Здравствуйте!
Можете, пожалуйста, помочь?!
В /ip dns прописаны DNS серверы, а в Static на некоторые домены указаны локальные адреса.
Здесь всё работает без нареканий.
Понадобилось для одной локалки задать свой внешний DNS.
Указываю его для /ip dhcp-server network dns-server= (адрес)
И вот теперь эта локалка не видит Static DNS. И я не знаю, как сделать, чтобы локальные имена были доступны для компьютеров в этой подсети. Что можно сделать?
Спасибо!
Static DNS для DHCP Network
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1-й вопрос:
"Зачем так сделали/надо?"
2-й вопрос/ответ:
Не проще сделать так, чужая локалка, пусть будет 13.0/24, 13.1/24 у микротика.
Вы задаёте в DHCP в качестве DNS'а - 13.1, чужая локалка (13.0) получает
и может видеть и Ваши STATIC записи, а все обращения в DNS будет
отправлять на 13.1, а уже Ваш микротик (как кеширующий сервер отправит
уже сам запрос на DNS'ы провайдерские/или на те что заданы в настройках).
2-й усовершенствованный вариант: делать отдельный DNS-сервер, для чужой сети,
его отдавать клиентам, и на нём уже делать переадресацию на провайдерский/нужный/внешний
DNS (тоже самое, но так как отдельный сервер, там можно гибче настроить, но логика
таже).
Просто не получится у Вас так, чтобы и не свой DNS указав, и компы обращались
в микротик за записями STATIC. Как им понять где и куда что искать.
P.S.
Ну или делать очень глубоко-профессионально:
Вылавливать "чужую" сетку, перехватывать DNS-запросы, и подставлять в их запросы
другой DNS адрес. Вроде пробегала такая тема. Поищите.
-
AlexBob
- Сообщения: 3
- Зарегистрирован: 19 мар 2019, 17:40
1. По мне так ничего удивительного в такой необходимости нету.
Для всех локалок нужен DNS от провайдера - более быстрый.
Но для одной локалки надо фильтровать сайты, поэтому другой DNS.
Однако для всех должен быть доступ к внутренним ресурсам по имени, отсюда исключения Static.
2. Тогда мы имеем для всех других подсеток DNS не от провайдера.
3. Если что-то ещё делать кроме настройки, так можно и второй Микротик прикрутить для упомянутой подсетки, и вопрос решён :))
4. Согласен. Начал смотреть в сторону Mangle, но...
Но использовал NAT. Может кому пригодится:
add action=src-nat chain=srcnat content="\"page.domen.ru\"" protocol=tcp \
src-address=192.168.10.0/24 to-addresses=192.168.1.5 to-ports=80
Спасибо, Влад, за варианты и за оперативность! :)
Для всех локалок нужен DNS от провайдера - более быстрый.
Но для одной локалки надо фильтровать сайты, поэтому другой DNS.
Однако для всех должен быть доступ к внутренним ресурсам по имени, отсюда исключения Static.
2. Тогда мы имеем для всех других подсеток DNS не от провайдера.
3. Если что-то ещё делать кроме настройки, так можно и второй Микротик прикрутить для упомянутой подсетки, и вопрос решён :))
4. Согласен. Начал смотреть в сторону Mangle, но...
Но использовал NAT. Может кому пригодится:
add action=src-nat chain=srcnat content="\"page.domen.ru\"" protocol=tcp \
src-address=192.168.10.0/24 to-addresses=192.168.1.5 to-ports=80
Спасибо, Влад, за варианты и за оперативность! :)
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
НЕ за что. Я рад что получилось!
а) решение слегка спорное, но микротик - это "кирпичики", каждый делает по-свойму
б) если нужен больше функционал от какова-то сервиса, обычно этот сервис делают уже
более профессионально, так и тут, с ДНСами, у микротика скромный обыденный кеширующий
ДНС-сервер, хотим сложного, умного и гибкого ДНСа, - отдельный сервер и вперёд.
Коли есть отдельный сегмент, а если это организация = то и мыслить, делать и творить
надо уже масштабно. Домашние запросы дома, сложные - на работе,
с определённым (естественно) набором инструментов для их решения.
P.S. [mini-OFFtopic]
Прошу прощение за моральность, просто в жизни, в рабочей действительности
меня часто заставляют выполнять задачу так, как это делать порой (в рамках организации)
не надо и не красиво, и не профессионально порой, но увы.....жизнь.
а) решение слегка спорное, но микротик - это "кирпичики", каждый делает по-свойму
б) если нужен больше функционал от какова-то сервиса, обычно этот сервис делают уже
более профессионально, так и тут, с ДНСами, у микротика скромный обыденный кеширующий
ДНС-сервер, хотим сложного, умного и гибкого ДНСа, - отдельный сервер и вперёд.
Коли есть отдельный сегмент, а если это организация = то и мыслить, делать и творить
надо уже масштабно. Домашние запросы дома, сложные - на работе,
с определённым (естественно) набором инструментов для их решения.
P.S. [mini-OFFtopic]
Прошу прощение за моральность, просто в жизни, в рабочей действительности
меня часто заставляют выполнять задачу так, как это делать порой (в рамках организации)
не надо и не красиво, и не профессионально порой, но увы.....жизнь.
-
Erik_U
- Сообщения: 1768
- Зарегистрирован: 09 июл 2014, 12:33
"Понадобилось для одной локалки задать свой внешний DNS"
он "свой", и вы им (ДНС) управляете (например хостите снаружи свой ДНС сервер, или разместили на платных ДНС серверах свою зону)?
Или "свой" - это уникальный для этой подсетки, а ДНС чужой?
он "свой", и вы им (ДНС) управляете (например хостите снаружи свой ДНС сервер, или разместили на платных ДНС серверах свою зону)?
Или "свой" - это уникальный для этой подсетки, а ДНС чужой?
-
Erik_U
- Сообщения: 1768
- Зарегистрирован: 09 июл 2014, 12:33
Не забывайте, что у микротика нет полнофункционального ДНС сервера.
Он сам считает это всего лишь ДНС-кешем. С возможностью добавления туда статических записей, и указания микротика в качестве сервера в настройках.
https://wiki.mikrotik.com/wiki/Manual:IP/DNS
Поэтому, если у вас есть серьезные задачи для управления ДНС организации - ставьте полнофункциональный ДНС сервер. На нем делайте внешние зоны, внутренние зоны в необходимом количестве, и ведите в них какие нужно списки.
Если хотите остаться на уровне ДНС-кеша от микротик - для вашей задачи их нужно два.
Для второй подсети поставьте виртуальный микротик, можно даже бесплатный без лицензии, если днс-траффик укладывается в 1 мбит/с. И настройте там нужные внешние днс и свою статическую таблицу.
Он сам считает это всего лишь ДНС-кешем. С возможностью добавления туда статических записей, и указания микротика в качестве сервера в настройках.
https://wiki.mikrotik.com/wiki/Manual:IP/DNS
У него нет многих типов записей. Он вообще, по моему, только тип а поддерживает. У него даже нет поля для имени домена, т.е. он не может быть ns для домена, даже внутреннего.Manual:IP/DNS
DNS cache is used to minimize DNS requests to an external DNS server as well as to minimize DNS resolution time. This is a simple DNS cache with local items.
Поэтому, если у вас есть серьезные задачи для управления ДНС организации - ставьте полнофункциональный ДНС сервер. На нем делайте внешние зоны, внутренние зоны в необходимом количестве, и ведите в них какие нужно списки.
Если хотите остаться на уровне ДНС-кеша от микротик - для вашей задачи их нужно два.
Для второй подсети поставьте виртуальный микротик, можно даже бесплатный без лицензии, если днс-траффик укладывается в 1 мбит/с. И настройте там нужные внешние днс и свою статическую таблицу.
-
AlexBob
- Сообщения: 3
- Зарегистрирован: 19 мар 2019, 17:40
Erik_U, да, вы правы, не свой DNS, а именно другой чужой внешний.
Ваш ответ очень убедительный и тема, что называется, раскрыта. Спасибо!
Мой способ описанный выше, нормально не работает, что скорее и не удивительно :)
Другое решение: использовать выражения Layer 7 protocol для фильтрации. Но опять же из-за этого встаёт вопрос дополнительной нагрузки на рутер.
С другой стороны, если в самом Микротике DNS исключения (IP DNS Static) так же реализованы с помощью Layet7, то ничего зазорного не будет в использовании этого способа для подсетки с другим внешним чужим DNS.
Ваш ответ очень убедительный и тема, что называется, раскрыта. Спасибо!
Мой способ описанный выше, нормально не работает, что скорее и не удивительно :)
Другое решение: использовать выражения Layer 7 protocol для фильтрации. Но опять же из-за этого встаёт вопрос дополнительной нагрузки на рутер.
С другой стороны, если в самом Микротике DNS исключения (IP DNS Static) так же реализованы с помощью Layet7, то ничего зазорного не будет в использовании этого способа для подсетки с другим внешним чужим DNS.