Mikrotik не работает dns по vpn
Допустим, у меня есть набор из нескольких подсетей /24, соединённых различными IP-туннелями (в смысле, L3, а не L2) в топологии «звезда». В частности, две подсети соединяются с центральной через IPsec между роутерами в туннельном режиме, и ещё есть подсеть для OpenVPN-клиентов (OpenVPN-сервер находится в центральной подсети, но на отдельной машине). Все подсети лежат внутри 10.0.0.0/8. OSPF и прочими протоколами динамической маршрутизации не пользуюсь, везде статические маршруты. Это всё как-то работает (все всех видят). Для определённости, все роутеры Mikrotik.
Теперь собственно задача. В каждой подсети есть свой кэширующий DNS-сервер-ресолвер, в кэш которого инжектируются записи о DHCP-клиентах в данной подсети (как dnsmasq, но не dnsmasq). Доменные зоны везде разные (*.1.lan, *.2.lan и так далее). И ещё у OpenVPN-сервера есть свой список клиентов с именами. И хочется сделать так, чтобы любой узел в любой подсети мог заресолвить имя любого другого узла, обращаясь к «своему» кэширующему ресолверу (к тому, чей адрес он получает через DHCP).
Как лучше всего это сделать? Я придумал три одинаково хреновых подхода.
Простейший и мегакостыльный способ 1 — синхронизировать списки клиентов, т. е. при появлении DHCP-клиента в любой подсети DHCP-сервер роутера через lease script будет стучаться по SSH на все остальные роутеры и добавлять это имя во все кэши. То же самое для OpenVPN-сервера.
Ещё один простейший и скорее всего нерабочий способ 2 — выдавать через DHCP адреса всех кэширующих ресолверов, а не только свой. Но это наверняка будет тормозить, потому что наверняка найдётся клиент, который перепутает порядок и будет пинать чужой сервер через VPN по умолчанию. Или, как вариант 2a, прописать адреса всех кэширующих ресолверов на каждом роутере как статические upstream DNS servers. Наверное, будет получше, но всё равно порядок опроса наверняка где-нибудь навернётся.
Наконец, способ номер 3 поизящнее — поднять в центре полновесный DNS-сервер, в котором делегировать каждую зону на соответствующий кэширующий ресолвер через VPN, и прописать этот DNS-сервер как второй upstream DNS server на каждом роутере. Но я не знаю, что взять в качестве полновесного DNS-сервера и как заставить ресолверы роутеров ресолвить запросы к *.lan через этот сервер, а остальные — через нормальный?
Есть ли у уважаемых админов и недоадминов ЛОРа какие-либо предложения (помимо «убей себя об стену, нуб»), комментарии (помимо «больной поехавший ублюдок»), идеи (помимо «оставить администрирование и идти работать дворником»)?
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Приступим к решению
1. Откройте текстовый редактор, например, notepad и вставьте следующие команды:
2. В списке команд выше необходимо изменить внутренний IP-адрес вашего маршрутизатора (зеленый цвет), имя внутреннего домена (оранжевый цвет) и адрес внутреннего DNS сервера (синий цвет) в соответствии с вашими настройками в текстовом редакторе.
3. Откройте ssh-сеанс на маршрутизаторе MikroTik и вставьте отредактированное содержимое текстового редактора в командную строку.
4. Перезагрузите маршрутизатор, чтобы изменения вступили в силу
Поиск неисправностей
Нам необходимо проверить, сможем ли попасть на сайты интрасети с другой стороны VPN. Если вы не можете, убедитесь, что туннель vpn запущен и работает, и что сайты действительно доступны через их внутренние IP-адреса, например, проверка по ping-протоколу нашего DNS-сервера 10.100.100.2. Следующим шагом является устранение проблемы с разрешением DNS при помощи таких команд, как nslookup. Сначала убедитесь, что DNS-сервер с другой стороны туннеля отвечает на запросы NS, выдавая команду:
где 10.100.100.2 DNS-сервер Интранета.
После приглашения > введите имя одного из ваших сайтов интрасети, и сервер имен должен сообщить его IP-адрес:
Если проверка проходит, то это означает, что туннель и DNS-сервер работают как нужно. Проверим перенаправление запросов через наш маршрутизатор, для этого выполним команду на клиентском устройстве:
где 172.16.100.1 — внутренний IP-адрес нашего маршрутизатора MikroTik.
Если результат не совпадает с вышеописанным, необходимо вернутся к списку команд в текстовом редакторе и убедитесь, что всё введено правильно. Исправьте ошибки и попробуйте еще раз.
MikroTik: куда нажать, чтобы заработало?
При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс « Настройка оборудования MikroTik ». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.
Вводная информация DNS forwarding
У вас всегда есть возможность создавать записи вручную в файле хостов или добавлять ручные записи на ваш DNS-сервер, однако, если количество сайтов является значительным, это может превратиться в настоящую проблему, не говоря уже о том, что ваши записи не будут обновляться в случае изменения записей DNS на корпоративном сервере.
Как ни странно, у Микротика нет простого решения для условной пересылки DNS или пересылки DNS-запросов для определенного домена на конкретный сервер, однако мы сможем решить данную задачу с помощью командной строки.
Буду считать, что читатель знаком с командной строкой Mikrotik и нет необходимости расписывать используемый функционал, – это выходит за рамки этой публикации. В решении мы будем работать на 7 уровне сетевой модели OSI или прикладном уровне.
Прежде чем начать, вам понадобится следующая информация:
Не работает DNS для vpn клиентов
Всем добрый день. Имеется микротик RB951G-2HnD. На нём настроено l2tp+ipsec. Выдан пул адресов для vpn 77.88.1.0/24. Также настроен dns. В локальной сети nslookup отрабатывает, но если подключиться по vpn, то не работает.Прилагаю скрин настроек. Почему может не работать?
Зачем у вас в списке DNS серверов IP самого роутера?
И настройки в DHCP -> Networks для впн-клиентов не используются.
Да, и ещё, почему вы в качестве адресов для своего впн используете яндексовские публичные адреса?
Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac].
. [hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Зачем у вас в списке DNS серверов IP самого роутера?
И ещё, почему вы в качестве адресов для своего впн используете яндексовские публичные адреса?
Эт я уже не знал что не так, думал может вписать в список dns адрес самого роутера, но конечно и с ним не заработало. По второму вопросу как то не задумывался, это ж как бы внутри сети всё происходит, думаю без разницы какие адреса для впн раздавать, или я не прав?
По второму вопросу как то не задумывался, это ж как бы внутри сети всё происходит, думаю без разницы какие адреса для впн раздавать, или я не прав?
Не правы.
Вполне можете столкнуться с тем, что-то какие-то яндексовские сервисы работать не будут.
Для внутренних сетей используются немаршрутизируемые глобально диапазоны:
10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16
Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac].
. [hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
По второму вопросу как то не задумывался, это ж как бы внутри сети всё происходит, думаю без разницы какие адреса для впн раздавать, или я не прав?
Не правы.
Вполне можете столкнуться с тем, что-то какие-то яндексовские сервисы работать не будут.
Для внутренних сетей используются немаршрутизируемые глобально диапазоны:
10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16
Понял, хорошо. Еще заметил, что если я в PPP Profile указываю dns, то на моём клиенте при активном впн подключении не работает интернет.
Еще заметил, что если я в PPP Profile указываю dns, то на моём клиенте при активном впн подключении не работает интернет.
Ну вообще-то эта настройка там именно для того, чтобы передавать клиенту инфо о DNS сервере (аналогично такому же полю в DHCP -> Networks).
Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac].
. [hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
И в итоге вижу, почему у вас нет DNSа на впн-клиентах - в firewall'е доступ к роутеру разрешен только для 192.168.0.0/24, но не для них.
Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac].
. [hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Подскажите пожалуйста, почему клиент не получает DNS сервера от Сервера RouterOS в облаке (CHR)
IP > DNS: добавлены DNS сервера и allow remote request.
IP > DHCP server и Network: Не задействованы. Делал все по разным гайдам из интернета. А суть сервера только в VPN. Нигде даже речи не шло про DHCP server. Если это косяк, то поправьте меня пожалуйста. (сервер конфигурировал только на клиентских микротах.)
PPP > Profiles: Создан VPN профиль, в нем прописаны Local Address 172.16.16.1 и Remote address - выбран созданный пул. Ниже в поля DNS вписаны 1.1.1.1 и 1.0.0.1 Вроде как именно эти DNS и должны выдаваться клиентам.
Но почему-то этого не происходит.
IP > Firewall: Был пустой, а сейчас добавил несколько правил, но я их все выключил, для того чтобы убедиться что они не повлияли на выдачу DNS. По этому считаем что их нет.
IP > NAT: Прописано правило маскарад для 172.16.16.0/24
По итогу сервер работает, клиенты успешно ходят в инет. За исключением одного момента. Мой провайдер заблочил несколько сайтов через DNS. Замена на любой, типа 1.1.1.1 Спокойно снимает блокировку. Но это все делается на клиентах. Я конечно могу и дальше это все прописывать на клиентах. Но ведь надо же знать почему сервер сам не выдает DNS?
Я думаю не сложно догадаться что я новичок. Если мало инфы, оперативно залью все недостающее, только направьте меня.
- Вопрос задан 18 окт. 2021
- 203 просмотра
Средний 12 комментариев
инфы достаточно вообщем то
DHCP сервер при впн клиентах не используется, он же для локальной сети.
Насчет DNS - что показывает список DNS серверов на клиенте? точно ли их там нету?
DNS опрашивается обычно по порядку, надо смотреть какой приоритет винда выдала DNSам.
Можно указать DNSом сам микротик(впн сервер)
Drno, Винда говорит: dns серверы 192.168.0.1
192.168.0.1
Сейчас под рукой нету микрота клиентского, пока на винде могу только смотреть что-то.
Обычно в таких ситуациях логи скидывают под спойлером.
Думаю, поможет статический маршрут до dns в облаке
xxx.xxx.xxx.xxx > 0.0.0.0
Пробуйте
Денис, без понятия. Был бы кинетик объяснил
Знаю только, что нужен статический маршрут. Т.к клиенты не могут достучаться до dns через vpn туннель.
Поэтому и нужен маршрут
Денис, ну вот винда и берет этот DNS. раз там микротик, то он в первую очередь опросит свои DNS, а уж потом VPNовский.
Как вариант, сделать фаерволом у клиента редирект запросов на IP облачного микротика, но эт чет изврат. над поискать приоретизацию DNS в самом микротике, не было пока такой задачи нигде
Drno, Еще если может знаете, тот факт что DNS берется не у VPN сервера, влияет на защиту данных? То-есть вся суть sstp сервера в том чтобы закрыть провайдеру видимость. Помимо доступа к заблокированным сайтам.
Я через wireshark смотрел траффик, честно сказать в некоторых моментах вместо иероглифов четко читаемые данные.
Есть 2 офиса, у меня там стоят микротики соединенные по pptp
Хосты в подсети 1 не пингуются по имени хоста из подсети 2 и также в обратную сторону (по ip пинг есть)
В DNS на 1-м микротике указан ip 2-го, и наоборот, но так не работает..
Как правильно пробросить DNS?
Рональд Макдональд, А, я подумал с подвохом вопрос)
Да, они и АД сервер, на котором только он сам. Он кстати тоже указан в качестве ДНС, но виден только в той сети, в которой находится.
2 Сети - это 114.0 и 0.0
set allow-remote-requests=yes servers=\
91.***.***.**,91.***.***.**,192.168.114.100,192.168.0.1
Тут указаны провайдерские днсы, 114.100 - это АД, 0.1 - это второй микротик
Нет, у каждого свой, они должны работать абсолютно независимо
Рональд Макдональд, Сегодня максимально туплю, сори ;)
/ip pool
add name=dhcp ranges=192.168.114.5-192.168.114.255
add name=pool1 ranges=192.168.252.40-192.168.252.254
add name=pool_free_wifi ranges=10.1.1.2-10.1.1.50
/ip dhcp-server
add add-arp=yes address-pool=dhcp authoritative=after-2sec-delay disabled=no \
interface=LAN-Bridge lease-time=1d name=server1
add add-arp=yes address-pool=pool_free_wifi authoritative=after-2sec-delay \
disabled=no interface=bridge_Free_wifi name=server_free_wifi
Мои настройки в аналогичной ситуации:
". " выделил DNS-сервер на другом конце VPN и добавил в список DNS сам удалённый Микротик.
MikroTik
Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.
Читайте также: