Сообщение Re[7]: DNS (dnsmasq) + Windows + LAN от 14.06.2021 15:06
Изменено 14.06.2021 16:10 Vetal_ca
Re[7]: DNS (dnsmasq) + Windows + LAN
Здравствуйте, aik, Вы писали:
aik>это теперь все раутеры так умеют, или спецмодель? как ее родственники настраивали, или ты (по телефону или лично)?
берется любой PC. Я ставлю маломощные, вышедшие в тираж. В Москве у меня, например AMD C-60 прекрасно справляется. 3 провайдера, один — оптволокно. И ставится pfSense, с флешки, как любой другой дистрибутив
Можно или несколько LAN. Или, 1 Ethernet и к нему Router on the stick. С VLAN свичем. Например, Netgear GS-105E
Т.е., один Ethernet (VLAN Trunk) к одному порту этого PC. Остальные, WAN, LAN, как настроишь. 5 портов, например, дадут 1 Trunk + 3 WAN + 1 LAN. Или 1 WAN + 3 LAN, все гибко
Настраивал лично, потом при визите подключал. Хотя, все настройки потом в одном XML файле. Но ставить все равно с флешки. И интерфейсы (LAN/WAN) надо указать
V_>>Да, по умолчанию DNS работает в полном рекурсивном режиме. Не используя ни DNS провайдера, ни публичные. DNS запрос идет самым правильным способом, начиная с TLD (root) и собирая запрос по DNS серверам. Это самый правильный режим, с точки зрения приватности и надежности. Да и запросы в частную сеть не покидают периметр VPN. Через внешние сервера приватные записи резолвится не будут
aik>это dns в твоих роутерах такой умный (следствие frr/bgp/...)? или это dns на vps, а роутеры просто его рекламируют локально?
pfSense идет с Unbound из коробки. И сразу в правильном режиме, все резолвится без связи с DNS провайдера или публичных (1.1.1.1, 8.8.8.8 и прочих)
FRR в три клика добавляется через GUI. Умеючи, там мало настроек для раутинга, минуты на 2-3. Указать neighbors, сеть для advertising и номер AS. Последнее это просто уникальный номер [64512 to 65535] который своим узлам назначаешь, точь-в-точь как private подсети назначаешь. И разрешить BGP по VPN в настройках firewall для сети Tinc VPN. В этом то и смысл этого раутинга. Указать самую базовую информацию. И, опа, все пути уже у тебя. А твои уже у соседей, без перекрестных перенастроек. Если один узловой VPS отключить, то его routes у всех пропадают в течение полминуты примерно. Так же и с пропадание раутера
Я, например, одному раутеру даю 172.25.8.0/24, его AS — 65008, другому — 72.25.9.0/24, его AS — 65009 и т.п.
Все уровни (транспорт — VPN), раутинг (BGP) и DNS, идут отдельно друг от друга, не связаны
VPN объединяет в сеть, так что все VPN Endpoinds в одной L2 сети (AKA Ethernet). А раутинг автоматом "наполняет" остальных информацией о своей сети через VPN
А DNS уже поверх внутренней IP сети
aik>это теперь все раутеры так умеют, или спецмодель? как ее родственники настраивали, или ты (по телефону или лично)?
берется любой PC. Я ставлю маломощные, вышедшие в тираж. В Москве у меня, например AMD C-60 прекрасно справляется. 3 провайдера, один — оптволокно. И ставится pfSense, с флешки, как любой другой дистрибутив
Можно или несколько LAN. Или, 1 Ethernet и к нему Router on the stick. С VLAN свичем. Например, Netgear GS-105E
Т.е., один Ethernet (VLAN Trunk) к одному порту этого PC. Остальные, WAN, LAN, как настроишь. 5 портов, например, дадут 1 Trunk + 3 WAN + 1 LAN. Или 1 WAN + 3 LAN, все гибко
Настраивал лично, потом при визите подключал. Хотя, все настройки потом в одном XML файле. Но ставить все равно с флешки. И интерфейсы (LAN/WAN) надо указать
V_>>Да, по умолчанию DNS работает в полном рекурсивном режиме. Не используя ни DNS провайдера, ни публичные. DNS запрос идет самым правильным способом, начиная с TLD (root) и собирая запрос по DNS серверам. Это самый правильный режим, с точки зрения приватности и надежности. Да и запросы в частную сеть не покидают периметр VPN. Через внешние сервера приватные записи резолвится не будут
aik>это dns в твоих роутерах такой умный (следствие frr/bgp/...)? или это dns на vps, а роутеры просто его рекламируют локально?
pfSense идет с Unbound из коробки. И сразу в правильном режиме, все резолвится без связи с DNS провайдера или публичных (1.1.1.1, 8.8.8.8 и прочих)
FRR в три клика добавляется через GUI. Умеючи, там мало настроек для раутинга, минуты на 2-3. Указать neighbors, сеть для advertising и номер AS. Последнее это просто уникальный номер [64512 to 65535] который своим узлам назначаешь, точь-в-точь как private подсети назначаешь. И разрешить BGP по VPN в настройках firewall для сети Tinc VPN. В этом то и смысл этого раутинга. Указать самую базовую информацию. И, опа, все пути уже у тебя. А твои уже у соседей, без перекрестных перенастроек. Если один узловой VPS отключить, то его routes у всех пропадают в течение полминуты примерно. Так же и с пропадание раутера
Я, например, одному раутеру даю 172.25.8.0/24, его AS — 65008, другому — 72.25.9.0/24, его AS — 65009 и т.п.
Все уровни (транспорт — VPN), раутинг (BGP) и DNS, идут отдельно друг от друга, не связаны
VPN объединяет в сеть, так что все VPN Endpoinds в одной L2 сети (AKA Ethernet). А раутинг автоматом "наполняет" остальных информацией о своей сети через VPN
А DNS уже поверх внутренней IP сети
Re[7]: DNS (dnsmasq) + Windows + LAN
Здравствуйте, aik, Вы писали:
aik>это теперь все раутеры так умеют, или спецмодель? как ее родственники настраивали, или ты (по телефону или лично)?
берется любой PC. Я ставлю маломощные, вышедшие в тираж. В Москве у меня, например AMD C-60 прекрасно справляется. 3 провайдера, один — оптволокно. И ставится pfSense, с флешки, как любой другой дистрибутив
Можно или PC с несколько LAN. Или, 1 Ethernet и к нему Router on the stick. С VLAN свичем. Например, Netgear GS-105E
Т.е., один Ethernet (VLAN Trunk) к одному порту этого PC. Остальные, WAN, LAN, как настроишь. 5 портов, например, дадут 1 Trunk + 3 WAN + 1 LAN. Или 1 WAN + 3 LAN, все гибко
Настраивал лично, потом при визите подключал. Хотя, все настройки потом в одном XML файле. Но ставить все равно с флешки. И интерфейсы (LAN/WAN) надо указать
V_>>Да, по умолчанию DNS работает в полном рекурсивном режиме. Не используя ни DNS провайдера, ни публичные. DNS запрос идет самым правильным способом, начиная с TLD (root) и собирая запрос по DNS серверам. Это самый правильный режим, с точки зрения приватности и надежности. Да и запросы в частную сеть не покидают периметр VPN. Через внешние сервера приватные записи резолвится не будут
aik>это dns в твоих роутерах такой умный (следствие frr/bgp/...)? или это dns на vps, а роутеры просто его рекламируют локально?
pfSense идет с Unbound из коробки. И сразу в правильном режиме, все резолвится без связи с DNS провайдера или публичных (1.1.1.1, 8.8.8.8 и прочих)
FRR в три клика добавляется через GUI. Умеючи, там мало настроек для раутинга, минуты на 2-3. Указать neighbors, сеть для advertising и номер AS. Последнее это просто уникальный номер [64512 to 65535] который своим узлам назначаешь, точь-в-точь как private подсети назначаешь. И разрешить BGP по VPN в настройках firewall для сети Tinc VPN. В этом то и смысл этого раутинга. Указать самую базовую информацию. И, опа, все пути уже у тебя. А твои уже у соседей, без перекрестных перенастроек. Если один узловой VPS отключить, то его routes у всех пропадают в течение полминуты примерно. Так же и с пропадание раутера
Я, например, одному раутеру даю 172.25.8.0/24, его AS — 65008, другому — 172.25.9.0/24, его AS — 65009 и т.п.
Все уровни (транспорт — VPN), раутинг (BGP) и DNS, идут отдельно друг от друга, не связаны
VPN объединяет в сеть, так что все VPN Endpoinds в одной L2 сети (AKA Ethernet). А раутинг автоматом "наполняет" остальных информацией о своей сети через VPN
А DNS уже поверх внутренней IP сети
aik>это теперь все раутеры так умеют, или спецмодель? как ее родственники настраивали, или ты (по телефону или лично)?
берется любой PC. Я ставлю маломощные, вышедшие в тираж. В Москве у меня, например AMD C-60 прекрасно справляется. 3 провайдера, один — оптволокно. И ставится pfSense, с флешки, как любой другой дистрибутив
Можно или PC с несколько LAN. Или, 1 Ethernet и к нему Router on the stick. С VLAN свичем. Например, Netgear GS-105E
Т.е., один Ethernet (VLAN Trunk) к одному порту этого PC. Остальные, WAN, LAN, как настроишь. 5 портов, например, дадут 1 Trunk + 3 WAN + 1 LAN. Или 1 WAN + 3 LAN, все гибко
Настраивал лично, потом при визите подключал. Хотя, все настройки потом в одном XML файле. Но ставить все равно с флешки. И интерфейсы (LAN/WAN) надо указать
V_>>Да, по умолчанию DNS работает в полном рекурсивном режиме. Не используя ни DNS провайдера, ни публичные. DNS запрос идет самым правильным способом, начиная с TLD (root) и собирая запрос по DNS серверам. Это самый правильный режим, с точки зрения приватности и надежности. Да и запросы в частную сеть не покидают периметр VPN. Через внешние сервера приватные записи резолвится не будут
aik>это dns в твоих роутерах такой умный (следствие frr/bgp/...)? или это dns на vps, а роутеры просто его рекламируют локально?
pfSense идет с Unbound из коробки. И сразу в правильном режиме, все резолвится без связи с DNS провайдера или публичных (1.1.1.1, 8.8.8.8 и прочих)
FRR в три клика добавляется через GUI. Умеючи, там мало настроек для раутинга, минуты на 2-3. Указать neighbors, сеть для advertising и номер AS. Последнее это просто уникальный номер [64512 to 65535] который своим узлам назначаешь, точь-в-точь как private подсети назначаешь. И разрешить BGP по VPN в настройках firewall для сети Tinc VPN. В этом то и смысл этого раутинга. Указать самую базовую информацию. И, опа, все пути уже у тебя. А твои уже у соседей, без перекрестных перенастроек. Если один узловой VPS отключить, то его routes у всех пропадают в течение полминуты примерно. Так же и с пропадание раутера
Я, например, одному раутеру даю 172.25.8.0/24, его AS — 65008, другому — 172.25.9.0/24, его AS — 65009 и т.п.
Все уровни (транспорт — VPN), раутинг (BGP) и DNS, идут отдельно друг от друга, не связаны
VPN объединяет в сеть, так что все VPN Endpoinds в одной L2 сети (AKA Ethernet). А раутинг автоматом "наполняет" остальных информацией о своей сети через VPN
А DNS уже поверх внутренней IP сети