Russian Users MikroTik | Форум пользователей MikroTik

Доброй ночи.
Есть главный Mikrotik, находящийся в головном офисе и есть Mikrotik, находящийся в филиале.

Ситуация: надо соединить сети через GRE, есть ещё пара десятков сетей, но там D-Link и их удалось нормально настроить. Сеть офиса: 192.168.1.0, маска 255.255.252.0. Сеть филиала: 192.168.110.0, маска 255.255.255.0.

Что сделано: нагуглены мануалы, сделаны туннели, на филиальном Микротике созданы маршруты.

Результат: туннель поднялся, пинги по IP гоняются в обе стороны, интернеты открываются.

Проблема: не подрубаются DNS-сервера из локальной сети головного офиса, по доменному имени ничего не пингуется. Конечно, прописывание в hosts решает проблему, но это не метод. В настройках Микрота DNS прописаны.

Конфиг:

Код: Выделить всё

# apr/04/2019 01:03:29 by RouterOS 6.44.1
# software id = LMKL-8AM6
#
# model = 2011UiAS-2HnD
# serial number = 569404E6F9E0
/interface bridge
add admin-mac=4C:5E:0C:D3:21:49 auto-mac=no fast-forward=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-gateway speed=100Mbps
set [ find default-name=ether2 ] comment=LAN name=ether2-master-local speed=\
    100Mbps
set [ find default-name=ether3 ] name=ether3-slave-local speed=100Mbps
set [ find default-name=ether4 ] name=ether4-slave-local speed=100Mbps
set [ find default-name=ether5 ] name=ether5-slave-local speed=100Mbps
set [ find default-name=ether6 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether6-master-local
set [ find default-name=ether7 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether7-slave-local
set [ find default-name=ether8 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether8-slave-local
set [ find default-name=ether9 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether9-slave-local
set [ find default-name=ether10 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether10-slave-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-D32152 \
    wireless-protocol=802.11
/interface gre
add !keepalive local-address=14.8.8.78 name=SPB_Office remote-address=\
    <ip-офиса>
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name=domain.local regexp=domain.local
/ip pool
add name=default-dhcp ranges=192.168.110.10-192.168.110.254
/ip dhcp-server
add address-pool=default-dhcp authoritative=after-2sec-delay disabled=no \
    interface=bridge-local name=default
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local hw=no interface=sfp1
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether3-slave-local
add bridge=bridge-local interface=ether4-slave-local
add bridge=bridge-local interface=ether5-slave-local
add bridge=bridge-local interface=ether7-slave-local
add bridge=bridge-local interface=ether8-slave-local
add bridge=bridge-local interface=ether9-slave-local
add bridge=bridge-local interface=ether10-slave-local
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=sfp1 list=discover
add interface=ether2-master-local list=discover
add interface=ether3-slave-local list=discover
add interface=ether4-slave-local list=discover
add interface=ether5-slave-local list=discover
add interface=ether6-master-local list=discover
add interface=ether7-slave-local list=discover
add interface=ether8-slave-local list=discover
add interface=ether9-slave-local list=discover
add interface=ether10-slave-local list=discover
add interface=wlan1 list=discover
add interface=bridge-local list=discover
add interface=SPB_Office list=discover
add interface=ether2-master-local list=mactel
add interface=ether3-slave-local list=mactel
add interface=ether2-master-local list=mac-winbox
add interface=ether4-slave-local list=mactel
add interface=ether3-slave-local list=mac-winbox
add interface=ether5-slave-local list=mactel
add interface=ether4-slave-local list=mac-winbox
add interface=ether6-master-local list=mactel
add interface=ether5-slave-local list=mac-winbox
add interface=ether7-slave-local list=mactel
add interface=ether6-master-local list=mac-winbox
add interface=ether8-slave-local list=mactel
add interface=ether7-slave-local list=mac-winbox
add interface=ether9-slave-local list=mactel
add interface=ether8-slave-local list=mac-winbox
add interface=ether10-slave-local list=mactel
add interface=ether9-slave-local list=mac-winbox
add interface=sfp1 list=mactel
add interface=wlan1 list=mactel
add interface=bridge-local list=mactel
add interface=ether10-slave-local list=mac-winbox
add interface=sfp1 list=mac-winbox
add interface=wlan1 list=mac-winbox
add interface=bridge-local list=mac-winbox
/ip address
add address=192.168.110.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.110.0
add address=14.8.8.78/27 interface=ether1-gateway network=14.8.8.64
add address=192.168.2.113/24 interface=SPB_Office network=192.168.2.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
    interface=ether1-gateway
/ip dhcp-server network
add address=192.168.110.0/24 comment="default configuration" dns-server=\
    192.168.1.1,192.168.110.1 gateway=192.168.110.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.15,212.34.32.36,212.34.33.1
/ip dns static
add address=192.168.110.1 name=router
/ip firewall filter
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
    established,related
add action=drop chain=input comment="default configuration" in-interface=\
    ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" \
    connection-state=established,related
add action=accept chain=forward comment="default configuration" \
    connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=\
    invalid
add action=drop chain=forward comment="default configuration" \
    connection-nat-state=!dstnat connection-state=new in-interface=\
    ether1-gateway
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=192.168.110.1 dst-port=\
    53 layer7-protocol=domain.local new-connection-mark=domain.local-fwd \
    passthrough=yes protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.110.1 dst-port=\
    53 layer7-protocol=domain.local new-connection-mark=domain.local-fwd \
    passthrough=yes protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway
add action=dst-nat chain=dstnat connection-mark=domain.local-fwd \
    to-addresses=192.168.1.15
/ip route
add distance=1 gateway=14.8.8.65
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.2.1
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=192.168.2.1
/lcd interface pages
set 0 interfaces="sfp1,ether1-gateway,ether2-master-local,ether3-slave-local,eth\
    er4-slave-local,ether5-slave-local,ether6-master-local,ether7-slave-local,et\
    her8-slave-local,ether9-slave-local,ether10-slave-local"
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox

Собственно, вопрос - как подключить DNS-сервера из локальной сети? Они пингуются, но не подключаются. Порядок серверов менял.

В чём может быть дело? Гугл тряс, пробовал то, что советовали, не помогло. Грешу на firewall, но открытие трафика не помогало.

Заранее большое спасибо.

Если под неработой днс серверов вы подразумевает невозможность пинговать хосты по имени, то вы ошибаетесь насчёт днс и вам наду гуглить на тему wins сервера, он решит ваши проблемы.

/ip dhcp-server network
add address=192.168.110.0/24 comment="default configuration" dns-server=\
192.168.1.1,192.168.110.1 gateway=192.168.110.1

Здесь в качестве ДНС серверов указаны микротики?
Укажите здесь нужные сервера.

KARaS'b писал(а): ↑04 апр 2019, 09:08 Если под неработой днс серверов вы подразумевает невозможность пинговать хосты по имени, то вы ошибаетесь насчёт днс и вам наду гуглить на тему wins сервера, он решит ваши проблемы.

WINS только ради WinXP включают.
Все другое у микрософта уже только с DNS работает.

С виндой все не так просто:
viewtopic.php?p=37908#p37908

gmx писал(а): ↑04 апр 2019, 09:38 С виндой все не так просто:
viewtopic.php?p=37908#p37908

У винды чтобы все работало, нужно и dhcp и dns поднимать микрософтовские.

У ОС старше XP в настройках TCP/IP есть настройки "зарегистрировать адреса этого подключения в DNS", и "использовать DNS-суффикс при регистрации в DNS". А использование netbios через TCP отключается.
Что может управляться удаленно через AD.

Настройки WINS остались только для поддержки XP, которых в госсекторе еще тысячи трудятся.
Чтобы они видели новые версии ОС в сети, нужно эти новые ОС заставить публиковаться в винсе.

Все верно, более того, в Вин10 галочка "зарегистрировать адреса этого подключения в DNS" стоит по-умолчанию.

И если dns в сети не майкросовтовский, то фиг он к нему обращается для разрешения имени без расширения. И я не уверен, что он к нему будет обращаться если не развернуто AD. Как-то ни разу не приходилось иметь в сети DNS сервер Майкрософт без AD/

А настройки Wins даже в Вин10 есть и они работают. При желании и Wins можно использовать. И для одноранговых сетей - это, наверное, самое простое решение.

Более того, посмотрите сервис vpnki (весьма продвинутый сервис для России), он поднял WINS на своих мощностях и предоставляет его пользователям своих сервисов VPN. https://vpnki.ru/settings/apps/wins-server

Это я к тому, что это наиболее простое и оптимальное решение.

Erik_U писал(а): ↑04 апр 2019, 09:28 WINS только ради WinXP включают.
Все другое у микрософта уже только с DNS работает.

Прям сейчас пишу с компа, домен которого поднят еще во времена 2003 сервера и конечно же он "сингл нейм". Филиалы не могут "по имени" без винс сервера, даже не смотря на то, что и с клиентской и с серверной стороны стоят последние ОС, даже в домен комп не загнать без указания wins.

То, что у вас так сделано не означает, что нельзя по другому. И уж тем более не стоит призывать к этому окружающих.

У меня на работе ад стоит с начала века.
Но давно обходимся без винса.

Ого, сколько ответов. Отвечаю по порядку:

KARaS'b писал(а): ↑04 апр 2019, 09:08 Если под неработой днс серверов вы подразумевает невозможность пинговать хосты по имени, то вы ошибаетесь насчёт днс и вам наду гуглить на тему wins сервера, он решит ваши проблемы.

Нет, WINS не нужен, зачем он вообще в данном случае? Всё должно работать и без него.

Erik_U писал(а): ↑04 апр 2019, 09:23 /ip dhcp-server network
add address=192.168.110.0/24 comment="default configuration" dns-server=\
192.168.1.1,192.168.110.1 gateway=192.168.110.1

Здесь в качестве ДНС серверов указаны микротики?

Не помогло. В качестве DNS-серверов выступают сервера на Windows Server 2012.

Russian Users MikroTik | Форум пользователей MikroTik

Нет доступа к DNS на Win2012 через GRE-туннель

Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель

Re: Нет доступа к DNS на Win2012 через GRE-туннель