Russian Users MikroTik | Форум пользователей MikroTik

Добрый день!
Столкнулся проблемой,имеется 2 офиса соединенных ipsec ikev2 тунелем.В центральном офисе циска,в удаленном подразделении микротик rb962.Соединение установлено,пинги проходят в 2 стороны.Но при попытке ввода пк в домен,получаю сообщение,домен не найден или отбивка по таймауту(Не удалось присоединить компьютер "DESKTOP-3P0K4V3" из его текущей рабочей группы "WORKGROUP" к домену "
office.ru", сообщение об ошибке: Указанный домен не существует или к нему невозможно подключиться)
Что делалось:
1)Прописывал dns сервер центрального офиса
2)Перенаправлял запросы dns от имени домена на ip домен контроллера через l7 метки
3)Проверялась доступность 53 порта для контроллера домена(доступность есть)
4)Создавались статические записи в dns в удаленном подразделении,kerberos.ldap.dc и прочее.

Насколько понял,при соединении ipsec не создается интерфейс и нельзя перенаправить через него траффик(возможно ошибаюсь).

Powershell

***

Add-Computer -DomainName office.ecr.ru Командлет Add-Computer в конвейере команд в позиции 1 Укажите значения для следующих параметров:
Credential
Add-Computer : Не удалось присоединить компьютер "DESKTOP-3P0K4V3" из его текущей рабочей группы "WORKGROUP" к домену "
office.ecr.ru", сообщение об ошибке: Указанный домен не существует или к нему невозможно подключиться.
строка:1 знак:1
+ Add-Computer -DomainName office.ecr.ru
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (DESKTOP-3P0K4V3:String) [Add-Computer], InvalidOperationException
+ FullyQualifiedErrorId : FailToJoinDomainFromWorkgroup,Microsoft.PowerShell.Commands.AddComputerCommand

PS C:\Windows\system32> Test-NetConnection 10.10.0.8 -Port 53


ComputerName : 10.10.0.8
RemoteAddress : 10.10.0.8
RemotePort : 53
InterfaceAlias : Ethernet
SourceAddress : 192.168.88.12
TcpTestSucceeded : True



PS C:\Windows\system32> nltest /dnsgetdc:office.ru
ОШИБКА. Сбой DNS-сервера: Status = 1460 0x5b4 ERROR_TIMEOUT
PS C:\Windows\system32> Test-NetConnection 10.10.0.8


ComputerName : 10.10.0.8
RemoteAddress : 10.10.0.8
InterfaceAlias : Ethernet
SourceAddress : 192.168.88.12
PingSucceeded : True
PingReplyDetails (RTT) : 5 ms

***

Подскажите,как можно связать удаленный офис с центральным,чтобы оба офиса работали с ad и могли применяться политики gpo?

при ipsec шлюз не создается - траффик отправляется правилами
что необходимо проверить
1) что трафик в сторону циски исключен из nat, примерно таим правилом которое должно стоять перед правилом общего ната или маскардинга: 2) обязательно проверить что правила на обеих концах тоннеля строго зеркальны , cisco будет всегда рвать тоннель всегда если правила разняться.
3) есть два варианта перенаправления dns:
первый, через i7 как вы написали , главное не забывать, что это работает если сам микротик является dns сервером для клиента, но тем неимение напомню: второй способ форвода dns через настройку статического dns на микротике с помощью regexp выражений, главное не забывать, что это работает если сам микротик является dns сервером для клиента, для этого делятся две записи : Второй способ выглядит более простым, но я предпочитаю первый способ

p.s. да , была замечена еще одна проблема с i7, если данные правила были созданы в 6 версии , а потом микрот обновили на 7, они почем-то переставали работать, приходилось их удалять и добавлять заново

aleksandr.rusin писал(а): ↑25 окт 2024, 21:31 при ipsec шлюз не создается - траффик отправляется правилами
что необходимо проверить
1) что трафик в сторону циски исключен из nat, примерно таим правилом которое должно стоять перед правилом общего ната или маскардинга:

Код: Выделить всё

 0    ;;; no NAT
      chain=srcnat action=accept src-address=[локальная подсеть]
      dst-address=[удаленная подсеть] log=no log-prefix=""

2) обязательно проверить что правила на обеих концах тоннеля строго зеркальны , cisco будет всегда рвать тоннель всегда если правила разняться.
3) есть два варианта перенаправления dns:
первый, через i7 как вы написали , главное не забывать, что это работает если сам микротик является dns сервером для клиента, но тем неимение напомню:

Код: Выделить всё

/ip firewall layer7-protocol add name=domain.local regexp=domain.local
/ip firewall mangle add chain=prerouting dst-address=[локальны ip микротика] layer7-protocol=domain.local action=mark-connection new-connection-mark=domain.local-fwd protocol=tcp dst-port=53
/ip firewall mangle add chain=prerouting dst-address=[локальны ip микротика] layer7-protocol=domain.local action=mark-connection new-connection-mark=domain.local-fwd protocol=udp dst-port=53
/ip firewall nat add action=dst-nat chain=dstnat connection-mark=domain.local-fwd to-addresses=[ip домен контроллера]
/ip firewall nat add action=masquerade chain=srcnat connection-mark=domain.local-fwd

второй способ форвода dns через настройку статического dns на микротике с помощью regexp выражений, главное не забывать, что это работает если сам микротик является dns сервером для клиента, для этого делятся две записи :

Код: Выделить всё

21 laba.local                                     A     192.168.222.253  1d 
20                            ^.+(laba.local).*$  FWD                    1d 

Второй способ выглядит более простым, но я предпочитаю первый способ

p.s. да , была замечена еще одна проблема с i7, если данные правила были созданы в 6 версии , а потом микрот обновили на 7, они почем-то переставали работать, приходилось их удалять и добавлять заново

Спасибо за ответ!
В моем случае, dns сервер на сервере в ad.(в подсети 10.10.0.0\24)
1)Правила траффика "что трафик в сторону циски исключен из nat" прописано,
2)Правила на обеих концах тоннеля строго зеркальны,соединение стабильно
3)Насколько я понимаю, нужно каким-то образом перенаправить netbios запросы в туннель,при добавлении в домен, посылаются netbios широковещательные запросы,но пока не знаю как это сделать.Выше приведенные методы не сработали.

karacel писал(а): ↑29 окт 2024, 12:04
3)Насколько я понимаю, нужно каким-то образом перенаправить netbios запросы в туннель,при добавлении в домен, посылаются netbios широковещательные запросы,но пока не знаю как это сделать.Выше приведенные методы не сработали.

Никаких широковещательных запросов не передается при добавление в домен
Забудет про широковещательные запросы в принципе. если есть правильно настроенный dns .
что возвращает за микротом nslookup office.ru?

aleksandr.rusin писал(а): ↑31 окт 2024, 05:27

karacel писал(а): ↑29 окт 2024, 12:04
3)Насколько я понимаю, нужно каким-то образом перенаправить netbios запросы в туннель,при добавлении в домен, посылаются netbios широковещательные запросы,но пока не знаю как это сделать.Выше приведенные методы не сработали.

Никаких широковещательных запросов не передается при добавление в домен
Забудет про широковещательные запросы в принципе. если есть правильно настроенный dns .
что возвращает за микротом nslookup office.ru?

DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

При добавлении в домен
Произошла ошибка: "Ошибка DNS-сервера."
(код ошибки: 0x0000232A RCODE_SERVER_FAILURE)

Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.office.ru



Пытался добавлять записи dns для поиска домена

/ip dns cache print
Flags: S - STATIC
Columns: NAME, TYPE
# NAME TYPE
0 S _ldap._tcp.pdc._msdcs.office.ru SRV
1 S _ldap._tcp.gc._msdcs.office.ru SRV
2 S _kerberos._tcp.dc._msdcs.office.ru SRV
3 S _ldap._tcp.dc._msdcs.office.ru SRV
4 S office.ru A
5 S gc._msdcs.office.ru A
6 S 544077de-a6d1-4145-9a66-3a0486b37c90._msdcs.office.ru CNAME
7 S router.lan A
8 S shell A
9 S domains._msdcs.office.ru SRV
10 S _ldap._tcp.office.ru SRV
11 S _ldap._tcp.dc._msdcs.office.ru SRV
12 S _ldap._tcp.default-first-site-name._sites.gc._msdcs.office.ru SRV
13 S _ldap._tcp.default-first-site-name._sites.dc._msdcs.office.ru SRV
14 S _ldap._tcp.controller._msdcs.office.ru SRV
15 S _ldap._tcp.Default-First-Site-Name._sites.office.ru SRV
16 S _ldap._tcp.gc._msdcs.office.ru SRV
17 S _kerberos._tcp.office.ru SRV
18 S _kerberos._tcp.Default-First-Site-Name._sites.office.ru SRV
19 S _kerberos._tcp.default-first-site-name._sites.dc._msdcs.office.ru SRV
20 S _kerberos._tcp.dc._msdcs.office.ru SRV
21 S _kerberos._udp.office.ru SRV
22 S _kpasswd._tcp.office.ru SRV
23 S _kpasswd._udp.office.ru SRV
24 S _tcp.default-first-site-name._sites.dc._msdcs.office.ru SRV
25 S _tcp.Default-First-Site-Name._sites.office.ru SRV
26 S _tcp.default-first-site-name._sites.gc._msdcs.office.ru SRV
27 S _tcp.gc._msdcs.office.ru SRV
28 S default-first-site-name._sites.gc._msdcs.office.ru SRV
29 S gc._msdcs.office.ru SRV
30 S _gc._tcp.office.ru SRV
31 S _gc._tcp.Default-First-Site-Name._sites.office.ru SRV
32 S _sites.gc._msdcs.office.ru SRV
33 S _vlmcs._tcp.office.ru SRV

Если указать адрес dns AD ,то так же таймаут.

aleksandr.rusin писал(а): ↑31 окт 2024, 05:27

karacel писал(а): ↑29 окт 2024, 12:04
3)Насколько я понимаю, нужно каким-то образом перенаправить netbios запросы в туннель,при добавлении в домен, посылаются netbios широковещательные запросы,но пока не знаю как это сделать.Выше приведенные методы не сработали.

Никаких широковещательных запросов не передается при добавление в домен
Забудет про широковещательные запросы в принципе. если есть правильно настроенный dns .
что возвращает за микротом nslookup office.ru?

UP

Создал тестовый стенд в eve ng,между 2 микротиками,там все работает,теперь буду искать причину, почему на оборудовании не срабатывает.Огромное спасибо!