Mikrotik cloud dns не работает
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Specifications
- Packages required: system
- License required: Level1
- Submenu level: /ip dns
- Standards and Technologies: DNS
- Hardware usage: Not significant
Проблемы с доступом через Cloud.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
День добрый!! Необходимо получить удаленный доступ к микротику с динамическим IP.вычитал про новую функцию cloud,включил,получил доменное имя,захожу через браузер,переходит на страницу необходимо ввести логин и пароль,ввожу,выдает ошибку неверный логин/пароль,в чем может быть дело. ввожу правильно.может что то еще нужно настроить??
И возможно ли какие еще варианты удаленного доступа в настройки микротика,кроме клауд??Заранее спасибо)
Если Тик за NAT, ничего не выйдет. Если же просто у Тика динамический адрес и во вкладке IP->Cloud справа внизу нет надписи типа "DDNS server received request from XXX.XXX.XXX.XXX but your local IP was YYY.YYY.YYY.YYY; DDNS service midht not work." , то скорее всего дело в разрешениях сервисам или правах юзера, которым входите. Проверьте и то и другое.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.
Получается если у меня в cloud надпись что роутер за нат, я не смогу подключиться и надо узнавать у провайдера, что делать. Попросить убрать нат и у меня появится настоящий реальный адрес, а не просто статический?
Может кто знает можно ли сделать так чтобы микортик логировал каждое включение и сбой интернета?
Получается если у меня в cloud надпись что роутер за нат, я не смогу подключиться и надо узнавать у провайдера, что делать.
Если под словом "подключиться" - имеется подключиться к собственному роутеру удалённо снаружи, то да,
при НАТе от провайдера это невозможно (в классической схеме).
И CLOUD тут не виноват, функция Cloud - позволяет при реальном-динамическом адресе
подключаться к роутеру, то есть если ещё проще говорить:
данный функционал позволяет нам не покупать/брать в аренду реальный-статический адрес,
(что обычно явно дороже), а довольствоваться реально-динамическим адресом.
НО адрес реальный нужен обязательно. Об адресах (их нюансах) ниже.
Вообще-то, все задачи с предоставлением услуг провайдером Вам - лежит в плоскости
финансовых, технических и юридических.
Естественно, 90% надо решать эти все вопросы с провайдером.
И ещё: есть понятие реальный адрес, а есть статический и динамический,
то есть адрес (любой) может меняться или не меняться (быть динамическим и статическим)
и это может быть с любым адресом, а реальный адрес, этот адрес доступен с Интернета,
и он может быть вдобавок к своему реальному статусу быть как я написал выше,
и статическим и/или динамическим, пожалуйста, не смешивайте тёплое с мягким.
Поэтому узнавайте может ли Вам провайдер выделить адрес реальный, если может (есть тех. возможность),
то какой он будет (статичный или динамический)?
И уже от всего этого и от стоимости, решайте, надо оно Вам или нет.
И я не увидел, главное = зачем Вам адрес реальный на роутере?
(напоминаю, реальный адрес на роутере - это как ночевать в диком лесу в палатке,
вся ответственность за атаки, взломы и прочее - будет на Ваших плечах, и на
мощности Вашего роутера, поэтому получения реального адреса, это
определённая ответственность, и Вы должны быть морально и в плане
опыта готовы принять).
Можно, но опять же, это делается индивидуально, конкретно под Ваши задачи, с учётом
работы Вашего соединения, с учётом особенности Вашего провайдера, и всё это
будет работать лишь в рамках Вашего роутера, и естественно это не тривиальная задача,
это платная работа только.
Но по данным логам претензии Вы предъявить провайдеру не сможете.
Так что опять не вижу смысла в данной постановки задачи.
На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Подскажите пожалуйста, почему клиент не получает DNS сервера от Сервера RouterOS в облаке (CHR)
IP > DNS: добавлены DNS сервера и allow remote request.
IP > DHCP server и Network: Не задействованы. Делал все по разным гайдам из интернета. А суть сервера только в VPN. Нигде даже речи не шло про DHCP server. Если это косяк, то поправьте меня пожалуйста. (сервер конфигурировал только на клиентских микротах.)
PPP > Profiles: Создан VPN профиль, в нем прописаны Local Address 172.16.16.1 и Remote address - выбран созданный пул. Ниже в поля DNS вписаны 1.1.1.1 и 1.0.0.1 Вроде как именно эти DNS и должны выдаваться клиентам.
Но почему-то этого не происходит.
IP > Firewall: Был пустой, а сейчас добавил несколько правил, но я их все выключил, для того чтобы убедиться что они не повлияли на выдачу DNS. По этому считаем что их нет.
IP > NAT: Прописано правило маскарад для 172.16.16.0/24
По итогу сервер работает, клиенты успешно ходят в инет. За исключением одного момента. Мой провайдер заблочил несколько сайтов через DNS. Замена на любой, типа 1.1.1.1 Спокойно снимает блокировку. Но это все делается на клиентах. Я конечно могу и дальше это все прописывать на клиентах. Но ведь надо же знать почему сервер сам не выдает DNS?
Я думаю не сложно догадаться что я новичок. Если мало инфы, оперативно залью все недостающее, только направьте меня.
- Вопрос задан 18 окт. 2021
- 203 просмотра
Средний 12 комментариев
инфы достаточно вообщем то
DHCP сервер при впн клиентах не используется, он же для локальной сети.
Насчет DNS - что показывает список DNS серверов на клиенте? точно ли их там нету?
DNS опрашивается обычно по порядку, надо смотреть какой приоритет винда выдала DNSам.
Можно указать DNSом сам микротик(впн сервер)
Drno, Винда говорит: dns серверы 192.168.0.1
192.168.0.1
Сейчас под рукой нету микрота клиентского, пока на винде могу только смотреть что-то.
Обычно в таких ситуациях логи скидывают под спойлером.
Думаю, поможет статический маршрут до dns в облаке
xxx.xxx.xxx.xxx > 0.0.0.0
Пробуйте
Денис, без понятия. Был бы кинетик объяснил
Знаю только, что нужен статический маршрут. Т.к клиенты не могут достучаться до dns через vpn туннель.
Поэтому и нужен маршрут
Денис, ну вот винда и берет этот DNS. раз там микротик, то он в первую очередь опросит свои DNS, а уж потом VPNовский.
Как вариант, сделать фаерволом у клиента редирект запросов на IP облачного микротика, но эт чет изврат. над поискать приоретизацию DNS в самом микротике, не было пока такой задачи нигде
Drno, Еще если может знаете, тот факт что DNS берется не у VPN сервера, влияет на защиту данных? То-есть вся суть sstp сервера в том чтобы закрыть провайдеру видимость. Помимо доступа к заблокированным сайтам.
Я через wireshark смотрел траффик, честно сказать в некоторых моментах вместо иероглифов четко читаемые данные.
Sat Sep 14, 2019 1:14 am
I tried,
downgrad to 6.42.12 => Works fine
downgrad to 6.43.16 => Doesn't work
It is urgent if anyone can help
Trainer
Sun Sep 15, 2019 6:30 am
* Look this topic:
Trainer
Sun Sep 15, 2019 8:53 am
i have similar problem with my ccr1009. ip cloud running fine with 6.42.12 but it stop running when upgraded to 6.44.5. the mentioned device return to 6.42.12 at the moment.
disable and enable ip cloud does not solve the problem
Sun Sep 15, 2019 9:22 am
Trainer
Mon Sep 16, 2019 3:03 am
I tested now on my RB951Ui-2nD and it's works fine. I'm running 6.45.6.
Actually, I even disabled/enabled the service and I could see stop/start working again.
Mon Sep 16, 2019 3:25 am
Thank you for your suggestion.
I already sent support.rif.
I haven't tried 6.45.6 yet, because I always use long-term channel.
Are there difference of IP cloud between 6.44.5 and 6.45.6 ?
hEX PoE and hEX S are running in our environment.
743 of 773 hEX PoE(960PGS) work fine. 30 don't work.
948 od 948 hEX S(RB760iGS) work fine.
Trainer
Mon Sep 16, 2019 5:30 am
Thank you for your suggestion.
I already sent support.rif.
I haven't tried 6.45.6 yet, because I always use long-term channel.
Are there difference of IP cloud between 6.44.5 and 6.45.6 ?
hEX PoE and hEX S are running in our environment.
743 of 773 hEX PoE(960PGS) work fine. 30 don't work.
948 od 948 hEX S(RB760iGS) work fine.
What a bunch of Boards
There are a few changes on the changelog, but nothing related with “non working” IP Cloud.
Mon Sep 16, 2019 12:36 pm
I updated to 6.45.6.
But it doesn't works for me.
Also /system backup cloud failed with "Connection error".
Wed Sep 25, 2019 5:25 am
Wed Dec 11, 2019 3:21 pm
I have similar problem, although in my case it's mostly because I changed my RouterBoard.
I used RB951Ui-2HnD before, and because I need better performance, I upgraded it to RB450Gx4. To avoid hassle, I backed up my old RouterBoard, and then restored it to my new RouterBoard, but the problem is the IP Cloud dns-name stuck to old router's address, and it won't even update to new address with the appropriate serial number. I tried to disable and re-enable ddns and forced updated to no avail.
Is there any way to re-activate ip cloud using the new router s/n?
Wed Dec 11, 2019 4:33 pm
I have similar problem, although in my case it's mostly because I changed my RouterBoard.
I used RB951Ui-2HnD before, and because I need better performance, I upgraded it to RB450Gx4. To avoid hassle, I backed up my old RouterBoard, and then restored it to my new RouterBoard, but the problem is the IP Cloud dns-name stuck to old router's address, and it won't even update to new address with the appropriate serial number. I tried to disable and re-enable ddns and forced updated to no avail.
Is there any way to re-activate ip cloud using the new router s/n?
Solved, I don't know how, but when my router got public address, the ddns just activated. Previously I only got private address, I don't know if that's the problem or not though.
Sat Dec 14, 2019 6:52 pm
Same problem here today with a hEX RB750Gr3 after upgrading from 6.42.9 to 6.44.6. No combination of disable/enable of 'DDNS Enabled' & Force Update or reboots makes any difference. It worked fine until the upgrade.
Sun Dec 15, 2019 11:23 pm
Downgrading to 6.42.12 fixed the problem so we'll stay at that version for now until there's any update on a fix for this.
Sat Dec 28, 2019 2:16 pm
Edit: After a couple of hours it just appeared. who knows.
Sun Dec 29, 2019 5:03 pm
Saw the same thing coming from BELOW 6.40.8 to above.
I could ping cloud2 and everything. I messaged support but due to time differences and it being a production environment. unit came out.
Got a reply a few days later. but field tech threw the unit away. it was a CRS125 from his truck that was missing a power Supply. So i didn't follow up on what happened with Mikrotik.
But in the event of this happening again. I will resort back to my old dyndns updater and keep it running so Mikrotik can look at it.
"It ain't what you don't know that gets you into trouble. It's what you know for sure that just ain't so."
Mark Twain
Sun Dec 29, 2019 7:12 pm
I use the Cloud DNS of mikrotik a lot.. especially in PTP VPNs without any problems.
This is only the second time i faced a problem without an obvious reason to me.
Since RouterOS v6.14 MikroTik offers multiple services for your RouterBOARD devices that are connected to the Internet. These services are meant to ease the inconveniences when configuring, setting up, controlling, maintaining or monitoring your device. More detailed list of available services that IP/Cloud can provide can be found below.
Note: Since RouterOS v6.27 "ip cloud enabled" is renamed to "ip cloud ddns-enabled" this may require some changes in your scripts if you are using this feature in a script.
Warning: Be aware that if router has multiple public IP addresses and/or multiple internet gateways, the exact IP used for the communicating with the MikroTik's Cloud server may not be as expected!
Note: IP/Cloud requires a working license on Cloud Hosted Router (CHR).
DDNS or Dynamic DNS is a service that updates the IPv4 address for A records and the IPv6 address for AAAA records periodically. Such a service is very useful when your ISP has provided a dynamic IP address that changes periodically, but you always need an address that you can use to connect to your device remotely. Below you can find operation details that are relevant to the IP/Cloud's DDNS service:
To enable the DDNS service:
Note: When the service is enable, a DNS name will be stored on the MikroTik's Cloud server permanently and this DNS name will resolve to the last IP that your IP has sent to the MikroTik's Cloud server.
To disable the DDNS service:
Note: As soon as you disable the service, your device sends a command to the MikroTik's Cloud server to remove the stored DNS name.
To manually trigger a DNS update:
Note: To actually connect to the device using the DNS name provided by cloud server, user must configure router's firewall to permit such access from the WAN port. (Default MikroTik configuration does not permit access to services such as WebFig, WinBox etc. from WAN port)
Contents
Property Description
Static DNS Entries
Example
Backup
Since RouterOS v6.44 it is possible to store your device's backup on MikroTik's Cloud server. The backup service allows you to upload an encrypted backup file, download it and apply the backup file to your device as long as your device is able to reach MikroTik's Cloud server. Below you can find operation details that are relevant to the IP/Cloud's backup service:
To create a new backup and upload it the MikroTik's Cloud server:
Note: The create-and-upload action command will create a new system's backup file,encrypt the backup file with AES using the provided password and upload it. For upload action command the password property has no effect since the upload action command uploads only already created system's backup files.
To download the uploaded backup file and save it to device's memory:
Warning: The secret-download-key is a unique identifier that can be used to download your encrypted backup to your other devices. Since you can download your encrypted backup from any location and any device by using the secret-download-key , then you should try to keep this identifier a secret. The downloaded backup is still encrypted using AES, nevertheless make sure you are using a strong password!
To remove the uploaded backup:
To upload an existing backup file (created previously):
Note: Make sure that the backup was encrypted using AES, otherwise the IP/Cloud will reject the backup upload. Since there is only 1 free backup slot per device, then you need to remove the existing backup before uploading a new one.
Warning: When importing a backup all MAC addresses are set to the MAC addresses that the device was using. This is useful when you are replacing a device that has failed, but this might not be desired when applying the same backup on multiple devices since it will set the same MAC addresses on multiple devices, which can cause connectivity issues. You can always use the reset-mac-address command on each interface to set the original MAC address back.
Sub-menu: /ip cloud
- updating.
- updated
- Error: no Internet connection
- Error: request timed out
- Error: REJECTED. Contact MikroTik support
- Error: internal error - should not happen. One possible cause is if router runs out of memory
Description
This menu provides a complete list with all DNS records stored on the server
Advanced
Sub-menu: /ip cloud advanced
Property | Description |
---|---|
use-local-address (yes | no; Default: no) | By default, the DNS name will be assigned to the detected public address (from the UDP packet header). If you wish to send your "local" or "internal" IP address, then set this to yes |
Description
The MikroTik RouterOS has an embedded DNS server feature in DNS cache. It allows you to link the particular domain names with the respective IP addresses and advertize these links to the DNS clients using the router as their DNS server. This feature can also be used to provide fake DNS information to your network clients. For example, resolving any DNS request for a certain set of domains (or for the whole Internet) to your own page.
The server is capable of resolving DNS requests based on POSIX basic regular expressions, so that multiple requets can be matched with the same entry. In case an entry does not conform with DNS naming standards, it is considered a regular expression and marked with ‘R’ flag. The list is ordered and is checked from top to bottom. Regular expressions are checked first, then the plain records.
All DNS Entries
Property Description
Cache Monitoring
Description
This menu provides a list with all address (DNS type "A") records stored on the server
Property Description
Notes
Reverse DNS lookup (Address to Name) of the regular expression entries is not possible. You can, however, add an additional plain record with the same IP address and specify some name for it.
Remember that the meaning of a dot (.) in regular expressions is any character, so the expression should be escaped properly. For example, if you need to match anything within example.com domain but not all the domains that just end with example.com, like www.another-example.com, use regexp=".*\\.example\\.com\$"
Regular expression matching is significantly slower than of the plain entries, so it is advised to minimize the number of regular expression rules and optimize the expressions themselves. Example
It is also possible to forward specific DNS requests to a different server using FWD type. This will fordward all subdomains of "example.com" to server 10.0.0.1:
Note: regexp entries are case sensitive, but since DNS requests are not case sensitive, RouterOS converts DNS names to lowercase, you should write regex only with lowercase letters.
Cloud backup
Sub-menu: /system backup cloud
Below you can find commands and properties that are relevant to the specific command, other properties will not have any effect.
DNS cache is used to minimize DNS requests to an external DNS server as well as to minimize DNS resolution time. This is a simple DNS cache with local items.
Description
A MikroTik router with DNS feature enabled can be set as a DNS server for any DNS-compliant client. Moreover, MikroTik router can be specified as a primary DNS server under its dhcp-server settings. When the remote requests are enabled, the MikroTik router responds to TCP and UDP DNS requests on port 53.
Update time
To enable the time update service:
To enable automatic time zone detection:
Note: If /ip cloud update-time is set to auto , then device's clock will be updated with MikroTik's Cloud server time (if no NTP or SNTP client is enabled).
Command Description
DNS Cache Setup
Sub-menu: /ip dns
DNS facility is used to provide domain name resolution for router itself as well as for the clients connected to it.
Properties
Property | Description |
---|---|
allow-remote-requests (yes | no; Default: no) | Specifies whether to allow network requests |
cache-max-ttl (time; Default: 1w) | Maximum time-to-live for cache records. In other words, cache records will expire unconditionally after cache-max-ttl time. Shorter TTL received from DNS servers are respected. |
cache-size (integer[64..4294967295]; Default: 2048) | Specifies the size of DNS cache in KiB |
max-concurrent-queries (integer; Default: 100) | Specifies how much concurrent queries are allowed |
max-concurrent-tcp-sessions (integer; Default: 20) | Specifies how much concurrent TCP sessions are allowed |
max-udp-packet-size (integer [50..65507]; Default: 4096) | Maximum size of allowed UDP packet. |
query-server-timeout (time; Default: 2s) | Specifies how long to wait for query response from one server |
query-total-timeout (time; Default: 10s) | Specifies how long to wait for query response in total. Note that this setting must be configured taking into account query-server-timeout and number of used DNS server. |
servers (list of IPv4/IPv6 addresses; Default: ) | List of DNS server IPv4/IPv6 addresses |
Property | Description |
---|---|
cache-used (integer) | Shows the currently used cache size in KiB |
dynamic-server (IPv4/IPv6 list) | List of dynamically added DNS server from different services, for example, DHCP. |
When both static and dynamic servers are set, static server entries are more preferred, however it does not indicate that static server will always be used (for example, previously query was received from dynamic server, but static was added later, then dynamic entry will be preferred).
Note: If allow-remote-requests is used make sure that you limit access to your server over TCP and UDP protocol.
Example
To set 159.148.60.2 as the primary DNS server and allow the router to be used as a DNS server, do the following:
Flushing DNS cache
Example
It is advised to import the root CA certificate of the DoH server you have chosen to use for increased security.
Warning: We strongly suggest not use third-party download links for certificate fetching. Use the Certificate Authority's own website.
There are various ways to find out what root CA certificate is necessary. The easiest way is by using your WEB browser, navigating to the DoH site and checking the websites security. Using Firefox we can see that DigiCert Global Root CA is used by CloudFlare DoH server. You can download the certificate straight from the browser or navigate to DigiCert website and fetch the certificate from a trusted source.
Download the certificate and import it:
Configure the DoH server:
Note that you need at least one regular DNS server configured for the router to resolve the DoH hostname itself. If you do not have any dynamical or static DNS server configured, you can configure a static DNS entry like this:
Note: RouterOS prioritize DoH over DNS server if both are configured on the device.
Читайте также: