DNS su RouterOS: cache, record statici, sicurezza e DNS over HTTPS
Configurare il resolver DNS di RouterOS come cache locale per la LAN, aggiungere record statici, abilitare DNS over HTTPS (DoH) per privacy e proteggere il router da open resolver pubblico.
RouterOS include un resolver/cache DNS integrato. Abilitarlo come cache locale migliora le prestazioni della rete (le query ripetute vengono risolte localmente) e centralizza la configurazione DNS per tutti i client LAN. La configurazione vive in /ip/dns.
Configurazione base: server upstream e cache
# Imposta server DNS upstream (Cloudflare + Google come fallback) /ip/dns set \ servers=1.1.1.1,8.8.8.8 \ cache-size=4096 \ cache-max-ttl=1d \ max-concurrent-queries=150 # Verifica configurazione attuale /ip/dns print # Svuotare la cache DNS /ip/dns/cache/flush # Ispezionare i record in cache /ip/dns/cache/print
allow-remote-requests: SOLO sulla LAN, mai su WAN
Il parametro allow-remote-requests=yes abilita RouterOS a rispondere alle query DNS provenienti da client esterni (non solo dal router stesso). Questo è necessario perché i client LAN possano usare il router come resolver, ma deve essere accoppiato a una regola firewall che blocchi le query provenienti dalla WAN.
# 1. Abilita il resolver /ip/dns set allow-remote-requests=yes # 2. OBBLIGATORIO: blocca query DNS dalla WAN (porta 53 TCP+UDP) # Aggiungi PRIMA delle regole accept esistenti /ip/firewall/filter add \ chain=input \ in-interface=ether1 \ protocol=udp \ dst-port=53 \ action=drop \ comment="Blocca DNS query dalla WAN - previene open resolver" /ip/firewall/filter add \ chain=input \ in-interface=ether1 \ protocol=tcp \ dst-port=53 \ action=drop \ comment="Blocca DNS TCP dalla WAN"
allow-remote-requests=yes senza regola firewall sulla WAN diventa un open resolver pubblico, sfruttabile per attacchi DNS amplification (DDoS). Verifica sempre la regola firewall PRIMA di abilitare questa opzione. Testa con: nmap -sU -p 53 <tuo-IP-pubblico> — se risponde, sei vulnerabile.Record DNS statici per la rete locale
# Hostname locale per il router stesso /ip/dns/static add name=router.lan address=192.168.88.1 # Hostname per server NAS locale /ip/dns/static add name=nas.lan address=192.168.88.10 # Override: forza un dominio a risolvere su IP locale # (es. per portale captive o test locale) /ip/dns/static add name=portal.wisplocale.it address=192.168.88.1 # Record con TTL personalizzato /ip/dns/static add name=telecamera.lan address=192.168.88.50 ttl=5m # Verifica /ip/dns/static print
DNS over HTTPS (DoH): privacy e anti-intercettazione
DoH cifra le query DNS in HTTPS, impedendo all'ISP upstream o a un attaccante man-in-the-middle di intercettare o manipolare le risposte DNS. In RouterOS v7 si configura con use-doh-server.
# Prima risolvi l'IP del server DoH con il DNS attuale /ip/dns set servers=1.1.1.1 # Abilita DoH con Cloudflare (verifica certificato TLS) /ip/dns set \ use-doh-server=https://cloudflare-dns.com/dns-query \ verify-doh-cert=yes # Alternativa: Google DoH # /ip/dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yes # Verifica che DoH funzioni /ip/dns print /ip/dns/cache/flush :resolve google.com
servers= come fallback (es. 1.1.1.1), usato da RouterOS per risolvere il nome del server DoH stesso al primo avvio. Senza fallback, se il certificato DoH non è ancora risolvibile, il DNS smette di funzionare.Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS