Настройка статической A-записи DNS в MikroTik RouterOS 7

В MikroTik на RouterOS 7 статическая A-запись mysite.ru → 10.10.10.10 не заработает без включения DNS-сервера с allow-remote-requests=yes — это ключевой шаг для локальной сети. Укажите IP роутера (например, 192.168.88.1) как dns-server в DHCP, проверьте firewall на блокировку UDP/TCP 53 и сбросьте кэш заново. Если в hosts на клиенте работает, проблема именно в том, что клиенты не используют роутер как dns сервер mikrotik, а шлют запросы наружу.

Содержание

• Настройка статической DNS-записи в MikroTik RouterOS 7
• Включение DNS-сервера и allow-remote-requests
• DHCP: выдача IP роутера как DNS клиентам
• Firewall и NAT: не даем запросам уйти
• Диагностика: почему mikrotik не работает dns
• Особенности RouterOS 7 для mikrotik dns
• Безопасность локального DNS в MikroTik
• Источники
• Заключение

Настройка статической DNS-записи в MikroTik RouterOS 7

Сначала убедимся, что запись добавлена правильно. В Winbox идете в IP → DNS → Static, жмете ADD и вносите: Name = mysite.ru, Address = 10.10.10.10, TTL по умолчанию (1d). Или в терминале:

/ip dns static add name=mysite.ru address=10.10.10.10

Проверьте список: /ip dns static print. Видите строку? Отлично. Но вот засада: без активации сервера это просто мертвый груз. Клиенты игнорируют, потому что роутер не отвечает на их запросы.

А что если домен уже кэшировался с внешним IP? Сбросьте: /ip dns cache flush. На клиенте тоже: ipconfig /flushdns в Windows или sudo systemd-resolve --flush-caches в Linux. Но это не панацея — без остальных шагов mikrotik static dns останется бесполезным.

Почему в hosts работает? Потому что hosts обходит DNS полностью. Роутер тут ни при чем. Теперь перейдем к главному.

Включение DNS-сервера и allow-remote-requests

Сердце проблемы — роутер по умолчанию не принимает запросы от LAN. В IP → DNS ставьте галки: Servers (укажите upstream, типа 8.8.8.8,1.1.1.1), Allow Remote Requests. Это позволит клиентам слать запросы на порт 53 роутера.

Команда для mikrotik настройка dns:

/ip dns set enabled=yes allow-remote-requests=yes servers=8.8.8.8,1.1.1.1 cache-size=2048KiB

Без allow-remote-requests=yes статические записи игнорируются — роутер молчит. После изменений всегда /ip dns cache flush. Тестируйте сразу с роутера: /tool nslookup name=mysite.ru — должен вернуть 10.10.10.10.

Из официальной wiki MikroTik ясно: это базовый шаг для локальных доменов. А в руководстве по DNS подчеркивают — без него клиенты уходят к провайдеру, где mysite.ru резолвится в реальный публичный IP.

Коротко: включили? Клиенты теперь видят роутер как DNS? Проверим дальше.

DHCP: выдача IP роутера как DNS клиентам

Клиенты не знают, что роутер — их DNS. Они берут от провайдера или Google. Идете в IP → DHCP Server → Networks, редактируете сеть (обычно 192.168.88.0/24) и ставите dns-server=ваш_IP_роутера (192.168.88.1).

В CLI для mikrotik dhcp dns:

/ip dhcp-server network set 0 dns-server=192.168.88.1

Проверьте: /ip dhcp-server network print. Если там другой DNS — меняйте. Перезапустите DHCP или обновите lease на клиенте (ipconfig /renew).

Если кастомный option-set: /ip dhcp-server option add name=my-dns code=6 value="'192.168.88.1'", привяжите к pool. Теперь на клиенте ipconfig /all покажет dns-server=192.168.88.1. Тест: nslookup mysite.ru — бац, 10.10.10.10!

Форум MikroTik подтверждает: DHCP — must-have для LAN.

Firewall и NAT: не даем запросам уйти

Firewall может глушить порт 53. В IP → Firewall → Filter смотрите chain=input: должно быть accept для dns из LAN.

Добавьте правило (перед drop-all):

/ip firewall filter
add chain=input action=accept protocol=udp dst-port=53 in-interface=bridge-local place-before=0
/add chain=input action=accept protocol=tcp dst-port=53 in-interface=bridge-local

Для forward тоже, если нужно: chain=forward protocol=udp dst-port=53 action=accept.

NAT masquerade не мешает DNS напрямую, но если policy routing — проверьте mark. В гайде по настройке таблица ошибок: 90% случаев — firewall бьет по 53.

Проверьте логи: /log print where topics~dns. Нет запросов? Значит, не доходят.

Диагностика: почему mikrotik не работает dns

Не пошло? Шаги по порядку:

1. С роутера: /ip dns static print, /tool nslookup mysite.ru — IP ваш?
2. С клиента: nslookup mysite.ru 192.168.88.1 — напрямую к роутеру. Работает? DHCP сломан.
3. nslookup mysite.ru без IP — уходит к другому DNS.
4. Wireshark на клиенте: видны UDP 53 к роутеру? Ответ есть?
5. Кэш: flush везде.
6. RouterOS 7 баг? /system routerboard print — обновитесь.

Типичные косяки из блога по MikroTik DNS: regexp в имени или TTL=0. Для mysite.ru просто.

Если “could not resolve dns name mikrotik” — firewall или no allow-remote.

Особенности RouterOS 7 для mikrotik dns

В RouterOS 7 DNS улучшен: cache-size до 2048KiB по умолчанию, DoH/DoT опции, но для статических — те же команды. Если WiFi CAPsMAN — убедитесь, DHCP от роутера.

Обновка: /system package update install. Wiki хвалит стабильность DNS в v7.

Для split-DNS: fwd=.example.com=10.0.0.1, но для вашего — static хватит.

Безопасность локального DNS в MikroTik

Не открывайте DNS в WAN! В firewall: drop input dst-port=53 from WAN. Только LAN.

/ip firewall filter add chain=input action=drop protocol=udp dst-port=53 in-interface=wan

Из форума: добавьте address-list для доверенных IP. AdGuard DNS или DoH — опционально для фильтрации.

Источники

1. Настройка MikroTik с нуля
2. Настройка DNS-сервера Mikrotik
3. MikroTik DNS Configuration
4. What is required to safely enable DNS Allow Remote Requests?
5. How to Use MikroTik as a Local DNS Server
6. DNS Setup On MikroTik

Заключение

MikroTik dns в RouterOS 7 оживает после allow-remote-requests=yes, DHCP dns-server=роутер_IP и чистого firewall — mysite.ru на 10.10.10.10 заработает у всех в LAN. Если mikrotik не работает dns, бегите по чеклисту: nslookup, logs, flush. Это сэкономит часы нервов, и локальный домен станет нормой.