|
|
| Сайт 3DNews | Регистрация | Правила | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
|
|||||||
  |
| Опции темы | Опции просмотра |
09.12.2022, 13:04
|
[включить плавающее окно] #1 | |
 БывалыйАвтор темы Регистрация: 20.03.2012
|
Как работает DNS (чудеса)
Есть RB1100 MikroTik, на нем поднят SSTP впн-сервер с сертификатом. На вин10 машинах успешно всё подключается и работает. Но есть в сети контроллер домена с dns-зоной wt.ru, так вот wt.ru пингуется в сети интернет на 62.122.170.171, а надо чтоб выдавал 10.1.2.1 удаленной сети. На микроте сделал в mangle маркировку пакетов по layer7, содержащих wt.ru и чтоб эти маркированные соединения слало в удаленный dns сервер. На некоторых компах это всё отрабатывает автоматом и хосты по имени доступы. А на некоторых, всё равно резолвит в 62.122.170.171. Не пойму в чем дело, как "заставить" его обращаться к днс серверу впн подключения и чтоб тот уже в свою очередь будет слать куда надо, вместо днс маршрутизатора клиента (провайдера). Можно конечно поставить галку, чтоб весь инет трафик гнало через впн, но это, мягко сказать, решение неправильное. |
|
 |
|
|
13.12.2022, 09:34
|
[включить плавающее окно] #2 |
|
Модератор Регистрация: 13.02.2003
Адрес: Новосибирск
|
Вот это
Цитата
(Flaber) »
На микроте сделал в mangle маркировку пакетов по layer7, содержащих wt.ru и чтоб эти маркированные соединения слало в удаленный dns сервер
Цитата
(Flaber) »
поставить галку, чтоб весь инет трафик гнало через впн
Проблема не на стороне роутера. Проблема в порядке преобразования имён на клиенте. Если я правильно понимаю, есть сеть организации, развернут AD DS, причём почему-то домен AD назван так же, как домен в интернете (за очень редким исключением, когда так надо, чаще всего это ошибка из-за недостатка опыта того, кто домен поднимал). Организация ходит в интернет через роутер, на котором поднят SSTP VPN сервер. Снаружи откуда угодно к VPN-серверу подключаются клиенты (Windows). Надо, чтобы клиентские компьютеры могли обращаться к хостам внутренней сети по именам. Если так, решения всего три. Могут применяться в комбинации. 1. Поставить галочку шлюза по умолчанию в удалённой сети. Тогда на роутере можно "приземлить" DNS-запросы клиентов куда надо. Жирный минус - ненужный трафик. 2. Передать клиентским машинам адрес локального DNS-сервера и убедиться, что он первый. Минус - передача адресов DNS-серверов VPN-сервером клиентам частенько срабатывает не очень надёжно. Могут помочь скрипты при подключении. 3. Если хостов, к которым надо обращаться, мало, и их внутренние адреса постоянны, просто вписать их в hosts на клиентах. Минус - править на каждом клиенте.
__________________
In a world without walls and fences - who needs windows and gates? I am root! Последний раз редактировалось [BMs] Capt. Loki; 13.12.2022 в 09:36. |
|
|
|
|
13.12.2022, 15:59
|
[включить плавающее окно] #3 |
Модератор
Регистрация: 30.12.2004
Адрес: Новосибирск
|
Цитата
([BMs) »
Capt. Loki;2750426]почему-то домен AD назван так же, как домен в интернете (за очень редким исключением, когда так надо, чаще всего это ошибка из-за недостатка опыта того, кто домен поднимал).
__________________
С уважением, Олег Р. Смирнов |
|
|
|
Линейный вид
