DNS за mikrotik

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
newuser
Сообщения: 0
Зарегистрирован: 06 янв 2017, 09:24
Откуда: Саратов

Вечер добрый, подскажите как правильно сделать.
Есть подсеть 172.16.0.0/24, пример на картинке, имеется DNS сервер 172.16.0.9. В этой подсети есть 1С сервер. Понятно, к нему из одной подсети с ним обращаются клиенты.
Поставил mikrotik и разместил за ним ещё одну подсеть 172.18.0.0/24
Что бы заработал интернет включил на mikrotik NAT.
Я понимаю, что для подсети *18.0.0 mikrotik 172.18.0.1 является DNS сервером.
Соответственно клиенты с подсети *18.0.0 видят 1С сервер только по IP.
Понимаю что нужен DNS 172.16.0.9
Понимаю что правилами Firewall NAT это можно описать.
Как именно, не понимаю.
На форуме находил примеры, но не работают в моих руках.
С mikrotikом познакомился пару месяцев назад. Пытаюсь постичь азы.
Спасибо.

https://drive.google.com/open?id=0B37MbmccvzvaU3REWE1XN0pnQzg


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Самый простой способ:
настроить на микротике свой DNS сервер. Отдать его клиентам всей подсети 172.18.0.0/24 через DHCP микротика или назначить клиентам вручную.
В качестве IP DNS сервера на микротике указать 172.16.0.9.

Надеюсь понятно, что подсети должны видеть друг друга, но судя по тому, что вы написали подсети видят друг друга.


newuser
Сообщения: 0
Зарегистрирован: 06 янв 2017, 09:24
Откуда: Саратов

Спасибо, завтра опробую.
На предыдущей странице в теме "обращение к определенным dns серверам" вы приводили пример с dstnat.
Я попробовал , не пошло. Это не тот случай ?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Способов много.

Поймите правильно, давая советы на форуме, я (и не только я) могу лишь только предполагать о том, как у вас все это на самом деле работает и каким образом настроено. Информация из постов выуживается по крупицам. Основываясь на своем опыте, умозаключениях (не всегда правильных), оценивая опыт спрашивающего, я, пытаясь помочь, даю совет, который, по идее, должен привести к желаемому результату.
Были неоднократно случаи, когда люди на форуме показывали конфиги микротика, по их мнению проблемного, а потом выяснялось, что в сети есть еще микротик и пара коммутаторов и только Господь Бог знает, как это друг в друга включено и настроено.


Ваша ключевая фраза: "Соответственно клиенты с подсети *18.0.0 видят 1С сервер только по IP". Из чего я сделал заключение, что подсети роутятся и нормально видят друг друга. А значит DNS сервер из вышестоящей подсети видится вашим микротиком и логично было бы его использовать как основной.

Совет, который я давал в другой теме тоже работает, но его, скорее всего под вас нужно адаптировать.


newuser
Сообщения: 0
Зарегистрирован: 06 янв 2017, 09:24
Откуда: Саратов

немного отошёл от изначального примера.
Взял wifi точку, она в одной подсети с сервером DNS - 172.16.0.9 и с сервером 1С - 172.16.0.8 (к которому по имени обратиться нужно) eth1 - 172.16.0.6/22
на wlan1 - 172.18.0.1/27, тут же DHCP и DNS
в ip-dns указал mikrotik адрес 172.16.0.9
По ip видит, по DNS нет.
Конфиг прилагаю.
Подскажите, где неправ.
Спасибо.

Код: Выделить всё

[admin@MikroTik] > export         
# jan/02/1970 00:51:24 by RouterOS 6.38
# software id =
#
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-
    allowed mode=dynamic-keys name=test supplicant-identity="" \
    wpa-pre-shared-key=123456789 wpa2-pre-shared-key=123456789
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=7 band=2ghz-onlyn count
    disabled=no frequency=auto mode=ap-bridge security-profile=test
    MikBlack wireless-protocol=802.11 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool0 ranges=172.18.0.2-172.18.0.30
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=wlan1 name=dhcp1
/ip address
add address=172.16.0.6/22 interface=ether1 network=172.16.0.0
add address=172.18.0.1/27 interface=wlan1 network=172.18.0.0
/ip dhcp-server network
add address=172.18.0.0/27 dns-server=172.18.0.1 gateway=172.18.0.1
/ip dns
set allow-remote-requests=yes servers=172.16.0.9
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
[admin@MikroTik] > ping 172.16.0.8
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0 172.16.0.8                                 56 128 0ms 
    1 172.16.0.8                                 56 128 0ms 
    2 172.16.0.8                                 56 128 0ms 
    sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt

[admin@MikroTik] > ping server8   
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    interrupted


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Зачем на точке доступа маскарад?
Отключите его, на 172.16.0.9 добавьте маршрут в подсеть 172.18.0.1/27, должно получиться. В случае проблем проверяйте nslookup'ом.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вы уверены, что DNS сервер 172.16.0.9 работает и работает правильно???

Такое впечатление, что имена в подсети 172.16.0.0 резольвятся через NetBios, а вовсе не через DNS.
У вас доменная структура или без домена сеть работает???

создайте в микротике-точке статическую запись DNS для вашего сервера. И попробуйте.
Причем проверять нужно и с микротика и компов. Это немного разные вещи.

Помните, что в Windows (бездоменная схема) имена без расширения вообще резольвятся минуя DNS, ОС никогда не обращается к DNS для их разрешения и всегда использует NetBios.

Надо почитать здесь viewtopic.php?f=15&t=5972&start=30#p37908


newuser
Сообщения: 0
Зарегистрирован: 06 янв 2017, 09:24
Откуда: Саратов

C информацией по ссылке знакомился на прошлой неделе. Спасибо, всё понятно описано.
Начинаю подозревать что вы знаете больше о локальной сети, с которой работаю, нежели я.

Сеть одноранговая. В качестве DHCP выступает сервер на мандрейк-линукс. Он так же раздаётся как DNS сервер.
Заглянув в конфиг обнаружил записи только о DNS провайдера. Полагаю что по netbios видят друг друга компьютеры.

Прописав на mikrotikе статические записи получил возможность пинговать по имени, но только с самого mikrotikа. С ноутбука, подключенного к нему по wifi, всё глухо. С телефона, по тому же wifi, пингуюся указанные в статике имена.

Указал на 172.16.0.9 имена, пинги с ноутбука пошли. С mikrotika и с подключенного к нему телефона не идут.
Хитро.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

newuser писал(а):Прописав на mikrotikе статические записи получил возможность пинговать по имени, но только с самого mikrotikа. С ноутбука, подключенного к нему по wifi, всё глухо. С телефона, по тому же wifi, пингуюся указанные в статике имена.

Указал на 172.16.0.9 имена, пинги с ноутбука пошли. С mikrotika и с подключенного к нему телефона не идут.
Хитро.


Прочел, но похоже ничего не понял.
что значит "Указал на 172.16.0.9 имена" ? где указал, как указал и что указал?
"пинги с ноутбука пошли" с какого адреса и какой пинговали?


Давайте по порядку. Поправьте если я ошибаюсь:
1. у вас есть сервер dns 172.16.0.9/22 и сервер 1С 172.16.0.8/22
2. есть микротик. ether1 172.16.0.6/22 и wlan 172.18.0.0/27.
3. на микротик настроен dns сервер с указанием внешнего сервера 172.16.0.9
4. на wlan поднят dhcp сервер 172.18.0.2-172.18.0.30/27, dns & шлюз 172.18.0.1

вы хотите чтобы с клиентов в сети 172.18.0.0/27 резолвились адреса с dns 172.16.0.9 ?
ну так и укажите в настройках dhcp на микротике dns сервер 172.16.0.9!

Если у вас не работает:
1. с любой машине в сети 172.16.0.0/22 проверьте пингом имя. если не ресолвистя проверяйте настройки сети, dns и сам dns 172.16.0.9
2. проверьте с любой машины в сети 172.18.0.0/27 что пингуется 172.16.0.9 (в настройках микротика я не увидел у вас разрешающего правила на forward)
3. как заработало, проверяете пингом имя.

Зы: маски для сетей у вас неординарные. Проверьте везде что указаны правильно
Зыы: если в сети 172.18.0.0/27 у вас доверенные компьютеры, то через микротик лучше использовать маршрутизацию а не нат.
Зыыы: надеюсь вы понимаете что server8 и server8.mydomain.com это совершенно разные имена ?


Александр
newuser
Сообщения: 0
Зарегистрирован: 06 янв 2017, 09:24
Откуда: Саратов

Всё поняли правильно.
на 172.16.0.9 в /etc/hosts прописал соответствие hostname-ip
пинговал с ноутбука с адресом 172.18.0.30 адрес server8 - 172.16.0.8

сам DNS 172.16.0.9 не знает о существовании 172.18.0.0/27
на нём в таблицу маршрутизации нужно добавить запись, я правильно понимаю ?


Ответить