Правильная настройка dhcp на роутере

DHCP-сервер — до недавнего времени этот термин использовался только среди профессионалов в области информационных систем. Но с появлением интернет-маршрутизаторов практически в каждой квартире разобраться с тем, как работает DHCP, будет нелишним и для простых людей, не связанных с телекоммуникационными сетями.

Что такое DHCP

Дословно эта аббревиатура (protocol DHCP) означает Dynamic Host Configuration Protocol, что в переводе на русский язык означает «протокол динамической настройки узла». Благодаря этой технологии не требуется прописывать на каждом клиенте сетевые параметры, такие как:

• IP-адрес;
• Маска подсети;
• Основной шлюз;
• Адрес DNS-сервера.

В рамках этой статьи определим термины:

• Клиент (Client) – устройство, с которого происходит выход в интернет;
• Сервер (Server) – устройство, предоставляющее возможность выхода в интернет для клиента.

Простыми словами, DHCP выполняет всю работу по подбору сетевых настроек автоматически, без необходимости присваивать вручную каждому устройству свой IP-адрес. Это очень упрощает работу системного администратора в случае расширения сети.

Виды

Для выхода в интернет используется протокол IPv4. Для своей работы он применяет IP-адреса. IP у каждого компьютера в рамках одной сети должен быть уникальный.

Определение адресов может быть двух типов:

• Статическое (распределение вручную) – IP каждому клиенту присваивается вручную администратором сети;
• Динамическое (DHCP) – IP присваиваются автоматически исходя из заданных условий.

Принцип действия

Если то для чего нужен DHCP, понять довольно просто, то с принципом его работы нужно немного разобраться. Присвоение IP посредством DHCP выполняется в 4 действия:

• Discover (Поиск сервера). Клиент, которому нужно получить сетевой адрес, отправляет сообщение на все компьютеры в сети с запросом на присвоение ему IP. Для своей временной идентификации клиенту присваивается адрес 0.0.0.0;
• Offer (Предложение сервера). Сервер получает запрос от клиента, анализирует его и, исходя из своих настроек, подбирает конфигурацию и отправляет её клиенту;
• Request (Запрос). Получив предлагаемые настройки, клиент отправляет на адрес ответившего ему сервера запрос о предоставлении ему этих настроек;
• Acknowledge (Подтверждение). Сервер получает запрос на уже конкретные настройки, предложенные ранее, создаёт привязку для клиента и отправляет ему их.

Присвоенные настройки выдаются не навсегда, а на какое-то время. Когда срок аренды (lease time) адреса подходит к концу, клиент отправляет на сервер запрос для обновления аренды этого же адреса. Сервер получает запрос, и если никаких причин для отказа нет, обновляет аренду.

Весь этот обмен пакетами происходит в пределах одной подсети, если клиент и сервер находятся в разных подсетях, то нужно использовать DHCP Relay для связи между ними.

IP адресация

Для работы по сети любому устройству требуется IP-адрес. В протоколе IPv4 это числовой идентификатор, состоящий из 4 разрядов, каждый из которых отделяется точкой, без него устройство не может быть определено в сетевой инфраструктуре. Зачастую маршрутизатор имеет IP-адрес 192.168.1.1, а подключённое к нему устройство, например, 192.168.1.2.

Клиенту должна быть присвоена определённая маска подсети, например, 255.255.255.0. Она позволяет определить к какой сети относится данный клиент.

Для связи между интернетом и сетью в любой сети должен быть определён IP-адрес основного шлюза. В роли шлюза выступает маршрутизатор, который предоставляет доступ в сеть всем устройствам в своей сети.

Проблемы с интернетом и сетью

При использовании DHCP могут возникать некоторые проблемы с доступом в интернет:

• Дублирование IP. Когда в пределах одной сети у двух и более устройств прописан один и тот же адрес, то возникнет ошибка «Address Already in Use», что означает, что данный адрес уже используется. В этом случае нужно проверить настройки IP на всех компьютерах и изменить совпадающие. Это может быть из-за того, что на роутере установлена раздача адресов по DHCP или присвоены статические адреса некоторым устройствам, и из-за того, что неправильно задан диапазон IP, раздаваемых динамически, DHCP сервер пытается присвоить уже используемый адрес. Для решения этой проблемы можно посмотреть список клиентов DHCP и передвинуть диапазон динамических адресов далее;
• Исчерпание IP. Это означает, что пул адресов, доступных для динамической раздачи, исчерпан и его нужно расширить, чтобы новые устройства могли получать адреса.
• Неправильная настройка DHCP и клиента. В случае, если изменить на самом клиенте присвоенные ему автоматические настройки, то доступа в сеть не будет. Присваивать адреса клиентам нужно на роутере, и уже после и на клиенте.

Включение в Windows

В случае подключения компьютера напрямую к кабелю от интернет-провайдера, как правило, умения работать с DHCP не требуется. Поскольку в большинстве случаев подключение физических лиц происходит через протокол PPPoE, в котором пользователю нужно лишь создать подключение к сети и ввести там свой логин и пароль. В этом случае компьютеру будет присвоен динамический IP, который через время изменится на другой. И в этот момент пользователь не догадывается, что служба DHCP уже вовсю работает на его компьютере, и позволяет провайдеру предоставить ему любой IP.

Для настройки DHCP сервера в операционной системе Windows нужно зайти в “Центр управления сетями и общим доступом” и выбрать пункт “Изменение параметров адаптера”. В открывшемся окне нужно найти сетевую карту и в контекстном меню выбрать пункт “Свойства”, в новом окне найти пункт “IP версии 4” и нажать на кнопку “Свойства”. В открывшемся окне можно увидеть, что активны настройки получения адреса автоматически.

В случае, если провайдер предоставил вам статический IP, то это означает что для доступа в интернет устройство должно иметь строго тот адрес, который выдал провайдер, для этого в этом же окне нужно указать параметры, выданные провайдером. Проведя соответствующие настройки, вы отключите DHCP на своём компьютере и ему никто не сможет присвоить другой адрес, отличный от того, который был установлен.

Настройка на роутерах

Всё это относилось к настройкам внешнего IP, но что делать, если у пользователя стоит задача обеспечить доступом в интернет несколько устройств? В этом случае нужно использовать маршрутизатор, для настройки которого пригодится умение работать с DHCP.

В зависимости от того, какой тип подключения используется, с выделенным или динамическим IP, так же как и в случае с настройкой подключения в операционной системе, роутер получит либо динамический (DHCP), либо статический IP.

Но это ещё не всё, ведь для каждого устройства, подключённого к сети, требуется собственный адрес, уникальный только в рамках данной сети, чтобы роутер мог «понимать», как ему общаться с тем или иным устройством. Внешний адрес, уникальный в глобальной сети, у всех устройств будет точно такой же, как и у маршрутизатора, а вот с внутренними нужно будет разобраться непосредственно пользователю.

Сам роутер имеет статический внутренний IP, обычно это 192.168.1.1 или 192.168.0.1. На всех роутерах DHCP сервер активирован по умолчанию. Это сделано для того, чтобы можно было подключиться к маршрутизатору с любого устройства, роутер сам определит, какой ему присвоить адрес и даст доступ во внутреннюю сеть. Такой способ подключения клиентов очень удобен, ведь в этом случае не нужно проводить предварительную настройку каждого устройства и присваивать каждому уникальный внутренний адрес. Все новые устройства без проблем получат адреса и доступ в сеть.

Однако это может быть неудобно, если нужно управлять этими устройствами, в этом случае лучше будет отключить динамическое распределение адресов и присвоить каждому устройству свой IP. Принцип настройки DHCP-сервера на роутере разных моделей одинаков, но достигается разными путями.

Итак, всё же как включить DHCP на роутере? Если вкратце, то нужно сначала активировать работу сервера, настроить пул (диапазон адресов, которые выдаются роутером автоматически) задав начальный и конечный IP и время его аренды.

Asus

Настройка роутера этой фирмы происходит следующим образом. В левом краю web-панели есть пункт “Локальная сеть”, нажав на него, нужно выбрать вкладку DHCP-сервер. На открывшейся странице нужно отметить пункт “Да” в графе “Включить DHCP-сервер”.

Здесь можно настроить пул выдаваемых автоматически адресов и время аренды.

D-Link

Настраивать роутеры D-Link чуть сложнее, поскольку у них сильно разнятся варианты исполнения интерфейса. Но обычно пункт настройки DHCP вынесен непосредственно в основное меню на главной странице.

Здесь всё те же настройки, только выглядят несколько иначе.

TP-LINK

Параметры DHCP на устройствах TP-LINK доступны практически с главной страницы интерфейса.

В левом краю есть стэк “DHCP”. Развернув его, можно увидеть ещё три пункта, в которых можно настроить, посмотреть список клиентов и зарезервировать адреса для определённых клиентов. Для настройки нужно выбрать пункт “Настройка DHCP”. Далее нужно активировать сервер и произвести его настройку, задав интервал и время аренды.

Zyxel keenetic

Для настройки роутеров Zyxel нужно зайти в панель Администратора, затем в настройки домашней сети.

Там выбрать вкладку “Параметры IP” и поставить галочку “Включён” в пункте “Сервер DHCP”.

Netis

Настройки роутеров Netis несколько более скудные, здесь можно включить и отключить DHCP на маршрутизаторе и задать диапазон выдаваемых IP.

Попасть в эти настройки можно из стэка “Сеть”, пункт “LAN”.

Upvel

В левом стеке есть пункт “Основные настройки”, там “Интерфейс LAN”, в нём на выбор можно включить DHCP или DHCP Relay (ретранслятор в другие подсети).

Здесь можно установить диапазон адресов, срок аренды и редактировать список зарезервированных клиентов, добавлять и удалять их.

Была ли эта статья полезной?

В локальной сети каждое устройство имеет свой уникальный IP-адрес — набор цифр, который идентифицирует его и позволяет другим устройствам обмениваться с ним данными. IP-адреса могут прописываться вручную для каждого устройства, однако это неудобно, так как требует отдельной настройки каждого компьютера для работы с сетью. Чтобы автоматизировать этот процесс, используется протокол динамического конфигурирования хостов — DHCP.

Что такое DHCP

В больших сложно структурированных сетях за раздачу IP-адресов отвечает специальный компьютер — сервер. Для домашней сети или сети небольшого офиса в этом нет необходимости, достаточно обычного роутера.

Все современные роутеры в своём функционале имеют встроенную службу DHCP. Если она настроена и включена, вам не потребуется отдельно настраивать сетевое подключение на компьютере, ноутбуке, планшете или смартфоне. Для беспроводных устройств просто нужно включить Wi-Fi, найти в списке беспроводных сетей свою и ввести пароль для подключения к ней. Если же соединение с сетью осуществляется через кабель, достаточно чтобы он был подключён к сетевой карте вашего компьютера.

Когда в сети появляется новое устройство, служба DHCP проверяет список свободных IP-адресов и присваивает ему один из них. При этом дублирование адресов исключено.

Как настроить DHCP

По умолчанию служба DHCP на роутерах уже настроена. Достаточно подключить клиентское устройство через Wi-Fi или кабель и ему будет автоматически присвоен IP-адрес. Однако может возникнуть потребность изменить настройки DHCP, отключить или включить его. Рассмотрим настройку DHCP на примере роутера TP-link. Для других маршрутизаторов алгоритм будет точно такой же.

Заходим в веб-интерфейс роутера и в меню справа видим пункт «DHCP» и подпункт «Настройка DHCP». На открывшейся вкладке можно изменить параметры, прописанные по умолчанию. Также здесь можно включить или выключить службу DHCP.

Для службы DHCP должен быть задан диапазон используемых IP-адресов, которые вписываются в соответствующие поля. Начальный IP-адрес это соответственно первый адрес диапазона, а конечный IP-адрес — последний. По умолчанию диапазон IP указан с 192.168.0.100 по 192.168.0.199. Но можно прописать, например, с 10.1.1.1 по 10.1.1.99. Можно вообще указать диапазон в пределах двух-трёх адресов, например, по количеству клиентских устройств.

Следующий обязательный пункт — срок действия адреса в минутах. Это время, на которое конкретный IP может присваиваться конкретному устройству. По его истечении IP может быть изменён или присвоен другому устройству.

Остальные пункты заполнять необязательно, DHCP сам укажет нужные параметры для клиентских устройств. Однако эти параметры при желании можно прописать вручную.

Основной шлюз это IP-адрес маршрутизатора — канал, по которому происходит обмен трафиком с интернетом. Обычно он указывается, если доступ в интернет осуществляется через точку доступа с другим адресом. Но если в вашей сети только один роутер и он подключён к интернету напрямую, прописывать здесь ничего не нужно.

Домен по умолчанию — это доменное имя вашей сети. В небольших сетях, где используется небольшое количество клиентских устройств, настраивать его не имеет смысла.

Предпочитаемый и альтернативный DNS-сервер обычно указываются провайдером. Но можно вписать сюда публичные DNS-сервера Google — 8.8.8.8 и 8.8.4.4. Это, например, помогает устранить неполадки с доступом к интернету — бывает, что DNS провайдера глючат, подключение есть, но страницы не открываются. Также это часто позволяет обойти блокировки доступа к определённым ресурсам, например, торрентам.

После внесения изменений нажмите кнопку «Сохранить», чтобы применить новые настройки.

Для того, чтобы ваша сеть начала работать с новыми параметрами, роутер необходимо перезагрузить.

Чтобы клиентские устройства могли подключиться к службе DHCP, в настройках сетевого подключения у них должен быть установлен параметр «Получить IP-адрес автоматически».

Как включить DHCP

Если служба DHCP на вашем роутере отключена, включить её можно здесь же, в меню DHCP — настройки DHCP. Для этого нужно поставить галочку в пункте «Включить» и нажать кнопку «Сохранить» внизу страницы. Служба будет запущена. Если этого не произошло, перезагрузите роутер.

Как выключить DHCP

Если служба DHCP вам не нужна, когда, например, вы решили вручную прописать IP для всех своих устройств, отключить её можно точно так же. Переходим на вкладку «Настройка DHCP» и ставим галочку в пункте «Отключить». Сохраняем настройки. Теперь клиентские устройства при подключении к вашей сети не смогут получать IP-адреса автоматически.

Список клиентов

Для того, чтобы посмотреть какие именно устройства в данный момент подключены к вашей службе DHCP, в пункте меню «DHCP» веб-интерфейса вашего роутера перейдите в подпункт «Список клиентов DHCP». Здесь вы увидите таблицу с информацией о текущих подключениях.

ID — означает порядковый номер.

Имя клиента — это имя устройства, если оно ему присвоено.

МАС-адрес — соответственно МАС-адрес данного устройства.

Назначенный IP — адрес, который был присвоен устройству сервером DHCP.

Срок действия — соответственно, оставшееся время, в течение которого данный адрес будет действителен.

Если у вас возникли опасения, что к вашей сети подключился кто-то посторонний, вы можете в любой момент проверить информацию о подключенных устройствах на этой вкладке. Для того чтобы обновить текущую информацию, нажмите кнопку «Обновить». Список подключённых устройств будет обновлён.

Резервирование адресов

Служба DHCP предоставляет IP-адреса клиентским устройствам на определённый промежуток времени. После этого адрес может быть изменён. Также, подключаясь к сети, каждый компьютер или смартфон каждый раз будет получать новый адрес. А тот адрес, который использовался им ранее, может быть предоставлен другому устройству. Обычно смена адресов происходит незаметно для пользователя и не влияет на работу сети. Однако может возникнуть необходимость сделать так, чтобы у конкретного компьютера IP-адрес не менялся. Это может быть актуально, если вы играете по локальной сети в игры или же данному компьютеру присвоены какие-то специфические функции, которые будут работать только при статичном IP.

Есть простой способ решить эту задачу с помощью DHCP — зарезервировать IP-адрес за конкретным компьютером.

Для этого переходим в подпункт «Резервирование адресов» пункта меню «DHCP». Если ранее вы уже резервировали адреса, здесь будет доступен список устройств, который можно редактировать по мере необходимости. Если же нет, жмём кнопку «Добавить».

В открывшемся окне нужно ввести МАС-адрес устройства и IP, который будет за ним зарезервирован.

Здесь же можно включить или выключить резервирование адреса для этого устройства, изменив соответствующий параметр в пункте «Состояние».

После ввода параметров нажмите кнопку «Сохранить». Теперь это устройство всегда будет получать при подключении к сети только этот IP-адрес.

После сохранения параметров вы вернётесь в предыдущее окно. В списке устройств теперь будет видно то, которое вы только что добавили. Нажав «Изменить», вы можете отредактировать параметры резервирования адреса. А с помощью пункта «Удалить» удалить устройство из списка и отменить резервирование.

С помощью кнопок «Включить всё», «Отключить всё» и «Удалить всё» вы можете управлять резервированием адресов для всех устройств из списка.

Для применения сделанных изменений вам понадобится перезагрузить роутер. Напоминание об этом появится в нижней части окна.

DHCP-сервер является важной функцией на роутере, которая автоматически назначает IP-адреса устройствам в локальной сети. Это простой и удобный способ упрощения настройки локальной сети и избежания конфликтов сетевых настроек. В этой статье мы расскажем, как правильно настроить DHCP на роутере, а также как настроить DHCP-сервер и что делать при отключении функции DHCP.

1. Как включить DHCP на роутере
2. Как настроить DHCP вручную
3. Как настроить сервер DHCP
4. Почему нужно отключать DHCP на роутере
5. Какие параметры передает DHCP
6. Полезные советы и выводы

Как включить DHCP на роутере

1. Перейдите на вкладку «Локальная сеть» > «DHCP-сервер» на странице управления роутером.
2. Включите функцию DHCP-сервера, чтобы разрешить DHCP-серверу маршрутизатора автоматически назначать IP-адреса сетевым клиентам. Если эта функция отключена, то Вам потребуется вручную назначить IP-адреса для Ваших устройств в локальной сети.

Как настроить DHCP вручную

Если вы предпочитаете настроить DHCP вручную, следуйте этим инструкциям:

1. Нажмите кнопку Пуск и выберите Параметры > Сеть и Интернет.
2. Выполните одно из следующих действий:

• В разделе Назначение IP нажмите кнопку Изменить.
• В разделе Изменить параметры IP выберите параметр Автоматически (DHCP) или Вручную.

Как настроить сервер DHCP

Если вы хотите настроить DHCP-сервер для вашей локальной сети, то следуйте этим шагам:

1. Нажмите [Пуск] и выберите [Инструменты администратора]> [Диспетчер сервера].
2. Выберите пункт [Добавить роли] в меню [Сводка ролей].
3. Нажмите [Далее] в меню [Мастер добавления ролей].
4. Установите флажок [Сервер DHCP] и нажмите кнопку [Далее].
5. Настройте параметры, следуя инструкциям на экране.

Почему нужно отключать DHCP на роутере

После отключения функции DHCP-сервера LAN компьютеры, подключенные к роутеру, больше не смогут автоматически получать IP-адреса и доступ к веб-странице управления роутером. Однако, это может пригодиться при необходимости избежать возможных атак на вашу сеть, таких как подделка MAC-адреса.

Какие параметры передает DHCP

Помимо служебных параметров, DHCP-сервер облака всегда передаёт следующие опции:

• Router (option 3) — первый используемый адрес подсети;
• Address Time (option 51) — время, на которое адрес предоставляется в аренду (1 час);
• Hostname (option 12) — вида ip-. .

Полезные советы и выводы

Настройка DHCP на роутере значительно облегчает жизнь администраторам, позволяя автоматически назначать IP-адреса устройствам в локальной сети. Однако, в некоторых ситуациях может быть полезным отключать эту функцию, чтобы избежать возможных атак на вашу сеть.

Важно помнить, что DHCP-сервер используется для целей автоматического назначения IP-адресов и других параметров сетевым клиентам в вашей локальной сети. Вы можете изменить параметры DHCP вручную или использовать DHCP-сервер для создания своей локальной сети.

При настройке DHCP-сервера обязательно следуйте инструкциям на экране и убедитесь в правильности настроек перед сохранением. И, конечно, не забывайте о безопасности вашей сети при использовании DHCP на роутере.

Со службами DHCP и DNS знакомы, пожалуй все, ведь это базовые службы для сетей любого размера. Но их настройка обычно сводится к установке базовых параметров и затем о них забывают. Действительно, ну что может быть в них интересного, особенно если это неполноценные сервера, а службы роутера. Это так, если говорить о бытовых роутерах, где пользователю стараются не давать в руки лишних инструментов, но RouterOS рассчитана на иную аудиторию и предоставляет широкий спектр возможностей, которыми глупо не воспользоваться.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

DNS (Domain Name System)

В отличие от DHCP считается, что свой DNS — это удел крупных сетей, а небольшие организации вполне могут жить и без нее, используя сервера провайдера или публичные сервера. Отчасти это так, но упуская из своих рук одну из ключевых сетевых служб администратор теряет многие инструменты контроля и управления в собственной сети.

Как работает система DNS мы рассказывали в одной из наших статей, рекомендуем ее к прочтению, особенно если вы не до конца разбираетесь в вопросе. Основное, на что нужно обратить внимание — это иерархичность системы. Данные зон хранятся на собственных серверах и для получения информации из них следует прибегать к рекурсии. Это достаточно затратный процесс, поэтому многие сервера кешируют запросы и отвечают на повторные обращения самостоятельно.

Скорость ответа на DNS-запрос очень важна для комфортного использования интернета. Внешне это может проявляться как «задумчивость» браузера, который некоторое время «думает», а только потом начинает грузить страницу. При этом сама скорость канала может быть высокой, а пинг к требуемому серверу небольшим. Неопытного админа такая ситуация может сильно озадачить, но все просто — это долго отвечает используемый DNS-сервер. Ведь прежде, чем начать взаимодействие с сервером, браузер должен получить от DNS-клиента его адрес, передав последнему доменное имя.

Mikrotik дает нам возможность использовать кеширующий DNS-сервер прямо на роутере и если вы настроили использование роутера в качестве DNS — то вы его уже используете. Еще раз перейдем в IP — DNS и внимательно посмотрим на настройки:

В самом низу расположены настройки кеша: его размер (Cache Size) и максимальное время хранения записей (Cache Max TTL). Еще ниже располагается показатель использования кеша — Cache Used — который показывает его текущий размер. Если он начинает приближаться к размеру кеша, то последний следует увеличить. Просмотреть кеш можно нажав на кнопку Cache.

Глядя на значение TTL, можно подумать, что это очень много, целая неделя. Но это — максимальное время хранения записи, реальное время хранения определяется временем TTL в SOA-записи домена, причем Mikrotik использует минимальное значение — Minimum TTL. В этом несложно убедиться, мы очистили кеш и посетили один из своих сайтов, минимальный TTL которого равен 4 часам:

Как видим, Mikrotik использовал значение TTL из SOA-записей, ни о каких 7 днях речи не идет. Тогда для чего нужна эта настройка? Вы можете обновлять кеш чаще, чем это указано в TTL-домена. Если значение максимального TTL Mikrotik будет меньше, чем указанное в SOA-домена, то будет использоваться именно оно.

Это может быть полезным, если вы внесли какие-либо изменения во внешнюю зону и желаете быстрее обновить кеш. Как показывает практика, публичные сервера, такие как Google, OpenDNS или Яндекс тоже часто игнорируют TTL из SOA и обновляют свой кеш чаще.

Очистить кеш можно кнопкой Flush Cache в окне Cache или командой в терминале:

ip dns cache flush

Но это еще не всё, изучение кеша может быть полезным для изучения сетевой активности пользователей, если они используют в качестве DNS ваш роутер — то вся их сетевая активность отразится в кеше. Говорите, никто не сидит в соцсетях?

Поэтому, если у вас нет иных инструментов логирования и статистики, то изучение записей кеша вполне позволит получить картину сетевой активности ваших пользователей.

На этом закончим с кешем и перейдем к другому разделу — Static. Он позволяет создавать нам собственные записи типа A (и больше ничего кроме них). Не густо, но основную часть потребностей это перекрывает. Перенесли сайт на новый сервер? Не нужно ждать пока обновятся DNS-записи, заходим в раздел Static и создаем собственную запись:

Проверим, как это работает. Выполним разрешение имени на клиенте:

Как видим — все работает отлично.

Отдельный разговор — плоские имена. В одноранговой сети часто бывает нужно указать имя узла, который не поддерживает NetBIOS, скажем ноду Hyper-V Server или машину с Linuх. Аналогично создаем запись:

Но имейте ввиду, работать такое разрешение имен будет только на Windows машинах, на Linux вы получите ошибку:

Но так как большинство сетей имеет преимущественно Windows ПК, то особых проблем плоские имена не доставят, и вы можете смело добавлять их записи на DNS Mikrotik вместо того, чтобы прописывать в hosts на каждой машине.

Так так, скажет внимательный читатель, это же можно использовать для блокировки нежелательных ресурсов и будет прав. Если мы не хотим, чтобы пользователи сидели в соцсетях, то добавим на сервер записи, который будут разрешать такие запросы в 127.0.0.1:

Проверим?

Вроде бы работает, но недостаток такого метода, что мы заблокировали только основной домен и пользователь легко сможет зайти через мобильный поддомен:

Чтобы этого избежать следует использовать регулярные выражения. К сожалению, в большинстве инструкций в интернете приводятся неправильные выражения, с которыми фильтр работать не будет, поэтому мы советуем использовать для создания и проверки регулярных выражений ресурс regex101.com. Это избавит вас от ошибок и вопросов в стиле «я сделал все как написано в статье, но ничего не работает».

Скажем, чтобы заблокировать домен vk.com со всеми поддоменами нам потребуется выражение:

\.?vk\.com

Внесем его в соответствующее поле Mikrotik:

И проверим, теперь любое, даже заведомо не существующее имя в домене vk.com будет разрешаться в 127.0.0.1, что нам и требовалось.

Но это правило заблокирует также любые ресурсы, которые заканчиваются на vk.com, для того, чтобы этого избежать, нам потребуется более сложное выражение:

^([A-Za-z0-9.-]*\.)?vk\.com

В небольших сетях, где пользователи имеют достаточно прав, всю эту идиллию можно быстро перечеркнуть, вручную прописав собственные DNS. Как с этим бороться? Решение в лоб — заблокировать прохождение DNS-запросов в цепочке FORWARD, но тогда у «продвинутого» пользователя вообще перестанет работать интернет, поэтому мы поступим по-другому.

Откроем IP — Firewall — NAT и добавим правило: Chain: dstnat, protocol: udp, Dst. Port: 53 и на закладке Action выберем действие redirect.

Потом создаем точно такое же правило для протокола tcp. Эти же самые действия можно быстро выполнить в терминале:

ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect
add chain=dstnat protocol=tcp dst-port=53 action=redirect

Теперь любые DNS-запросы от пользователей сети будут перенаправляться на наш DNS-сервер на роутере, что сделает любые попытки обойти локальный DNS бессмысленными.

Как видим, DNS-сервер роутера Mikrotik, несмотря на кажущуюся простоту, в общем не так уж и прост и дает в руки администратора достаточно широкие возможности.

DHCP (Dynamic Host Configuration Protocol)

Когда речь заходит о DHCP, то обычно имеют ввиду автоматическое присвоение сетевых параметров, таких как IP-адрес, маска, шлюз и DNS-сервера. Но на самом деле возможности протокола намного шире и позволяют настроить очень многие сетевые параметры. Все возможности протокола описаны в RFC 2132, но мы не будем забираться столь глубоко, а рассмотрим в качестве примера только несколько наиболее популярных опций.

Прежде всего это Option 15 (DNS Domain Name) — которая позволяет автоматически настроить DNS-суффикс подключения, что позволяет снять определенный ряд проблем, связанный с использованием плоских имен.

Чтобы создать любую DHCP опцию потребуется перейти в IP — DHCP Server — Options и добавить там новую запись:

Поле Name содержит имя опции, можем задать его произвольно, так чтобы нам потом было понятно, что это такое и для чего нужно. Code — код опции, в нашем случае 15, Value — значение, в нашем случае это строка, поэтому обрамляем ее одиночной кавычкой. Тоже самое можно быстро сделать в терминале:

ip dhcp-server option
add name="DNS Suffix" code=15 value="'interface31.lab'"

Обратите внимание, что значение value берется в кавычки два раза, в двойные и одинарные.

Опции можно (и нужно) объединять в наборы — Option Set, даже несмотря на то, что во многих сценариях их можно указывать непосредственно. Если в будущем вы надумаете что-то поменять, то достаточно будет просто изменить состав набора, в противном случае вам нужно будет вспомнить все места, где вы использовали некую опцию и заменить ее на новую (или удалить / добавить). Перейдем на одноименную закладку и создадим новый набор. Пока в него будет входить только одна опция:

Наборам желательно давать осмысленные названия, чтобы впоследствии вы легко могли понять для чего он предназначен. Теперь назначим его для применения на всю область DHCP-сервера. Перейдем на закладку DHCP и откроем запись нашего сервера, в поле DHCP Option Set укажем имя созданного нами набора.

Теперь обновим параметры DHCP и сразу увидим полученный DNS-суффикс:

После этого все плоские имена, которые вы добавили на DNS-сервер следует дополнить до FQDN, т.е. вместо HV-CORE-01 написать hv-core-01.interface31.lab (регистр записи значение не имеет).

Проверим:

Как видим, одной проблемой стало меньше, плоские имена нормально дополняются до FQDN и нормально разрешаются на нашем DNS вне зависимости от используемой ОС.

Также довольно часто используются опции: 42 (NTP Servers), 60, 66 (TFTP Server Name), 67 (Bootfile-Name). Имейте ввиду, что ОС Windows не запрашивает у DHCP-сервера опцию 42 и для нее установить таким образом сервер времени не удастся.

Отдельно коснемся того, как указывать IP-адреса. Протокол предусматривает передачу значений в шестнадцатеричном (Hex) формате, но RouterOS позволяет использовать и строковые значение, для этого значение Value должно содержать привычное написание адреса, взятое в одинарные кавычки:

'192.168.186.1'

или его шестнадцатеричное значение, которое должно начинаться с префикса 0х:

0xc0a8ba01

Если адресов несколько, то указываем каждый, взяв в одинарные кавычки, без пробелов между ними:

'192.168.186.1''192.168.186.2'

В шестнадцатеричном виде мы добавляем второе значение в конец строки, также без пробелов:

0xc0a8ba01c0a8ba02

В терминале это будет выглядеть так:

ip dhcp-server option
add name="NTP1" code=42 value="'192.168.186.1'"

или

add name="NTP1" code=42 value="0xc0a8ba01"

Для перевода значений IP-адреса в шестнадцатеричное значение, можно использовать любой онлайн-калькулятор, мы при подготовке данного материала использовали этот.

Еще одна интересная возможность открывается в выдаче отдельным узлам своего набора опций. Следующий сценарий подойдет домашним пользователям, как достаточно простой и эффективный способ обеспечить безопасность ребенка в интернет.

Суть ее состоит в следующем: мы выборочно изменяем DNS-сервера детских сетевых устройств на безопасные DNS, например, Яндекс Семейный, SkyDNS, AdGuard и т.д. Тем, кто захочет реализовать этот сценарий в сети предприятия следует иметь ввиду, что в этом случае таким клиентам будут недоступны возможности собственного DNS-сервера, т.е. все то, о чем мы говорили в первой части статьи.

Итак, сначала создадим новую DHCP опцию с кодом 6 и укажем в значении сервера Яндекс Семейного:

ip dhcp-server option
add name="YandexDNS" code=6 value="'77.88.8.7''77.88.8.3'"

или

add name="YandexDNS" code=6 value="0x4d5808034d580807"

Теперь создадим новый набор опций и добавим туда опцию YandexDNS.

Теперь перейдем на закладку Leases, где находится список выданных в аренду адресов и найдем там детское устройство, после чего откроем запись и выполним резервирование адреса, нажав Make Static:

Закроем и заново откроем эту запись и в поле DHCP Option Set укажем созданный нами набор с безопасными серверами:

Теперь проверим на клиенте, какие DNS-сервера он получил:

Все верно, это семейные сервера Яндекса. Попробуем посетить какой-нибудь сайт «для взрослых»:

Отлично, фильтрация работает, теперь можно гораздо меньше переживать, что ребенок увидит неподобающий контент, в тоже время взрослые члены семьи могут использовать интернет без ограничений.

В прошлой части статьи мы рассказывали, как предотвратить подмену DNS на клиентском ПК, данное решение совместно с этими правилами работать не будет. Можно, конечно, добавить исключение, но мы подойдем с другой стороны. Наша основная цель в этом сценарии — это оградить ребенка от посещения ненадлежащих ресурсов, поэтому при попытке подмены DNS мы должны направлять все запросы не на роутер, а на безопасные DNS, в противном случае попытка обхода фильтрации достигнет своей цели.

Поэтому заменим в правилах действие redirect на действие dst-nat, в поле To Addresses указываем один из серверов семейного Яндекса, а в поле To Ports — порт 53.

Также можно быстро добавить нужные правила командой:

ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=77.88.8.7 to-ports=53
add chain=dstnat protocol=tcp dst-port=53 action=dst-nat to-addresses=77.88.8.7 to-ports=53

Напоследок рассмотрим опции 121 (Classless Static Routes) и 249 (MS Routes), которые предназначены для передачи статических маршрутов. Первая опция предусмотрена RFC 2132, вторая является «художественной самодеятельностью» Microsoft, поэтому следует указывать обе из них с одинаковым содержимым.

Во избежание ошибок мы советуем задавать маршруты в HEX-формате, синтаксис предусмотрен следующий:

[маска сети назначения][сеть назначения][шлюз]

Если маршрутов несколько — добавляем значения к конец строки, без пробелов. Допустим, мы хотим добавить маршрут в сеть 192.168.4.0/22 через 192.168.186.92 и в сеть 10.8.0.0/24 через 192.168.186.94. Чтобы правильно получить шестнадцатеричное значение маски следует использовать такое представление: 0.0.0.22 или 0.0.0.24, забьем все значения в онлайн калькулятор и получим:

А вот теперь начнется небольшая магия, прежде всего обратим внимание на то, что количество символов в шестнадцатеричном числе всегда должно быть четным, но в строке, соответствующей 10.8.0.0 — нечетное количество символов, так как калькулятор отбросил ведущий ноль, поэтому вместо a080000 мы должны использовать 0a08000. Имеем это ввиду, так как разные калькуляторы могут по-разному обрабатывать ведущий ноль.

Затем от адреса сети, мы должны отбросить столько нулевых октетов, сколько нулей содержится в маске, в HEX-значении это по два нуля. Проще говоря для сетей /24 — /17 мы должны убрать в HEX-значении сзади два нуля, для сетей /16 — /9 — четыре нуля, для сетей /8 — /1 — шесть нулей. Таким образом 0a08000 должно превратиться в 0a0800, а c0a80400 в c0a804.

Таким образом первый маршрут должен выглядеть так:

16c0a804c0a8ba5c

а второй так:

180a0800c0a8ba5e

Итоговое значение будет (не забываем про 0x вначале):

0x16c0a804c0a8ba5c180a0800c0a8ba5e

Добавим опции командами:

ip dhcp-server option
add name="my route" code=121 value="0x16c0a804c0a8ba5c180a0800c0a8ba5e"
add name="my win route" code=249 value="0x16c0a804c0a8ba5c180a0800c0a8ba5e"

или через графический интерфейс:

Обновим параметры DHCP и проверим таблицы маршрутизации на клиентах. Windows-клиент:

Linux-клиент:

Как видим — все работает, маршруты добавились и еще одной заботой у администратора стало меньше.

В заключение хочется добавить, что данная статья не должна рассматриваться вами как догма, все пункты которой требуется обязательно применить. Данный материал имеет цель показать те скрытые возможности привычных сервисов, которые обычно не затрагиваются в руководствах по базовой настройке. После чего уже сам администратор должен решать, что он будет применять в своей сети и зачем. К сожалению, объем статьи не позволяет нам охватить все возможности DHCP, что-то из них мы отразим в будущих статьях, а что-то вам придется изучать самостоятельно. Но надеемся, что данный материал окажется вам полезен и даст дополнительный стимул к изучению всех возможностей используемых протоколов.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.