Проброс на DNS сервер за NAT

[Stazot]

Добрый день. Ситуация такая. Пограничное устройство Mikrotik, за ним имеется DNS сервер который должен отвечать на запросы извне. Создаю правило проброса, но запросы не доходят до сервера. правило

Код: Выделить всё

chain=dstnat action=netmap to-addresses=YYY.YYY.YYY.YYY to-ports=53 protocol=udp dst-address=XXX.XXX.XXX.XXX in-interface=eth0 dst-port=53 log=no log-prefix="DNS_REQ"

Прошу помощи, может чего подскажете.

[xvo]

Просто на всякий случай - адрес то белый?
И проверьте, что в firewall'е есть разрешающее правило либо на конкретно то же самое, либо общее на вообще все, что прошло dstnat.

И да, netmap тут ни к чему, action=dst-nat должно быть.

[Stazot]

Да белёхенький

По поводу второго не совсем понял. если вы про сервер имён то на нем трафик из локальной сети разрешён

На счет dst-nat и netmap, вроде функционал тот же, но у netmap алгоритмы получше. Проверю dst-nat спасибо

[Stazot]

Сделал через dst-nat тоже не помогло. если на самом шлюзе выставить сервер то всё нормально. и запросы приходят на сервер и ответы он отправляет. а вот проброс ни как.
Не Хочу рекурсивный сервер наружу выводить

[-13-]

А mikrotik на 53 порт снаружи отвечает?
добавить в firewall что то похожее

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="WAN-Input DNS allow (udp)" dst-port=53 protocol=udp
add action=accept chain=input comment="WAN-Input DNS allow (tcp)" dst-port=53 protocol=tcp

[xvo]

По поводу второго не совсем понял. если вы про сервер имён то на нем трафик из локальной сети разрешён

Нет, я про firewall на самом микротике: мало просто добавить правило которое будет делать NAT, надо ещё разрешать этот трафик в firewall -> filter (ну или не запрещать).

На счет dst-nat и netmap, вроде функционал тот же, но у netmap алгоритмы получше.

Получше чем?
Они для разного сделаны, и для того, что вы делаете - dst-nat.