Редирект DNS-записи внутрь SSTP

Обсуждение ПО и его настройки
Ответить
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Всем привет, друзья, подскажите как реализовать такую вещь.
Имеем:
'Микротик-P": SSTP-сервер с подсеткой (172.16.30.0/24) и рабочей подсеткой 192.168.15.0/24 и в ней "сервером-S" 192.168.15.88
"Микротик-C": SSTP-клиент с рабочей подсеткой 192.168.0.0/24 и при подключении имеет доступ к "серверу-S", проходят пинги, настроен роутинг. А также создана DNS-запись (статическая) в виде "srv-s.local 192.168.15.88" - это чтобы ходить можно было по имени без правки файла хоста на машинах. В параметрах DHCP указан Domain=local - без него DNS-запись не работает. Если убрать суффикс, а также убрать его из записи - не работает.

А вот теперь задача. Данная модель работает, но ее нужно усложнить.
"Микротик-C" также имеет свой SSTP-сервер с подсеткой (172.16.40.0/24) - для коннекта удаленных станций клиентом на винде. Правила настроены, маршруты...
И удаленный клиент (со своей любой рабочей подсеткой) цепляется на "Микротик-С" и имеет доступ к "серверу-S" - НО только по адресу 192.168.15.88, статическая DNS-запись не работает.
Пробовал по всякому - но в параметрах профиля SSTP на микроте в помине нет параметра Domain, т.е. при получении настроек на клиент нигде указать Domain нельзя и он не прилетает - а значит не работает (не пингуется тоже) DNS-запись. Если добавить еще одну запись на микрот, только без суффикса (типа "srv-s"), то при выполнении команды на винде "nslookup srv-s" - получаем ответ что запись есть, и она видна в DNS-сервере (в данном случае 172.16.40.1) но домен анкнаун и все.....
Вот куда копать? в редирект или проброс запросов DNS - потыкал - ничего не выходит(
Подскажите есть решение в данном вопросе.
P.S. Доменов на винде нет, WINS - тоже нет, сети обычные, просто туннели. Сорри за сложный лексикон, старался написать понятнее. Команды из микротик смысла не вижу выкладывать, потому что все работает, но без доменного имени. Фаервол не мешает (при тесте отключали).


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Вот тот компьютер, который самый последний за всеми тунелями у него DNS сервер какой прописан.
Я бы на каждом микротике сделал статическую DNS запись. А у компов в сети каждого микротика только один DNS сервер сам микротик.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Самый последний комп - это на юсб-модеме компьютер (не хайлинк), который просто поднимает в программе соединение, и у него есть инет, и прописать статикой днс даже нельзя, а при подключении к туннелю - берутся настройки с микротика, и далее ситуация выше описанная, что днс запись просматривается, но не пингуется, т.к. SSTP-сервер не раздает домен.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Skylear писал(а): 12 янв 2020, 12:26 Самый последний комп - это на юсб-модеме компьютер (не хайлинк), который просто поднимает в программе соединение, и у него есть инет, и прописать статикой днс даже нельзя, а при подключении к туннелю - берутся настройки с микротика, и далее ситуация выше описанная, что днс запись просматривается, но не пингуется, т.к. SSTP-сервер не раздает домен.
Посоветую скорее общие моменты:

1) в профиле сервера SSTP можно задавать ряд моментов, там есть поле DNS сервер,
так укажите любой сервер (айпи микротика), который будет при поднятом SSTP сессии
и доступен и отдавать значение нужные.

2) второй вариант, вытекает из первого, сделать/указать какой-то альтернативный
DNS сервер, и его прописать также в профиле настроек.

3) обычно по логике, кто зону/сеть "держит", тот и должен по ней данный и отдавать,
кто держит зону (подсеть) нужную (которую SSTP клиенты получают)?
В том микротике и пропишите все стат-записи и пусть клиенты, при подключении, получив
в качестве DNS-сервера - адрес SSTP-сервера, будут сами у него запросы делать.

(скриншот для пояснения того, о чём я в первом пункте сказал)
Изображение


P.S.
Дал советы в рамках того как понял Вас, возможно не до конца. :du_ma_et:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Вы все пишите верно, я днс в этом поле указал, проблема в том, что статическая запись не работает без домена. и еще проблема в том, что сеть на микротике обычная 192.168.0.0/24 - и это создает конфликт с текущим шлюзом и днсом на клиентах (у многих), так как, именно такая сеть много у кого, а если указать в настройках sstp другой сервер (не 192.168.0.1) т.е. шлюз впна 172.16.40.1 - то ловим ошибку написанную выше, где nslookup видит запись а не работает(((
вот может есть решения с редиректом запросов днс.... хотя у меня не получилось это сделать: запросы на определенный хост (srv-s) при подключенной сети впна, где днс - 172.16.40.1 - редиректился на днс микротика 192.168.0.1, где собственно есть эта запись - и как мне кажется все должно работать, и в этом случае не будет помехой одинаковые подсети удаленного клинента и микротика-C.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

(немного философии и теории)
Skylear писал(а): 12 янв 2020, 21:49 Вы все пишите верно, я днс в этом поле указал, проблема в том, что статическая запись не работает без домена.
1) роутер работает в IP и с сетями, с МАКами/VLAN'ами и т.д. Поэтому с доменами роутер не работает
1.1) сама служба ВПН да, может отдавать значения DNS'ов.
1.2) не надо работать с коротким именем (с именем хоста, типа srv, работайте уже с полноценным доменным именем,
типа как srv.works.ru) и естественно настраивайте DNS'ы, прямые и реверсные зоны, эти DNS'ы делайте так,
чтобы они были доступны с разных сетей.
Skylear писал(а): 12 янв 2020, 21:49 и еще проблема в том, что сеть на микротике обычная 192.168.0.0/24 - и это создает конфликт с текущим шлюзом и днсом на клиентах (у многих), так как, именно такая сеть много у кого, а если указать в настройках sstp другой сервер (не 192.168.0.1) т.е. шлюз впна 172.16.40.1 - то ловим ошибку написанную выше, где nslookup видит запись а не работает(((
Ну надо сети другие выбирать, во вторых в рамках ВПН'а, фактически нет сети, есть сеть /32, то есть сеть в виде одного адреса.
Да и сеть можно на ВПНе всё же быстрее/проще сменить.

Ну и во вторых, в пукте 1.2) я Вам указал как правильно сделать, я лишь не сказал, что на работе у меня есть
сервер локальный DNS который так и настроен, и работает и внутри сети при запросе нужных ресурсов,
типа baza1.works.ru - будет отдаваться серый адрес (тот же 192.168.2.100), а если данный сервис имеет
или требуется чтобы он был снаружи, то зайдя по адресу baza1.works.ru - мой DNS отдаст внешний адрес.
И нет проблем.
Skylear писал(а): 12 янв 2020, 21:49 вот может есть решения с редиректом запросов днс.... хотя у меня не получилось это сделать: запросы на определенный хост (srv-s) при подключенной сети впна, где днс - 172.16.40.1 - редиректился на днс микротика 192.168.0.1, где собственно есть эта запись - и как мне кажется все должно работать, и в этом случае не будет помехой одинаковые подсети удаленного клинента и микротика-C.
Мне кажется Вы путаете имя виндовое (в рамках вин-сети, типа как SRV) и доменное имя, типа srv.works.ru - так вот,
короткие имена винда обслуживает, и только в рамках сети (одного бродкаста, одного домена коллизии, данные имена
короткие не маршрутизируются и не передаются). А полное доменное имя обслуживать может любой настроенный DNS сервер.

Поэтому делайте/используйте доменное полное имя, настраивайте сервер DNS который будет знать эту запись
(как по IP, так и по имени), делайте так чтобы этот DNS сервер был доступен и по ВПН каналу, и всё.
Будет правильно, логично и в целом удобно.

P.S.
использованные для примеров домен works.ru - не мой, пришёл в голову и использовал для наглядности лишь.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Вопрос решился пробросом L2.
MPLS


Ответить