Вечер добрый, подскажите как правильно сделать.
Есть подсеть 172.16.0.0/24, пример на картинке, имеется DNS сервер 172.16.0.9. В этой подсети есть 1С сервер. Понятно, к нему из одной подсети с ним обращаются клиенты.
Поставил mikrotik и разместил за ним ещё одну подсеть 172.18.0.0/24
Что бы заработал интернет включил на mikrotik NAT.
Я понимаю, что для подсети *18.0.0 mikrotik 172.18.0.1 является DNS сервером.
Соответственно клиенты с подсети *18.0.0 видят 1С сервер только по IP.
Понимаю что нужен DNS 172.16.0.9
Понимаю что правилами Firewall NAT это можно описать.
Как именно, не понимаю.
На форуме находил примеры, но не работают в моих руках.
С mikrotikом познакомился пару месяцев назад. Пытаюсь постичь азы.
Спасибо.
https://drive.google.com/open?id=0B37MbmccvzvaU3REWE1XN0pnQzg
DNS за mikrotik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Самый простой способ:
настроить на микротике свой DNS сервер. Отдать его клиентам всей подсети 172.18.0.0/24 через DHCP микротика или назначить клиентам вручную.
В качестве IP DNS сервера на микротике указать 172.16.0.9.
Надеюсь понятно, что подсети должны видеть друг друга, но судя по тому, что вы написали подсети видят друг друга.
настроить на микротике свой DNS сервер. Отдать его клиентам всей подсети 172.18.0.0/24 через DHCP микротика или назначить клиентам вручную.
В качестве IP DNS сервера на микротике указать 172.16.0.9.
Надеюсь понятно, что подсети должны видеть друг друга, но судя по тому, что вы написали подсети видят друг друга.
-
- Сообщения: 0
- Зарегистрирован: 06 янв 2017, 09:24
- Откуда: Саратов
Спасибо, завтра опробую.
На предыдущей странице в теме "обращение к определенным dns серверам" вы приводили пример с dstnat.
Я попробовал , не пошло. Это не тот случай ?
На предыдущей странице в теме "обращение к определенным dns серверам" вы приводили пример с dstnat.
Я попробовал , не пошло. Это не тот случай ?
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Способов много.
Поймите правильно, давая советы на форуме, я (и не только я) могу лишь только предполагать о том, как у вас все это на самом деле работает и каким образом настроено. Информация из постов выуживается по крупицам. Основываясь на своем опыте, умозаключениях (не всегда правильных), оценивая опыт спрашивающего, я, пытаясь помочь, даю совет, который, по идее, должен привести к желаемому результату.
Были неоднократно случаи, когда люди на форуме показывали конфиги микротика, по их мнению проблемного, а потом выяснялось, что в сети есть еще микротик и пара коммутаторов и только Господь Бог знает, как это друг в друга включено и настроено.
Ваша ключевая фраза: "Соответственно клиенты с подсети *18.0.0 видят 1С сервер только по IP". Из чего я сделал заключение, что подсети роутятся и нормально видят друг друга. А значит DNS сервер из вышестоящей подсети видится вашим микротиком и логично было бы его использовать как основной.
Совет, который я давал в другой теме тоже работает, но его, скорее всего под вас нужно адаптировать.
Поймите правильно, давая советы на форуме, я (и не только я) могу лишь только предполагать о том, как у вас все это на самом деле работает и каким образом настроено. Информация из постов выуживается по крупицам. Основываясь на своем опыте, умозаключениях (не всегда правильных), оценивая опыт спрашивающего, я, пытаясь помочь, даю совет, который, по идее, должен привести к желаемому результату.
Были неоднократно случаи, когда люди на форуме показывали конфиги микротика, по их мнению проблемного, а потом выяснялось, что в сети есть еще микротик и пара коммутаторов и только Господь Бог знает, как это друг в друга включено и настроено.
Ваша ключевая фраза: "Соответственно клиенты с подсети *18.0.0 видят 1С сервер только по IP". Из чего я сделал заключение, что подсети роутятся и нормально видят друг друга. А значит DNS сервер из вышестоящей подсети видится вашим микротиком и логично было бы его использовать как основной.
Совет, который я давал в другой теме тоже работает, но его, скорее всего под вас нужно адаптировать.
-
- Сообщения: 0
- Зарегистрирован: 06 янв 2017, 09:24
- Откуда: Саратов
немного отошёл от изначального примера.
Взял wifi точку, она в одной подсети с сервером DNS - 172.16.0.9 и с сервером 1С - 172.16.0.8 (к которому по имени обратиться нужно) eth1 - 172.16.0.6/22
на wlan1 - 172.18.0.1/27, тут же DHCP и DNS
в ip-dns указал mikrotik адрес 172.16.0.9
По ip видит, по DNS нет.
Конфиг прилагаю.
Подскажите, где неправ.
Спасибо.
Взял wifi точку, она в одной подсети с сервером DNS - 172.16.0.9 и с сервером 1С - 172.16.0.8 (к которому по имени обратиться нужно) eth1 - 172.16.0.6/22
на wlan1 - 172.18.0.1/27, тут же DHCP и DNS
в ip-dns указал mikrotik адрес 172.16.0.9
По ip видит, по DNS нет.
Конфиг прилагаю.
Подскажите, где неправ.
Спасибо.
Код: Выделить всё
[admin@MikroTik] > export
# jan/02/1970 00:51:24 by RouterOS 6.38
# software id =
#
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-
allowed mode=dynamic-keys name=test supplicant-identity="" \
wpa-pre-shared-key=123456789 wpa2-pre-shared-key=123456789
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=7 band=2ghz-onlyn count
disabled=no frequency=auto mode=ap-bridge security-profile=test
MikBlack wireless-protocol=802.11 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool0 ranges=172.18.0.2-172.18.0.30
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=wlan1 name=dhcp1
/ip address
add address=172.16.0.6/22 interface=ether1 network=172.16.0.0
add address=172.18.0.1/27 interface=wlan1 network=172.18.0.0
/ip dhcp-server network
add address=172.18.0.0/27 dns-server=172.18.0.1 gateway=172.18.0.1
/ip dns
set allow-remote-requests=yes servers=172.16.0.9
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
[admin@MikroTik] > ping 172.16.0.8
SEQ HOST SIZE TTL TIME STATUS
0 172.16.0.8 56 128 0ms
1 172.16.0.8 56 128 0ms
2 172.16.0.8 56 128 0ms
sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt
[admin@MikroTik] > ping server8
invalid value for argument address:
invalid value of mac-address, mac address required
invalid value for argument ipv6-address
interrupted
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Зачем на точке доступа маскарад?
Отключите его, на 172.16.0.9 добавьте маршрут в подсеть 172.18.0.1/27, должно получиться. В случае проблем проверяйте nslookup'ом.
Отключите его, на 172.16.0.9 добавьте маршрут в подсеть 172.18.0.1/27, должно получиться. В случае проблем проверяйте nslookup'ом.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Вы уверены, что DNS сервер 172.16.0.9 работает и работает правильно???
Такое впечатление, что имена в подсети 172.16.0.0 резольвятся через NetBios, а вовсе не через DNS.
У вас доменная структура или без домена сеть работает???
создайте в микротике-точке статическую запись DNS для вашего сервера. И попробуйте.
Причем проверять нужно и с микротика и компов. Это немного разные вещи.
Помните, что в Windows (бездоменная схема) имена без расширения вообще резольвятся минуя DNS, ОС никогда не обращается к DNS для их разрешения и всегда использует NetBios.
Надо почитать здесь viewtopic.php?f=15&t=5972&start=30#p37908
Такое впечатление, что имена в подсети 172.16.0.0 резольвятся через NetBios, а вовсе не через DNS.
У вас доменная структура или без домена сеть работает???
создайте в микротике-точке статическую запись DNS для вашего сервера. И попробуйте.
Причем проверять нужно и с микротика и компов. Это немного разные вещи.
Помните, что в Windows (бездоменная схема) имена без расширения вообще резольвятся минуя DNS, ОС никогда не обращается к DNS для их разрешения и всегда использует NetBios.
Надо почитать здесь viewtopic.php?f=15&t=5972&start=30#p37908
-
- Сообщения: 0
- Зарегистрирован: 06 янв 2017, 09:24
- Откуда: Саратов
C информацией по ссылке знакомился на прошлой неделе. Спасибо, всё понятно описано.
Начинаю подозревать что вы знаете больше о локальной сети, с которой работаю, нежели я.
Сеть одноранговая. В качестве DHCP выступает сервер на мандрейк-линукс. Он так же раздаётся как DNS сервер.
Заглянув в конфиг обнаружил записи только о DNS провайдера. Полагаю что по netbios видят друг друга компьютеры.
Прописав на mikrotikе статические записи получил возможность пинговать по имени, но только с самого mikrotikа. С ноутбука, подключенного к нему по wifi, всё глухо. С телефона, по тому же wifi, пингуюся указанные в статике имена.
Указал на 172.16.0.9 имена, пинги с ноутбука пошли. С mikrotika и с подключенного к нему телефона не идут.
Хитро.
Начинаю подозревать что вы знаете больше о локальной сети, с которой работаю, нежели я.
Сеть одноранговая. В качестве DHCP выступает сервер на мандрейк-линукс. Он так же раздаётся как DNS сервер.
Заглянув в конфиг обнаружил записи только о DNS провайдера. Полагаю что по netbios видят друг друга компьютеры.
Прописав на mikrotikе статические записи получил возможность пинговать по имени, но только с самого mikrotikа. С ноутбука, подключенного к нему по wifi, всё глухо. С телефона, по тому же wifi, пингуюся указанные в статике имена.
Указал на 172.16.0.9 имена, пинги с ноутбука пошли. С mikrotika и с подключенного к нему телефона не идут.
Хитро.
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
newuser писал(а):Прописав на mikrotikе статические записи получил возможность пинговать по имени, но только с самого mikrotikа. С ноутбука, подключенного к нему по wifi, всё глухо. С телефона, по тому же wifi, пингуюся указанные в статике имена.
Указал на 172.16.0.9 имена, пинги с ноутбука пошли. С mikrotika и с подключенного к нему телефона не идут.
Хитро.
Прочел, но похоже ничего не понял.
что значит "Указал на 172.16.0.9 имена" ? где указал, как указал и что указал?
"пинги с ноутбука пошли" с какого адреса и какой пинговали?
Давайте по порядку. Поправьте если я ошибаюсь:
1. у вас есть сервер dns 172.16.0.9/22 и сервер 1С 172.16.0.8/22
2. есть микротик. ether1 172.16.0.6/22 и wlan 172.18.0.0/27.
3. на микротик настроен dns сервер с указанием внешнего сервера 172.16.0.9
4. на wlan поднят dhcp сервер 172.18.0.2-172.18.0.30/27, dns & шлюз 172.18.0.1
вы хотите чтобы с клиентов в сети 172.18.0.0/27 резолвились адреса с dns 172.16.0.9 ?
ну так и укажите в настройках dhcp на микротике dns сервер 172.16.0.9!
Если у вас не работает:
1. с любой машине в сети 172.16.0.0/22 проверьте пингом имя. если не ресолвистя проверяйте настройки сети, dns и сам dns 172.16.0.9
2. проверьте с любой машины в сети 172.18.0.0/27 что пингуется 172.16.0.9 (в настройках микротика я не увидел у вас разрешающего правила на forward)
3. как заработало, проверяете пингом имя.
Зы: маски для сетей у вас неординарные. Проверьте везде что указаны правильно
Зыы: если в сети 172.18.0.0/27 у вас доверенные компьютеры, то через микротик лучше использовать маршрутизацию а не нат.
Зыыы: надеюсь вы понимаете что server8 и server8.mydomain.com это совершенно разные имена ?
Александр
-
- Сообщения: 0
- Зарегистрирован: 06 янв 2017, 09:24
- Откуда: Саратов
Всё поняли правильно.
на 172.16.0.9 в /etc/hosts прописал соответствие hostname-ip
пинговал с ноутбука с адресом 172.18.0.30 адрес server8 - 172.16.0.8
сам DNS 172.16.0.9 не знает о существовании 172.18.0.0/27
на нём в таблицу маршрутизации нужно добавить запись, я правильно понимаю ?
на 172.16.0.9 в /etc/hosts прописал соответствие hostname-ip
пинговал с ноутбука с адресом 172.18.0.30 адрес server8 - 172.16.0.8
сам DNS 172.16.0.9 не знает о существовании 172.18.0.0/27
на нём в таблицу маршрутизации нужно добавить запись, я правильно понимаю ?