Segment53 no MikroTik com DNAT
O Segment53 permite criar múltiplos segmentos com diferentes endpoints para Do53. Isso possibilita que um único IP seja vinculado a diferentes segmentos da rede, cada um com políticas específicas de controle e segurança. O recurso está disponível no cadastro de Locais dentro da plataforma e é exclusivo para os planos Pro e Education.
É possível em uma rede com MikroTik, aplicar este recurso em redes com VLANs e DNAT. Neste artigo, falaremos sobre a utilização com DNAT.
Quando usamos DNAT com o objetivo de direcionar uma determinada Address Lists para diferentes servidores DNS, estamos aplicando regras específicas de redirecionamento de endereço para manipular o tráfego DNS (porta 53) com base no grupo de IPs de origem (Address List).
Vejamos na prática:
Este artigo não é recomendado se você possui servidor de domínio (AD) na rede. Em caso de dúvidas, contate o suporte.
Neste primeiro momento, criaremos dois locais no Lumiun DNS. O primeiro local, terá as consultas resolvidas pelo MikroTik, o segundo, por outros servidores DNS através do DNAT.
Vincularemos o mesmo IP Público, mas vamos alterar o segmento referente ao local. Veja no print abaixo:
O local "Setor Comercial" seguiremos o guia de instalação padrão do MikroTik.
O segundo local, faremos a configuração com DNAT.
Devido a limitações na coleta de informações, configurações via DNAT não possuem IP interno nos relatórios.
Criaremos a Address List. Neste exemplo, a lista deverá ter os IPs referente aos dispositivos da equipe gerencial.
Acesse o menu IP → Firewall. Clique na guia Address Lists e então no botão Add New.
Preencha o campo Name com gerencia_ips.
Preencha o campo Address com o endereço IP de um dos dispositivos da rede local. Dica: também pode ser especificada uma faixa de endereços, como 192.168.88.10-192.168.88.20 ou uma subrede, por exemplo, 10.10.10.0/24
Salve clicando no botão OK.
Repita esse procedimento para adicionar os endereços IP de todos os dispositivos que fazem parte da gerencia.
Criando o redirecionamento.
Acesse o menu IP → Firewall → NAT e clique no botão Add New.
No campo Chain selecione dstnat.
No campo Protocol selecione udp.
Preencha o campo Dst. Port com 53.
No campo Src. Address List selecione gerencia_ips.
No campo Action selecione dst-nat.
Preencha o campo To Addresses com o servidor DNS primário referente ao local da gerencia. Para visualizá-lo, clique em "Configurações" no local desejado.
Salve clicando no botão OK
Repita esse procedimento, trocando apenas o campo Protocol por tcp.
Pronto! Agora, os IPs inseridos na Adress List '**gerencia_ips**' seguirá as regras da '**Política Gerencial**', definida no local do Lumiun DNS.
Você pode utilizar este mesmo processo, para criar outros locais e utilizar o Segment53 para definir outros grupos de IPs.
É possível em uma rede com MikroTik, aplicar este recurso em redes com VLANs e DNAT. Neste artigo, falaremos sobre a utilização com DNAT.
Quando usamos DNAT com o objetivo de direcionar uma determinada Address Lists para diferentes servidores DNS, estamos aplicando regras específicas de redirecionamento de endereço para manipular o tráfego DNS (porta 53) com base no grupo de IPs de origem (Address List).
Vejamos na prática:
Este artigo não é recomendado se você possui servidor de domínio (AD) na rede. Em caso de dúvidas, contate o suporte.
Criando os locais no Lumiun DNS:
Neste primeiro momento, criaremos dois locais no Lumiun DNS. O primeiro local, terá as consultas resolvidas pelo MikroTik, o segundo, por outros servidores DNS através do DNAT.
Vincularemos o mesmo IP Público, mas vamos alterar o segmento referente ao local. Veja no print abaixo:
O local "Setor Comercial" seguiremos o guia de instalação padrão do MikroTik.
O segundo local, faremos a configuração com DNAT.
Devido a limitações na coleta de informações, configurações via DNAT não possuem IP interno nos relatórios.
Configuração via DNAT
Criaremos a Address List. Neste exemplo, a lista deverá ter os IPs referente aos dispositivos da equipe gerencial.
Acesse o menu IP → Firewall. Clique na guia Address Lists e então no botão Add New.
Preencha o campo Name com gerencia_ips.
Preencha o campo Address com o endereço IP de um dos dispositivos da rede local. Dica: também pode ser especificada uma faixa de endereços, como 192.168.88.10-192.168.88.20 ou uma subrede, por exemplo, 10.10.10.0/24
Salve clicando no botão OK.
Repita esse procedimento para adicionar os endereços IP de todos os dispositivos que fazem parte da gerencia.
Criando o redirecionamento.
Acesse o menu IP → Firewall → NAT e clique no botão Add New.
No campo Chain selecione dstnat.
No campo Protocol selecione udp.
Preencha o campo Dst. Port com 53.
No campo Src. Address List selecione gerencia_ips.
No campo Action selecione dst-nat.
Preencha o campo To Addresses com o servidor DNS primário referente ao local da gerencia. Para visualizá-lo, clique em "Configurações" no local desejado.
Salve clicando no botão OK
Repita esse procedimento, trocando apenas o campo Protocol por tcp.
Pronto! Agora, os IPs inseridos na Adress List '**gerencia_ips**' seguirá as regras da '**Política Gerencial**', definida no local do Lumiun DNS.
Você pode utilizar este mesmo processo, para criar outros locais e utilizar o Segment53 para definir outros grupos de IPs.
Atualizado em: 13/06/2025
Obrigado!