главная - Статьи - Mikrotik

Mikrotik DDNS (Dynamic DNS)

Дата обновления: 04.02.2022

Теги: Mikrotik Безопасность

DDNS (Dynamic DNS) это служба, которая периодически обновляет информацию об IP-устройства. Служба позволяет сопоставить постоянному, неизменному доменному имени, текущий временный публичный IP-адрес, выданный провайдером вашему роутеру. Это позволяет взаимодействовать через интернет с устройствами, не имеющими внешних фиксированных IP-адресов, например, с роутерами Mikrotik.

Сразу нюанс - если провайдер выдает серый IP, то DDNS работать не будет, ведь серые IP не маршрутизируются через интернет. DDNS поможет только если провайдер выдает белый, хоть и не фиксированный, IP-адрес.

Основное применение: защита от внезапной смены белого IP-адреса. Например, даже когда IP-адрес оплачивается, провайдер может провести реструктуризацию сети и вы можете узнать о смене вашего IP только тогда, когда безуспешно попробуете подключиться к домашней сети, находясь в отпуске.

На Mikrotik DDNS работает следующим образом:

Через Winbox: IP - Cloud -> DDNS-Enabled

Устанавливаете интервал обновления адреса (DDNS Update Interval), например, раз в 5 минут: 00:05:00

/ip cloud set ddns-enabled=yes
/ip cloud print
          ddns-enabled: yes
  ddns-update-interval: 5m
           update-time: no
        public-address: 1.2.3.4
              dns-name: 123456789.sn.mynetname.net
                status: updated

По-умолчанию, устанавливается включенный чек-бокс Update Time.

Служба Update Time в данном случае не является необходимой. Это, скорее, реверанс в сторону домашних пользователей. Если включена, то роутер отправляет зашифрованные пакеты на cloud.mikrotik.com или cloud2.mikrotik.com, используя UDP/15252. Часовой пояс определяется на основании региона IP-адреса роутера. Мне этот функционал не нужен, ведь настроен давно NTP и отправлять кому-то "зашифрованные пакеты" нет желания. Поэтому Update Time выключил.

/ip cloud set update-time=no
/system clock set time-zone-autodetect=no

Если пользуетесь Winbox, тут же видите Public Address роутера и его DNS Name вида "что-то.sn.mynetname.net", где "что-то" это серийный номер вашего роутера (сравните с System-Routerboard). Таким образом, имя роутера получится уникальным. Теперь можно использовать hostname роутера 123456789.sn.mynetname.net для VPN, мониторинга или других целей.

 

Безопасность и DDNS

Даже если вы выключите DDNS-функционал, последний IP-адрес, сопоставленный с вашим роутером, так и останется. Он не удалится уже никогда, а лишь обновится при следующем включении функции DDNS.

Не скажу, что функцинал DDNS - это существенная брешь в безопасности, но! Как только ваш микротик "засветится" в DDNS-сервисе, его IP станет частью списка, по которому можно сканером проверять, уязвимо устройство или нет. Злоумышленникам сканировать вообще все IP-адреса интернет сложно. Очень. Тут же не только микротики. И динамических адресов кучи. Сканировать неудобно. А вот пройтись сканером, перебирая варианты серийных номеров микротиков, гораздо удобнее. Если кто-то будет искать уязвимые микротики в сети, то такой вариант точно может быть использован. Это не значит, что вас взломают. Вы ведь и так настроили firewall mikrotik? И вообще, защитили роутер хотя бы базово?

Ну или можно как-то подменить DNS-запись "123456789.sn.mynetname.net", перенаправив жертву не на роутер 1.2.3.4, а на 6.6.6.6. Защита DNS в локальной сети штука важная. Да и кто поручиться, что в одно прекрасное утро по новостным сайтам не пробежит "вчера компания Mikrotik заявила, что в результате атаки на сервис DDNS никто не пострадал и нет свидетельств, что в результате атаки злоумышленники получили доступ к устройствам пользователй"?

Выбор между функционалом и безопасностью всегда труден. Или прост. Или очевиден ;)

Авторизуйтесь для добавления комментариев!

    забыли пароль?    новый пользователь?