Pubblicato il di m4t7e0

MikroTik Ultimate DNS: Sicurezza Europea (DNS4EU) + Dominio Locale Automatico

Molti tutorial si fermano a metà: ti insegnano a cambiare i DNS per la privacy, ma poi la tua rete locale diventa un incubo da gestire. “Qual era l’IP del NAS?”, “Perché non riesco a raggiungere il server di test?”.

Oggi configuriamo il MikroTik Definitivo.

Faremo due cose:

  1. Useremo DNS4EU (IP 86.54.11.13) per navigare sicuri, senza pubblicità e con sovranità dati europea.
  2. Creeremo un Dominio Locale Intelligente (*.miodominio.local) che si aggiorna da solo grazie al DHCP.

Risultato? Nessuna pubblicità su YouTube, ma risoluzione istantanea di collega.ufficio.local.

Parte 1: Il “Muro” Esterno (DNS4EU)

Per prima cosa, impostiamo i resolver che filtrano la “spazzatura” (Malware + Ads) direttamente alla fonte.

Bash

/ip dns
set allow-remote-requests=yes \
    cache-size=8192KiB \
    servers=86.54.11.13,86.54.11.1

E forziamo tutti i dispositivi a usarli (anche quelli che vogliono fare i furbi con Google):

Bash

/ip firewall nat
add chain=dstnat action=redirect to-ports=53 protocol=udp dst-port=53 \
    src-address-list=!dns-bypass comment="Force DNS4EU (UDP)"
add chain=dstnat action=redirect to-ports=53 protocol=tcp dst-port=53 \
    src-address-list=!dns-bypass comment="Force DNS4EU (TCP)"

Parte 2: Il Dominio Locale (La Magia)

Ora che l’esterno è sicuro, sistemiamo l’interno. Vogliamo che ogni dispositivo che si collega al Wi-Fi o via cavo sia raggiungibile tramite nome (pc-mario.ufficio.local), senza dover impostare DNS statici a mano.

A. Definire il suffisso DNS

Dobbiamo dire ai client Windows/Linux: “Tu fai parte del dominio ufficio.local“. Se non lo facciamo, Windows non registrerà il suo nome correttamente.

Bash

/ip dhcp-server network
set [find] domain="ufficio.local" dns-server=IP_DEL_TUO_GATEWAY

(Sostituisci IP_DEL_TUO_GATEWAY con l’indirizzo LAN del MikroTik, es. 192.168.88.1)

B. Lo Script Automatico (DHCP Lease Script)

Questo è il cuore del sistema. Incolla questo script nel profilo del tuo DHCP Server (tab Script).

Ogni volta che un dispositivo prende un IP, il MikroTik crea automaticamente il record DNS. Se il dispositivo se ne va, il record sparisce.

Caratteristiche dello script:

  • Usa il MAC Address per identificare i dispositivi (niente duplicati se cambi nome al PC).
  • Gestisce la pulizia automatica.

Snippet di codice

:local domain "ufficio.local";
:local ttl "00:15:00";
:local hostname $"lease-hostname";
:local ip $"lease-act-ip";
:local mac $"lease-mac-address";
:local bound $"lease-bound";
:local dnsComment ("DHCP-" . $mac);

:if ($bound = 1) do={
    :if ([:len $hostname] > 0) do={
        :local fqdn ($hostname . "." . $domain);
        # Pulizia preventiva basata sul MAC
        /ip dns static remove [find comment=$dnsComment];
        # Creazione nuova entry
        /ip dns static add name=$fqdn address=$ip ttl=$ttl comment=$dnsComment;
        :log info ("DNS: Aggiunto " . $fqdn . " -> " . $ip);
    }
} else={
    # Rilascio IP: Rimuove la entry DNS
    /ip dns static remove [find comment=$dnsComment];
    :log info ("DNS: Rimosso host per MAC " . $mac);
}

Parte 3: Wildcard e Round Robin (Opzionale ma Utile)

Hai dei server web interni o servizi in cluster? Puoi usare i record statici con Wildcard.

Grazie a RouterOS v7, possiamo dire: “Tutto ciò che finisce per app.ufficio.local va a questi server”.

Bash

/ip dns forwarders
add dns-servers=192.168.1.50,192.168.1.51 name=ufficio.local
add dns-servers=192.168.10.50 name=router.lan
add dns-servers=192.168.100.50,192.168.100.51 name=bu.corp
/ip dns
set allow-remote-requests=yes servers=86.54.11.13,86.54.11.213
/ip dns static
add forward-to=bu.corp match-subdomain=yes name=bu.corp type=FWD
add forward-to=router.lan match-subdomain=yes name=router.lan type=FWD
add forward-to=ufficio.local match-subdomain=yes name=ufficio.local type=FWD

Il Risultato Finale

Con questa configurazione hai creato un ambiente “Split Horizon” perfetto:

  1. Richiesta:www.repubblica.it
    • MikroTik non lo conosce -> Chiede a DNS4EU.
    • Risultato: Sito caricato, Pubblicità bloccata, Privacy OK.
  2. Richiesta:iphone-di-luca.ufficio.local
    • MikroTik controlla la cache statica (popolata dallo script).
    • Risultato: Risposta immediata con l’IP locale (es. 192.168.1.105).
  3. Richiesta:backend.app.ufficio.local
    • MikroTik usa la regola Wildcard.
    • Risultato: Risponde con gli IP del cluster (Round Robin).

Questo è il modo corretto di gestire una rete moderna su MikroTik: Protezione globale, controllo locale.