電訊茶室 - Powered by Discuz! Board

標題: 请问图中 DNS server 设定？ [打印本頁]

作者: vpn-learner 時間: 2017-1-22 01:21 標題: 请问图中 DNS server 设定？

请问图中 DNS server 设定？
[attach]3825[/attach]

请教一下，图中的server 框一栏及 Dynamic servers 一栏有什么区别呢？
如果我想设定我在香港ISP的 DNS server 来防止被大陆污染，应该在那个位置设定呢？
先谢了！

作者: yiucsw 時間: 2017-1-22 18:17

用處不大，在中國是Monitor DNS 53 Port。所以最好通過VPN到香港的DNS。

作者: gfx86674 時間: 2017-1-22 18:31

请问图中 DNS server 设定？

请教一下，图中的server 框一栏及 Dynamic servers 一栏有什么区别呢？
...
vpn-learner 發表於 2017-1-22 01:21

Dynamic dns是ppp-client或dhcp-client從ISP業者Server抓取DNS.
[attach]3826[/attach]

[attach]3827[/attach]

但注意這DNS指定的是給Router使用,而非pc群組的.
pc群組在/ip dhcp-server network內指定的才是.
[attach]3828[/attach]

您會怕DNS的感染,那肯定有VPN繞道的需求.
防範很簡單,使用公網的DNS時不要直接用預設的ISP接口連結,一樣經VPN接口繞道即可.

作者: vpn-learner 時間: 2017-1-23 10:07

防範很簡單,使用公網的DNS時不要直接用預設的ISP接口連結,一樣經VPN接口繞道即可.

请问可在哪里设置？
谢谢！

作者: vpn-learner 時間: 2017-1-23 10:16

我正是从大陆（DDWRT）VPN 回香港的mikrotik 时，发觉被大陆DNS污染了，不知怎样设置DNS解决这个问题？

作者: gfx86674 時間: 2017-1-23 12:09

本帖最後由 gfx86674 於 2017-1-23 12:15 編輯

我正是从大陆（DDWRT）VPN 回香港的mikrotik 时，发觉被大陆DNS污染了，不知怎样设置DNS解决这个问题？ ...
vpn-learner 發表於 2017-1-23 10:16

把mikrotik的dns server啟用:
[attach]3830[/attach]

若您的mikrotik vpn-server-profile地址設為192.168.88.128
[attach]3831[/attach]

您ddwrt的dhcp內dns-server設置,就設192.168.88.128即可.

切記ddwrt勿設定second-dns-server ,
目的是為了讓first-dns-server:192.168.88.128成為ddwrt唯一的選擇;
否則多了個second-dns-server,就有可能節外生枝前功盡棄了~

作者: vpn-learner 時間: 2017-1-23 12:42

回復 6# gfx86674

太感谢了！

作者: vpn-learner 時間: 2017-1-23 16:37

gfx86674 兄，

如果我如下图这般设置可以不？(在香港的mikrotik router 内）
[attach]3832[/attach]

作者: gfx86674 時間: 2017-1-23 17:54

回復 8# vpn-learner
除非您ddwrt的vpn-route ,優先權大於原本的isp-route ,不然一點作用也沒有.
連接203.185.0.32與203.186.94.20 只會往原本的isp去,並不會使用vpn.

作者: yiucsw 時間: 2017-1-23 20:50

在这里以前我问过，有人給了答案，现在找不到。主要是將Port53 的Request 通過VPN到香港那DNS resolver。

http://ju.outofmemory.cn/entry/275083
http://www.xlgps.com/article/121684.html

作者: gfx86674 時間: 2017-1-23 21:54

本帖最後由 gfx86674 於 2017-1-23 22:41 編輯

在这里以前我问过，有人給了答案，现在找不到。主要是將Port53 的Request 通過VPN到香港那DNS resolver。

...
yiucsw 發表於 2017-1-23 20:50

這很容易,
首先路由表您的default route(目前使用的isp)的distance不能為最優先,也就是不能為0或1
小弟的習慣是將isp的distance設為5.
dst-address=0.0.0.0/0 gateway=isp distance=5

像google的dns server =>8.8.8.8
您只要在/ip route 新增:
dst-address=8.8.8.8/32 gateway=vpn-client distance=4

因為gateway=vpn-client distance=4 優先於gateway=isp distance=5 ,
8.8.8.8便不會透過isp去連接,而是指定往vpn-client方向去.

但dst-adress=8.8.8.8/32 ,vpn-client與isp的distance皆為1 ,兩者權限一樣...
這就一點意義也沒有,往那接端看router當時的心情

如範例:
[attach]3833[/attach]
小弟讓想連結郵件伺服器202.39.224.125的電腦,皆透過<sstp-afactcat>去連結,
而非ether1-wan(default route) ,即透過這樣的概念下去完成的.

作者: yiucsw 時間: 2017-1-27 12:09

改不了 /IP Route。有什麼辦法改？

首先路由表您的default route(目前使用的isp)的distance不能為最優先,也就是不能為0或1
小弟的習慣是將isp的distance設為5.
dst-address=0.0.0.0/0 gateway=isp distance=5

作者: gfx86674 時間: 2017-1-27 16:57

本帖最後由 gfx86674 於 2017-1-27 16:58 編輯

回復 12# yiucsw
您的isp應該是兩種方式之一連接的,直接宣告distance值即可:
pppoe-client:
[attach]3835[/attach]

dhcp-client:
[attach]3837[/attach]

作者: yiucsw 時間: 2017-1-28 11:17

謝謝，我看到你沒選Peer DNS，是自己定？還是什麼原因？

作者: gfx86674 時間: 2017-1-28 13:00

回復 14# yiucsw
Peer DNS是router直接從isp抓取dns.

我想讓router用google dns,非是isp的.
所以不勾選peer dns ,而是在/ip dns新增8.8.8.8(google dns)使用.

若是勾選peer dns ,router等於多了好幾個dns可用
(多組dns server時,router決定使用的是亂數決定並無固定)
尤其是有dns汙染風險的中國 ,isp給的dns是汙染過的無法信任.

作者: gfx86674 時間: 2017-1-28 13:17

dns汙染千萬別被"汙染"這兩字混淆.

而是說您要連接到8.8.8.8 ,但您連接的並非是8.8.8.8
而是在isp這邊偷偷幫您映射到x.x.x.x的地址去.

所以您dns查詢的結果是x.x.x.x給的,而非原來的8.8.8.8
x.x.x.x給的查詢地址是有誤甚至是空白的,所以您永遠連接不到目的網址去.

所以若要防dns汙染,盡量用私人地址,不用公開的,這樣才不會被針對被映射到別處去.
要不然則是將dns地址透過vpn連接,透過vpn-server代理查詢才是較佳的方式.

作者: vpn-learner 時間: 2017-1-28 19:30

把mikrotik的dns server啟用:

若您的mikrotik vpn-server-profile地址設為192.168.88.128

您ddwrt的dh ...
gfx86674 發表於 2017-1-23 12:09

是否如下图的大陆 ddwrt router 位置输入 DNS server 地址（香港 mikrotik 的地址）？
[attach]3838[/attach]

作者: gfx86674 時間: 2017-1-28 20:26

回復 17# vpn-learner
我原本是說vpn-server的地址,
但mikrotik 的lan地址也是可以的,先決條件是192.168.101.1透過vpn要連接的到.

建議您先用ddwrt的ping工具先試ping 192.168.101.1看看.
若ping 192.168.101.1有正常回應 ,那ddwrt的dns server就指定192.168.101.1吧

作者: vpn-learner 時間: 2017-1-29 00:06

本帖最後由 vpn-learner 於 2017-1-29 00:12 編輯

gfx 兄，

谢谢你的指导！

歡迎光臨電訊茶室 (http://telecom-cafe.com/forum/)