Gunner Опубликовано 12 октября, 2011 Задача завернуть все днс запросы на наш днс сервер. Микротик стоит бордером у клиентов реальники. Можно ли запрос от клиентов например на гугловский днс завернуть на наш ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 октября, 2011 На гугловский - легко. Просто сделать статический роут для их IP на свой сервер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 12 октября, 2011 (изменено) На гугловский - легко. Просто сделать статический роут для их IP на свой сервер Поднимаются гугловские IP на сервере ДНС, на локалхосте. Заставляем named слушать эти IP. А на микротике прописываются роуты к этим IP. Изменено 12 октября, 2011 пользователем vlad11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 12 октября, 2011 проще сделать одно правило dnat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 12 октября, 2011 (изменено) chain=dstnat action=dst-nat to-addresses=10.50.0.5 to-ports=53 protocol=udp dst-port=53 src-address=!10.50.0.5 сделал такое правило резолвится все перкращает root@dhcp:/etc/bind# dig @8.8.8.8 wowmens.ru ; <<>> DiG 9.6.1-P2 <<>> @8.8.8.8 wowmens.ru ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached root@dhcp:/etc/bind# Изменено 12 октября, 2011 пользователем Gunner Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 13 октября, 2011 Ищем в Гугле: "mikrotik prerouting redirect" Тут же находим: http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling /ip firewall natadd chain=dstnat in-interface=Local connection-mark=dns action=redirect comment="Transparent DNS Cache" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 13 октября, 2011 (изменено) /ip firewall nat add chain=dstnat in-interface=Local connection-mark=dns action=redirect comment="Transparent DNS Cache" Если что правило редирект редиректит только на сам микротик, что мне не нужно. Гуглом я пользоваться тоже умею. пытаюсь общаться на форуме микротика пока только говорят что плохо это когда днс сервер за бордером стоит и использует его в качестве шлюза 5 X chain=dstnat action=dst-nat to-addresses=10.50.0.5 to-ports=53 protocol=udp src-address=!10.50.0.5 dst-port=53 root@dhcp:/etc/dhcp3# dig @8.8.8.8 wowmens.ru ; <<>> DiG 9.6.1-P2 <<>> @8.8.8.8 wowmens.ru ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached root@dhcp:/etc/dhcp3# ifconfig vlan5 vlan5 Link encap:Ethernet HWaddr 00:19:66:2b:ac:e1 inet addr:10.50.0.5 Bcast:10.50.0.255 Mask:255.255.255.0 inet6 addr: fe80::219:66ff:fe2b:ace1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:74238 errors:0 dropped:0 overruns:0 frame:0 TX packets:1854 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:6213003 (6.2 MB) TX bytes:382987 (382.9 KB) root@dhcp:/etc/dhcp3# непашет такая связка Изменено 13 октября, 2011 пользователем Gunner Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 13 октября, 2011 chain=dstnat action=dst-nat to-addresses=10.50.0.5 Если dns-сервер 10.50.0.5 находится в клиентской сети, то клиентам он отвечает напрямую и они видят, что получают ответы не от 8.8.8.8, поэтому игнорируют их. Либо настройте на Микротике DNS-сервер, который будет форвардить все запросы на 10.50.0.5, либо на 10.50.0.5 маршрутизируйте всё через Микротик, даже локалку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 14 октября, 2011 (изменено) нет не в локалке у пользователей реальники вообще. Там немного хитрая схема микротик 10.50.0.3 билинг 10.50.0.2 и днс 10.50.0.5 сидят в 1 влане - прокинуты маршеруты на билинг пользовательи попадают уже с реальниками. Изменено 14 октября, 2011 пользователем Gunner Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...