[Gunner]

Задача завернуть все днс запросы на наш днс сервер. Микротик стоит бордером у клиентов реальники. Можно ли запрос от клиентов например на гугловский днс завернуть на наш ?

[s.lobanov]

На гугловский - легко. Просто сделать статический роут для их IP на свой сервер

[vlad11]

На гугловский - легко. Просто сделать статический роут для их IP на свой сервер

 

Поднимаются гугловские IP на сервере ДНС, на локалхосте.

Заставляем named слушать эти IP.

А на микротике прописываются роуты к этим IP.

Изменено 12 октября, 2011 пользователем vlad11

[alexmern]

проще сделать одно правило dnat

[Gunner]

chain=dstnat action=dst-nat to-addresses=10.50.0.5 to-ports=53 protocol=udp dst-port=53 src-address=!10.50.0.5

сделал такое правило резолвится все перкращает

root@dhcp:/etc/bind# dig @8.8.8.8 wowmens.ru

 

; <<>> DiG 9.6.1-P2 <<>> @8.8.8.8 wowmens.ru

; (1 server found)

;; global options: +cmd

;; connection timed out; no servers could be reached

root@dhcp:/etc/bind#

Изменено 12 октября, 2011 пользователем Gunner

[Ilya Evseev]

Ищем в Гугле: "mikrotik prerouting redirect"

Тут же находим: http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling

/ip firewall nat

add chain=dstnat in-interface=Local connection-mark=dns action=redirect comment="Transparent DNS Cache"

[Gunner]

/ip firewall nat

add chain=dstnat in-interface=Local connection-mark=dns action=redirect comment="Transparent DNS Cache"

Если что правило редирект редиректит только на сам микротик, что мне не нужно. Гуглом я пользоваться тоже умею.

пытаюсь общаться на форуме микротика пока только говорят что плохо это когда днс сервер за бордером стоит и использует его в качестве шлюза

5 X chain=dstnat action=dst-nat to-addresses=10.50.0.5 to-ports=53
    protocol=udp src-address=!10.50.0.5 dst-port=53

root@dhcp:/etc/dhcp3# dig @8.8.8.8 wowmens.ru

; <<>> DiG 9.6.1-P2 <<>> @8.8.8.8 wowmens.ru
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
root@dhcp:/etc/dhcp3# ifconfig vlan5
vlan5     Link encap:Ethernet  HWaddr 00:19:66:2b:ac:e1
         inet addr:10.50.0.5  Bcast:10.50.0.255  Mask:255.255.255.0
         inet6 addr: fe80::219:66ff:fe2b:ace1/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:74238 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1854 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:6213003 (6.2 MB)  TX bytes:382987 (382.9 KB)

root@dhcp:/etc/dhcp3#

непашет такая связка

Изменено 13 октября, 2011 пользователем Gunner

[Ilya Evseev]

chain=dstnat action=dst-nat to-addresses=10.50.0.5

Если dns-сервер 10.50.0.5 находится в клиентской сети, то клиентам он отвечает напрямую

и они видят, что получают ответы не от 8.8.8.8, поэтому игнорируют их.

 

Либо настройте на Микротике DNS-сервер, который будет форвардить все запросы на 10.50.0.5,

либо на 10.50.0.5 маршрутизируйте всё через Микротик, даже локалку.

[Gunner]

нет не в локалке у пользователей реальники вообще. Там немного хитрая схема микротик 10.50.0.3 билинг 10.50.0.2 и днс 10.50.0.5

сидят в 1 влане - прокинуты маршеруты на билинг пользовательи попадают уже с реальниками.

Изменено 14 октября, 2011 пользователем Gunner