Estranho... Eu configurei a minha para fazer as requisições primeiro no cache dela, mesmo em DoH e pelo visto funciona (eu acho).
[TÓPICO DEDICADO] Mikrotik Rb750 - Experiencia no Ambiente Domestico
- Iniciador de Tópicos natanurso
- Data de Início
Então, cada requisição DoH e TLS tem um "endereço" diferente, justamente pela questão de segurança
Sendo assim, ainda que você faça cache dele, sempre que entrar no mesmo site irá gerar uma nova requisição e um novo registro no cache, dai sempre vai ficar lotado.
Tive alguns problemas com DoH no início, mas hoje tá bem mais tranquilo, o DNS da minha rede é meu Pi como primário e a RB como secundário.
Então nesse caso vou desligar o cache local, pois pelo visto não tem muita serventia ao usar DoH.
Então, o DoH não... Mas, as requisições em ipv4 fazem grande diferença.
Eu particularmente recomendo deixar ativo, mesmo não fazendo tanto sentido no DoH ou TLS
É muito bom cara. DoH e TLS... Fora o cache.
Outra coisa é a listagem de bloqueio que você pode colocar, tipo um AdBlock na rede, saca?
Última edição:
Existe a rede local antes e depois do adguard. Divisor de águas.
Também é possível criar regras personalizadas e usar listas que se atualizam automaticamente.
Pessoal, de vez em nunca alguém cita aqui o EdgerouterX. Não sei se já citei aqui anteriormente, ou se alguém já citou aqui este manual por aqui, mas descobri que o autor disponibiliza atualizações sobre o mesmo.
github.com
É em inglês, mas é sensacional como o manual foi feito, com várias dicas e uma configuração de um cenário com um EdgerouterX mais um UAP-AC-LR . Aproveitem!
Ubiquiti/Ubiquiti Home Network.pdf at master · mjp66/Ubiquiti
Contribute to mjp66/Ubiquiti development by creating an account on GitHub.
github.com
É em inglês, mas é sensacional como o manual foi feito, com várias dicas e uma configuração de um cenário com um EdgerouterX mais um UAP-AC-LR . Aproveitem!
Você já usa o mk como cache dns? Se sim, basta setar dentro do DHCP Server.
DNS Principal: (IP do seu AdGuard)
DNS Secundário: (IP do seu MK)
Facinho. hehe
DNS primário e secundário não significa que o primeiro é prioritário e na ausência de resposta, o segundo entra em vigor.
Tem uns testes que comprovam que normalmente há um load balance entre a lista de dns configurada.
No caso do mikrotik com adguard home ou pi-hole, tem um pessoal que tem testado scripts para caso o ip do dns local (adh ou pi-hole) não responda, automaticamente endereçar o tráfego que iria para aquele ip (através da porta dedicada para dns) para algum outro público (1.1.1.1, 8.8.8.8, etc.).
Via de regra, ao utilizar esses adblocks por dns, o ideal é manter somente UM ip.
Ou então ter mais de um dispositivo na rede, e de alguma forma, deixá-los sincronizados, e aí sim, manter os dois IPs (ou mais) entregues na rede como dns.
Eu tenho UDM PRO na empresa, não gostei, não tem loadbalance
, somente failover (caparam via software recentemente). Vou trazer pra casa e deixar uma RB4011 lá.Instalou o zabbix no sistema base do pi ou Docker?
No meu caso uso o netwatch do mikrotik para fazer essa "troca"
Caso o Pi não responda ou desligue, automaticamente sobe o cache do mk.
Coisa de 2s
--- Post duplo é unido automaticamente: ---
Tem uma enxurrada de reclamações sobre recursos lá no fórum da Ubiquiti. Essa diminuição de recursos foi o que mais me desmotivou a considerar ele.Eu tenho UDM PRO na empresa, não gostei, não tem loadbalance
Até mesmo o USG.
--- Post duplo é unido automaticamente: ---
Instalei dentro do RaspberryPi OS mesmo. Docker não ficou muito legal, além de usar muitos recursos da placa.
No meu pi tenho executado: Unifi Network (antigo controller), AdGuard Home, Zabbix e SMB Server
Uso de processamento fica extremamente baixo e o consumo de memória girando os 850mb (de 4Gb disponíveis)
Poderias detalhar teu cenário?
Na minha casa eu tenho o Adguard Home com o IP 192.168.10.190;
Minha RB tbm funciona como DNS server e possui o IP 192.168.10.1;
Minha RB joga por DHCP apenas o IP do Adguard como DNS.
Hoje meu cenário não pede regra pra prevenir algo com o Adguard, só se eu fizer um grande update no SO que tá rodando o Adguard e precisar reiniciar, mas isso é bem remoto.
Gostaria de entender seu cenário.
Meu cenário é bem simples, porém tenho várias regras de firewall para proteger minha rede, além de possuir QoS com priorização de serviços.
Minha RB funciona como DHCP e DNS Cache com o IP 10.20.0.1-10.20.0.80 (sendo este último o IP fixo do Pi)
Meu Pi, possui o IP 10.20.0.80 (sendo meu servidor)
Meu DHCP manda o IP do Pi como DNS primário e o IP da RB como secundário, ficando 10.20.0.80, 10.20.0.1 (DNS's da rede)
Configurei o NetWatch do mikrotik para identificar queda ou latência alta entre o Pi e o MK, caso o ping fique acima de 30ms ele troca automaticamente para o DNS da RB. Assim que o normalizar o Pi (latência abaixo de 30 ou ele ligado) o AdGuard retorna à rede e assim a RB retorna com o IP do Pi.
Vc fez alguma regra de firewall pra drop ou reject requisição de dns no MK e via script no netwatch desativar essa regra quando aumentar ping do adguard?
As únicas regras de firewall ipv4 e v6, foram de DNS autoritativo (onde mesmo se a pessoa tentar setar outro DNS, sempre irá vigorar a RB) e bloqueio de consultas DNS externas (só é permitido dentro da minha rede)
Eu uso o USG em casa, mas vira e mexe penso eu colocar o mikrotik para ser a borda por conta do policy based routing. No USG vc precisa fazer isso via CLI (que é bem chatinho) ou via json na controladora, é bem de boa mas não é toda pessoa que sabe fazer e vira e mexe eu derrubo a rede fazendo isso.
--- Post duplo é unido automaticamente: ---
Acho que esse FDS vou por a RB750gr3 (dps pego a 4011) aqui em casa junto com o USG.
Eu ainda não entendi alguns detalhes...
Você distribui como DNS os dois IPs, o do Pi e o da RB, com falado.
Se você usar a RB como DNS Server, ela tá requisitando o DNS de algum host aleatório ou do seu próprio Pi, pra fazer sentido pra mim, é algum outro host, certo?
O primeiro problema ao meu ver é deixar dois DNS servindo a rede, sendo que um deles é adblock. Como falei na outra página, DNS primário e secundário não tem a ver com prioridade. As requisições serão feitas "aleatoriamente" para um ou outro endereço, e se a intenção é ter adblock na rede, esse cenário acima n faz sentido.
Quando você fala da configuração do NetWatch e diz que troca automaticamente para o DNS da RB, vc tá dizendo que apesar dos dois IPs estarem configurados como DNS Server, você bloqueia/desbloqueia o tráfego de um ou outro baseado nessa regra que você falou (ping maior que 30ms)?
Realmente, Ubiquiti não é tão "user friendly" como o mikrotik para essas configurações mais avançadas que ele tem disponível.
--- Post duplo é unido automaticamente: ---
Sim, distribuo 2 DNS.
Porém o principal sempre vai ser o Pi. Caso ele pare de responder, o netwatch joga a RB para DNS principal
O AdGuard sempre vai estar funcionando na rede, mas caso aconteça algum cenário que expliquei acima, entra o dns da RB (que não possui adblock e faz consultas direto ao CloudFlare)
Exatamente, o NetWatch define qual IP vai trafegar e qual fica de backup. Abaixo de 30ms o IP do PI fica definido na rede toda. Pi Offline ou com ping maior que 30ms, o netwatch desativa o ip do PI e define o ip da RB.
Um último detalhe:
Você tá distribuindo esses dois IPs pela configuração do DHCP, ou setando lá no DNS do Mikrotik?
No cenário que você relatou não me parece coerente essa transferência de um IP pro outro.
- Você entrega dois IPs pra todos os clientes da LAN?
- Se sim:
- Os dois IPs respondem como DNS server?
- Se sim: para mim, a infra tá incoerente;
- Se não: se apenas o IP do Adguard está respondendo e de alguma forma você tá conseguindo mudar pro IP da RB que busca no 1.1.1.1, está ok.
- Os dois IPs respondem como DNS server?
- Se não:
- Você entrega só um IP para o cliente, por exemplo o IP da RB, e a RB se alimenta de dois DNS servers (seu Adguard e o 1.1.1.1 como falado)?
- Se sim: o ip 10.20.0.1 da RB é seu DNS server e seu NetWatch apenas define de onde sua RB se alimenta para servir?
- Você entrega só um IP para o cliente, por exemplo o IP da RB, e a RB se alimenta de dois DNS servers (seu Adguard e o 1.1.1.1 como falado)?
- Se sim:
Pra mim parece que você tá servindo dois IPs, e talvez esteja ignorando que não existe exatamente um prioritário e sim, vc usa os dois ao mesmo tempo.
Mas se for isso, como você tá bloqueando o acesso a um DNS ou outro sem script?
Desculpe entrar no assunto dessa forma mais chata, é que vejo dois caminhos: ou você encontrou uma solução extremamente simples e ninguém conseguiu ainda. Ou você tentou simplificar algo que ninguém conseguiu fazer mesmo usando scripts mais complexos e - nessa simplificação - ficou descoberto de algo.
Se puder mandar prints, etc. eu agradeço.
Se preferir falar por outro lugar pra não poluirmos o tópico, pode ser também.
Vamos lá... No DHCP, normalmente eu seto o IP da RB e o IP do Pi. (isso para DNS)
O IP do DNS que sempre deverá responder, é o do Rasp. Mas, se entrar em um dos cenários que te mandei, quem irá responder será a RB.
Dentro da RB, tem o DNS estático que no meu caso, uso a CloudFlare (pois ambos precisam de buscar DNS de algum lugar para resolver e gerar o cache local, tanto a RB tanto o Pi)
Pra DNS, eu repasso os dois na rede, porém um só funciona.
Não pô, tá certo... As vezes pode ser a dúvida de outro colega.
A noite consigo mandar sim.
Certo, valeu.
A minha questão é: como tu tá conseguindo jogar dois IPs pros clientes, e apenas um responder? Isso sem script?
O seu NetWatch verifica lá a condição que vc explicou, e o que ele faz pra garantir que apenas UM dos IPs funcionem? É um mangle? Todos os pacotes na porta 53 são marcados? Como tás garantindo que somente UM está funcionando?
Quem garante que somente um funciona, é justamente o NetWatch. É uma baita ferramenta, basta você saber utiliza-la ao seu favor hehe
Você só dá o comando pra ele que ele faz pra você.
--- Post duplo é unido automaticamente: ---
Foi a melhor coisa que consegui fazer mexendo aqui kkkkkMuito interessante mesmo esse failover de DNS, vou tentar fazer quando chegar minha 4011
A gente tinha que ter um tópico só pra raspberry e talvez um pra wifi ubiquiti.
Tive que bolar esse "failover" por causa da case do meu Pi, é aquele Argon One, e quando cai a energia ele não liga de novo.
Então, se eu deixasse sem isso se por ventura a internet caísse, as casas que eu divido internet iriam ficar sem acesso até eu ligar o Pi novamente.