Потому что юзеры пишут себе днс 8.8.8.8, а потом локальные сервисы не работают

10.0.0.1 точно видит 172.16.1.150 ?

Ну 10.0.0.1 думаю видит 172.

Раз отвечает на их запросы

Ну 10.0.0.1 думаю видит 172.

Точно видит

А какой dns стоит у пограничных роутеров

Которые к клиентам стоят ?

Этот же ?

По условиям в лог записывает запросы, а вот экшн не срабатывпет

А какой dns стоит у пограничных роутеров

Для чего им днс?

Можно сделать костыль ... включить днс вбить адрес поставить allow remote request и dstnat сделать redirect 53 port

Можно сделать костыль ... включить днс вбить адрес поставить allow remote request и dstnat сделать redirect 53 port

Каспер не любит такие трюки, кстати

Но сам микрот будет отвечать на запросы

Он не справляется

Понял

Поэтому и вынес отдельно

Каспер да ( это животное даже почту в Аутлуке не даёт Нормально архивировать

Делал редирект на локальный веб сервер заблокированных. Но там через прокси

сколько у вас хостов в локалке что микрот не справляется? может снаружи 53 порт забыли закрыть?

Может это провайдер )

Маленького района

может )

сколько у вас хостов в локалке что микрот не справляется? может снаружи 53 порт забыли закрыть?

Клиентов около 10к. У всех по нескольку устройств дома

А может роутер — маааленький

Может это провайдер )

Да

А может роутер — маааленький

1036 ццр

Вот говорю же маленький

Господа ! Чтобы понять почему действие Ната не свершается или ответ не тот который нужен ...

Снимаем дамп в этой ситуации

Включаем снифер в микротих и тянем на шарка

Умеете ?

золотые слова )

Умеете ?

Да, конечно.

Смотрим как идёт подмена ... в торче предварительно смотрим есть ли намёк на ответ

Смотрим на каком узле идёт неправильная подмена и куда улетает пакет

Может тут маскарад применить?

Лучше уж src nat

Адреса же статика везде

Адреса же статика везде

Да, статика

Тогда src nat

Завтра сделаю, благодарю)

Мне ещё показались подозрительными адреса в описании задачи.

172 сеть у клиентов, 10 сеть у микротика и днс - а клиенты как микрот видят? как 10.0.0.1 или как 172.что-нибудь?

Через маршрутизацию

Статическую или динамическую

Если провайдер внутри может быть ospf

Я бы хотел услышать ответ от Александра.

Внешний bgp

Подогадываться я и сам могу.

)

А то, может, 10 сеть - транспортная, которая видна всем клиентам без какой-либо трансляции, и днс-сервер пытается отправить им ответ напрямую, ибо dst-nat не меняет адрес отправителя.

(но это не точно)

Я бы хотел услышать ответ от Александра.

Есть роутер центральный. Маршрутизит сети. Микрот - бордер

Приведенная адресация 172.20.1.0/24 - офисная сеть

Маршрутизация статическая

то есть, условно говоря, имеем "центральный роутер", на котором поднята (в том числе) сеть 172.20.1.0/24 и который выступает дефолт гейтуеем для машин в этой самой офисной сети, я правильно понимаю?

дальше за "центральным" есть сетка 10.0.0.0/24, в ней .2 это микрот, .1 это днс, и у "центрального" дефолт роут - 10.0.0.2, так?

то есть, условно говоря, имеем "центральный роутер", на котором поднята (в том числе) сеть 172.20.1.0/24 и который выступает дефолт гейтуеем для машин в этой самой офисной сети, я правильно понимаю?

Да, так

Я бы в таких условиях начал даже не с прослушки на микроте, а с прослушки на днс-сервере и обратил внимание на адреса, с которых приходят днс-запросы (если они приходят) и на которые уходят днс-ответы.

Я бы в таких условиях начал даже не с прослушки на микроте, а с прослушки на днс-сервере и обратил внимание на адреса, с которых приходят днс-запросы (если они приходят) и на которые уходят днс-ответы.

Это завтра и сделаю

Если там 10.0.0.2 (адрес микрота) в обоих случаях, то надо копать микрот. Если там 172.20.1.х, то, значит, я ещё не совсем в маразме, и dst-nat действительно не меняет src address при перенаправлении пакетов.

/24 ?

Может больше

Это завтра и сделаю

А! Забыл самый тупой вопрос. Нат сделан только для удп, или для тцп тоже?

Может больше

Может, но для данной беседы неважно.

TCP достаточно редко используется уже

ERROR: S client not available

Собсно, https://wiki.mikrotik.com/wiki/Force_users_to_use_specified_DNS_server намекает, что я всё-таки в маразме и dst-nat подменяет адреса.

TCP достаточно редко используется уже

Современные браузеры используют достаточно хитрые схемы определения подмены окружения, в том числе и для днс.

(И не только браузеры, тот же MS Exchange начинает плеваться, например)

Ну я думаю ребята через nslookup разрезолвиьь бивали

Или пинг

У нас уже много лет работает блокировка 53 порта и dst nat к разрешенным адресам. Все отлично работает. Правда не на микротике

Чанга у меня от микрлтика плевалась

Пока редирект не получила на Гугль

Ого дит

Я даже матом хотел удивиться

Используете, господа, микротих ?

Коллеги, читаю "RouterOS by Example" и ловлю себя на мысли что все-таки на родном языке было бы приятнее. Может переведем эту книгу всеми силами?

Ого дит

Для удобства написано) чтоб общаться в корп чате

Думал об этом

Используете, господа, микротих ?

Ну а что удобно. На уровне доступа используем

Для bgp в основном

У вас вакансий нет для микротих любителей ) ???

Всегда хотел на вашу кухню посмотреть

Уж больно мне нравится ваш размах

У вас вакансий нет для микротих любителей ) ???

Я думаю у нас зарплата с вами отличается в невыгодную сторону)) судя по описанию в вашем профиле. Вы то ДИТ в Москве а мы в провинции)

Не я не имею отношения к департаменту как к конкретной структуре

Просто в английском языке правильно говорить что сотрудник ит сферы

Ввёл в замешательство

?

Да какой кстати размах. Просто как небольшой провайдер. Но без биллинга и четкого разделения труда

Сотрудник Дит звучал бы как employer of LLC DIT Moscow

Просто в английском языке правильно говорить что сотрудник ит сферы

Employer - наниматель. Сотрудник - employee.

Ввёл в замешательство

Да ну. У тебя ж там from Moscow, а не of Moscow.

Да спасибо

Т9 )

Кто-нибудь уже сталкивался с новым CRS112-8P-4S-IN? Как он? Потянет по PoE 8 wAP ac? Показывает потребление порта в режиме 802.3af/at?

Да какой кстати размах. Просто как небольшой провайдер. Но без биллинга и четкого разделения труда

Такое ощущение, что где-то пересекались. Или на новом Арбате в департаменте Природопользования, или при запуске м Саларьево/Румянцево ...