Нет доступа к DNS на Win2012 через GRE-туннель

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
GeneralFailure
Сообщения: 3
Зарегистрирован: 04 апр 2019, 01:00

Доброй ночи.
Есть главный Mikrotik, находящийся в головном офисе и есть Mikrotik, находящийся в филиале.

Ситуация: надо соединить сети через GRE, есть ещё пара десятков сетей, но там D-Link и их удалось нормально настроить. Сеть офиса: 192.168.1.0, маска 255.255.252.0. Сеть филиала: 192.168.110.0, маска 255.255.255.0.

Что сделано: нагуглены мануалы, сделаны туннели, на филиальном Микротике созданы маршруты.

Результат: туннель поднялся, пинги по IP гоняются в обе стороны, интернеты открываются.

Проблема: не подрубаются DNS-сервера из локальной сети головного офиса, по доменному имени ничего не пингуется. Конечно, прописывание в hosts решает проблему, но это не метод. В настройках Микрота DNS прописаны.

Конфиг:
 

Код: Выделить всё

# apr/04/2019 01:03:29 by RouterOS 6.44.1
# software id = LMKL-8AM6
#
# model = 2011UiAS-2HnD
# serial number = 569404E6F9E0
/interface bridge
add admin-mac=4C:5E:0C:D3:21:49 auto-mac=no fast-forward=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-gateway speed=100Mbps
set [ find default-name=ether2 ] comment=LAN name=ether2-master-local speed=\
    100Mbps
set [ find default-name=ether3 ] name=ether3-slave-local speed=100Mbps
set [ find default-name=ether4 ] name=ether4-slave-local speed=100Mbps
set [ find default-name=ether5 ] name=ether5-slave-local speed=100Mbps
set [ find default-name=ether6 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether6-master-local
set [ find default-name=ether7 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether7-slave-local
set [ find default-name=ether8 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether8-slave-local
set [ find default-name=ether9 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether9-slave-local
set [ find default-name=ether10 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether10-slave-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-D32152 \
    wireless-protocol=802.11
/interface gre
add !keepalive local-address=14.8.8.78 name=SPB_Office remote-address=\
    <ip-офиса>
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name=domain.local regexp=domain.local
/ip pool
add name=default-dhcp ranges=192.168.110.10-192.168.110.254
/ip dhcp-server
add address-pool=default-dhcp authoritative=after-2sec-delay disabled=no \
    interface=bridge-local name=default
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local hw=no interface=sfp1
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether3-slave-local
add bridge=bridge-local interface=ether4-slave-local
add bridge=bridge-local interface=ether5-slave-local
add bridge=bridge-local interface=ether7-slave-local
add bridge=bridge-local interface=ether8-slave-local
add bridge=bridge-local interface=ether9-slave-local
add bridge=bridge-local interface=ether10-slave-local
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=sfp1 list=discover
add interface=ether2-master-local list=discover
add interface=ether3-slave-local list=discover
add interface=ether4-slave-local list=discover
add interface=ether5-slave-local list=discover
add interface=ether6-master-local list=discover
add interface=ether7-slave-local list=discover
add interface=ether8-slave-local list=discover
add interface=ether9-slave-local list=discover
add interface=ether10-slave-local list=discover
add interface=wlan1 list=discover
add interface=bridge-local list=discover
add interface=SPB_Office list=discover
add interface=ether2-master-local list=mactel
add interface=ether3-slave-local list=mactel
add interface=ether2-master-local list=mac-winbox
add interface=ether4-slave-local list=mactel
add interface=ether3-slave-local list=mac-winbox
add interface=ether5-slave-local list=mactel
add interface=ether4-slave-local list=mac-winbox
add interface=ether6-master-local list=mactel
add interface=ether5-slave-local list=mac-winbox
add interface=ether7-slave-local list=mactel
add interface=ether6-master-local list=mac-winbox
add interface=ether8-slave-local list=mactel
add interface=ether7-slave-local list=mac-winbox
add interface=ether9-slave-local list=mactel
add interface=ether8-slave-local list=mac-winbox
add interface=ether10-slave-local list=mactel
add interface=ether9-slave-local list=mac-winbox
add interface=sfp1 list=mactel
add interface=wlan1 list=mactel
add interface=bridge-local list=mactel
add interface=ether10-slave-local list=mac-winbox
add interface=sfp1 list=mac-winbox
add interface=wlan1 list=mac-winbox
add interface=bridge-local list=mac-winbox
/ip address
add address=192.168.110.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.110.0
add address=14.8.8.78/27 interface=ether1-gateway network=14.8.8.64
add address=192.168.2.113/24 interface=SPB_Office network=192.168.2.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
    interface=ether1-gateway
/ip dhcp-server network
add address=192.168.110.0/24 comment="default configuration" dns-server=\
    192.168.1.1,192.168.110.1 gateway=192.168.110.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.15,212.34.32.36,212.34.33.1
/ip dns static
add address=192.168.110.1 name=router
/ip firewall filter
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
    established,related
add action=drop chain=input comment="default configuration" in-interface=\
    ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" \
    connection-state=established,related
add action=accept chain=forward comment="default configuration" \
    connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=\
    invalid
add action=drop chain=forward comment="default configuration" \
    connection-nat-state=!dstnat connection-state=new in-interface=\
    ether1-gateway
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=192.168.110.1 dst-port=\
    53 layer7-protocol=domain.local new-connection-mark=domain.local-fwd \
    passthrough=yes protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.110.1 dst-port=\
    53 layer7-protocol=domain.local new-connection-mark=domain.local-fwd \
    passthrough=yes protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway
add action=dst-nat chain=dstnat connection-mark=domain.local-fwd \
    to-addresses=192.168.1.15
/ip route
add distance=1 gateway=14.8.8.65
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.2.1
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=192.168.2.1
/lcd interface pages
set 0 interfaces="sfp1,ether1-gateway,ether2-master-local,ether3-slave-local,eth\
    er4-slave-local,ether5-slave-local,ether6-master-local,ether7-slave-local,et\
    her8-slave-local,ether9-slave-local,ether10-slave-local"
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
Собственно, вопрос - как подключить DNS-сервера из локальной сети? Они пингуются, но не подключаются. Порядок серверов менял.

В чём может быть дело? Гугл тряс, пробовал то, что советовали, не помогло. Грешу на firewall, но открытие трафика не помогало.

Заранее большое спасибо.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если под неработой днс серверов вы подразумевает невозможность пинговать хосты по имени, то вы ошибаетесь насчёт днс и вам наду гуглить на тему wins сервера, он решит ваши проблемы.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

/ip dhcp-server network
add address=192.168.110.0/24 comment="default configuration" dns-server=\
192.168.1.1,192.168.110.1 gateway=192.168.110.1

Здесь в качестве ДНС серверов указаны микротики?
Укажите здесь нужные сервера.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

KARaS'b писал(а): 04 апр 2019, 09:08 Если под неработой днс серверов вы подразумевает невозможность пинговать хосты по имени, то вы ошибаетесь насчёт днс и вам наду гуглить на тему wins сервера, он решит ваши проблемы.
WINS только ради WinXP включают.
Все другое у микрософта уже только с DNS работает.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

С виндой все не так просто:
viewtopic.php?p=37908#p37908


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

gmx писал(а): 04 апр 2019, 09:38 С виндой все не так просто:
viewtopic.php?p=37908#p37908
У винды чтобы все работало, нужно и dhcp и dns поднимать микрософтовские.

У ОС старше XP в настройках TCP/IP есть настройки "зарегистрировать адреса этого подключения в DNS", и "использовать DNS-суффикс при регистрации в DNS". А использование netbios через TCP отключается.
Что может управляться удаленно через AD.

Настройки WINS остались только для поддержки XP, которых в госсекторе еще тысячи трудятся.
Чтобы они видели новые версии ОС в сети, нужно эти новые ОС заставить публиковаться в винсе.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все верно, более того, в Вин10 галочка "зарегистрировать адреса этого подключения в DNS" стоит по-умолчанию.

И если dns в сети не майкросовтовский, то фиг он к нему обращается для разрешения имени без расширения. И я не уверен, что он к нему будет обращаться если не развернуто AD. Как-то ни разу не приходилось иметь в сети DNS сервер Майкрософт без AD/

А настройки Wins даже в Вин10 есть и они работают. При желании и Wins можно использовать. И для одноранговых сетей - это, наверное, самое простое решение.

Более того, посмотрите сервис vpnki (весьма продвинутый сервис для России), он поднял WINS на своих мощностях и предоставляет его пользователям своих сервисов VPN. https://vpnki.ru/settings/apps/wins-server

Это я к тому, что это наиболее простое и оптимальное решение.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Erik_U писал(а): 04 апр 2019, 09:28 WINS только ради WinXP включают.
Все другое у микрософта уже только с DNS работает.
Прям сейчас пишу с компа, домен которого поднят еще во времена 2003 сервера и конечно же он "сингл нейм". Филиалы не могут "по имени" без винс сервера, даже не смотря на то, что и с клиентской и с серверной стороны стоят последние ОС, даже в домен комп не загнать без указания wins.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

То, что у вас так сделано не означает, что нельзя по другому. И уж тем более не стоит призывать к этому окружающих.

У меня на работе ад стоит с начала века.
Но давно обходимся без винса. :uch_tiv:


GeneralFailure
Сообщения: 3
Зарегистрирован: 04 апр 2019, 01:00

Ого, сколько ответов. Отвечаю по порядку:
KARaS'b писал(а): 04 апр 2019, 09:08 Если под неработой днс серверов вы подразумевает невозможность пинговать хосты по имени, то вы ошибаетесь насчёт днс и вам наду гуглить на тему wins сервера, он решит ваши проблемы.
Нет, WINS не нужен, зачем он вообще в данном случае? Всё должно работать и без него.

Erik_U писал(а): 04 апр 2019, 09:23 /ip dhcp-server network
add address=192.168.110.0/24 comment="default configuration" dns-server=\
192.168.1.1,192.168.110.1 gateway=192.168.110.1

Здесь в качестве ДНС серверов указаны микротики?
Не помогло. В качестве DNS-серверов выступают сервера на Windows Server 2012.


Ответить