машинами. Адреса этих 13-ти «высших» машин известны любому DNS-серверу. Рассмотрим, что происходит, когда на сервер провайдера присылается запрос DNS:
Любой «внешний» DNS-сервер может сделать одно из двух: либо прислать искомый адрес, либо указать, к какой машине более низкого уровня надо обращаться.
Чтобы лучше понять, как все это работает, посмотрите на приведенную здесь схему. Показано, что будет, если готовый ответ придет на шаге «3». Даже для такого случая, как видим, количество пересылаемых пакетов равняется 6-ти. Вот почему рассматриваемый сервис работает достаточно медленно.
Рекурсивный и итеративный запрос
Компьютер присылает провайдеру рекурсивный запрос, то есть такой, ответом на который может быть только IP, соответствующий запрашиваемому имени. Надеемся, это понятно. А вот сам провайдер направляет «внешним» машинам итеративные запросы. Ответом на них может быть как искомый адрес, так и адрес другого (более низшего) DNS-сервера. В последнем случае запрашивающая сторона связывается с машиной, указанной ей в ответе, и все повторяет по-новому (выполняется так называемая итерация).
Как можно понять, сейчас Интернет устроен так, что количество итераций, требуемых для обработки любого рекурсивного запроса, не может превзойти 3 или 4.
На каждой итерации уровень запрашиваемой машины понижается, что очень важно. Правда, нумеруются эти уровни в обратном порядке (начиная от «0»), но максимум их может быть только 4. Заметим, что все итерации обычно выполняются сетевым маршрутизатором, выступающим в роли DNS-сервера.
Возможности домашних роутеров
Домашний или офисный сетевой комбайн (роутер) может содержать в себе кеширующий сервер доменных имен. Последний можно задействовать, тогда итерации начнет выполнять сам роутер. А если опцию не включать, все запросы просто перенаправляются к провайдеру. «DNS-пересылка» – вот как называется последний вариант настройки.
Иногда надо использовать пересылку, но в некоторых случаях DNS-машину лучше включить. Соответствующая опция в роутерах носит название «DNS-relay». Отключите ее, и вычислительная нагрузка по работе с доменными именами перейдет на оборудование «за роутером». Заметим, что в некоторых моделях офисных устройств эту опцию включить нельзя, так как она не реализована.
Специалисты рекомендуют поступать так: сначала лучше проверить работоспособность сети, не включая рассматриваемую опцию.
Затем, Вы ее задействуете, и должны будете заметить, насколько быстрее станут открываться сайты. Если два роутера соединены каскадом, то на втором из них (включенном в локальную сеть первого) опцию задействовать не надо! И в любом случае роутер, подключенный к провайдеру, должен «знать» хотя бы два адреса DNS-серверов, услуги которых Вам предоставляются.
КЭШ и кэширование
Были рассмотрены принципы работы машин, составляющих собой систему, позволяющую по значению доменного имени узнать IP-адрес. Для ускорения работы такой системы каждая машина может делать вот что: она запоминает, что именно чаще всего у нее спрашивают. Речь идет о тех сетевых машинах, которые могут обрабатывать рекурсивный запрос. По идее, подобной функциональностью наделяется и маршрутизатор Вашего провайдера, и офисный или домашний роутер (не каждая модель).
Если сайт, и соответствующий ему адрес, были запомнены, происходит вот что: по запрашиваемому значению находится ответ, который сразу отсылается запрашивающей стороне. Число передаваемых пакетов здесь равно 2. Но если Вы в роутере не включите DNS-relay, количество пакетов станет равным как минимум четырем. Получается, что рассматриваемая опция ускоряет работу вдвое, но только с теми сайтами, которые были запомнены (сохранены в КЭШе).
Отметим, что в домашних роутерах нельзя включить или отключить кэширование. Либо Вы задействуете кэширующий сервер, либо отключаете его полностью. А сделать его «не кэширующим» не получится, таковы уж особенности web-интерфейса. Можно поступить еще проще – задать в настройках роутера одну из публичных машин ДНС. Вроде бы, число передаваемых пакетов при этом резко сократится. Но делать здесь рекламу общедоступным публичным сервисам (вроде Google, Yandex и т.д.) никто не собирается.
Настройка DNS на маршрутизаторе
Этот пример описывает настройки DNS Relay для межсетевых экранов. Все межсетевые экраны DFL (DFL-210/800/1600/2500) поддерживают эту функцию, начиная с прошивок v2.04 и более поздних.
Примечание: Что касается этой функции, она обеспечивает только передачу/пересылку DNS пакетов, т.к. D-Link DFL межсетевые экраны не имеют встроенного DNS-сервера в ядро операционной системы. Таким образом, они не могут заменить реальный DNS сервер для обеспечения конвертации доменных имен и относительной функциональности.
1. Настройка адресов
Создайте IP Address с именем dns_server с адресом 12.0.0.1
2. Создайте IP правила для перенаправления DNS пакетов в Интернет.
Создайте новое правило IP Rule с действием SAT.
Во вкладке General:
General:
Name: SAT_DNS_Relay
Action: SAT
Service: dns_all
Address Filter:
Source Interface: lan
Source Network: lannet
Destination Interface: core
Destination Network: lan_ip
Во вкладке SAT:
General:
Translate the: Destination IP Address
New IP Address: dns_server
Нажмите Ok.
Создайте аналогичное правило IP Rule с действием NAT. Если среда не NAT, создайте вместо этого правило ALLOW.
Во вкладке General:
Name: Allow_DNS_Relay
Action: NAT
Service: dns_all
Address Filter:
Source Interface: lan
Source Network: lannet
Destination Interface: core
Destination Network: lan_ip
Нажмите Ok.
Убедитесь, что два этих правила находятся перед другими правилами (т.е. allow_standard правилами).
И также, установите все персональные компьютеры PC, чтобы иметь firewall lan_ip (192.168.1.1) в качестве DNS сервера.
Сохраните и активизируйте конфигурацию межсетевого экрана.