Как работает DNS (чудеса)

Flaber · 09.12.2022, 13:04

Доброго времени суток!
Есть RB1100 MikroTik, на нем поднят SSTP впн-сервер с сертификатом. На вин10 машинах успешно всё подключается и работает. Но есть в сети контроллер домена с dns-зоной wt.ru, так вот wt.ru пингуется в сети интернет на 62.122.170.171, а надо чтоб выдавал 10.1.2.1 удаленной сети. На микроте сделал в mangle маркировку пакетов по layer7, содержащих wt.ru и чтоб эти маркированные соединения слало в удаленный dns сервер. На некоторых компах это всё отрабатывает автоматом и хосты по имени доступы. А на некоторых, всё равно резолвит в 62.122.170.171. Не пойму в чем дело, как "заставить" его обращаться к днс серверу впн подключения и чтоб тот уже в свою очередь будет слать куда надо, вместо днс маршрутизатора клиента (провайдера). Можно конечно поставить галку, чтоб весь инет трафик гнало через впн, но это, мягко сказать, решение неправильное.

**[BMs] Capt. Loki** · 13.12.2022, 09:34

Вот это

Цитата (Flaber) »

На микроте сделал в mangle маркировку пакетов по layer7, содержащих wt.ru и чтоб эти маркированные соединения слало в удаленный dns сервер

без этого

Цитата (Flaber) »

поставить галку, чтоб весь инет трафик гнало через впн

тоже не работает.
Проблема не на стороне роутера. Проблема в порядке преобразования имён на клиенте.

Если я правильно понимаю, есть сеть организации, развернут AD DS, причём почему-то домен AD назван так же, как домен в интернете (за очень редким исключением, когда так надо, чаще всего это ошибка из-за недостатка опыта того, кто домен поднимал). Организация ходит в интернет через роутер, на котором поднят SSTP VPN сервер. Снаружи откуда угодно к VPN-серверу подключаются клиенты (Windows).
Надо, чтобы клиентские компьютеры могли обращаться к хостам внутренней сети по именам.

Если так, решения всего три. Могут применяться в комбинации.
1. Поставить галочку шлюза по умолчанию в удалённой сети. Тогда на роутере можно "приземлить" DNS-запросы клиентов куда надо. Жирный минус - ненужный трафик.
2. Передать клиентским машинам адрес локального DNS-сервера и убедиться, что он первый. Минус - передача адресов DNS-серверов VPN-сервером клиентам частенько срабатывает не очень надёжно. Могут помочь скрипты при подключении.
3. Если хостов, к которым надо обращаться, мало, и их внутренние адреса постоянны, просто вписать их в hosts на клиентах. Минус - править на каждом клиенте.

**Smirnoff** · 13.12.2022, 15:59

Цитата ([BMs) »

Capt. Loki;2750426]почему-то домен AD назван так же, как домен в интернете (за очень редким исключением, когда так надо, чаще всего это ошибка из-за недостатка опыта того, кто домен поднимал).

НатюрлихЪ. Лет 13 назад шибко мучался из-за кривоголовости таких вот "сисадминов"...

09.12.2022, 13:04	[включить плавающее окно] Вверх #1
Flaber Бывалый Автор темы Регистрация: 20.03.2012	Как работает DNS (чудеса) Доброго времени суток! Есть RB1100 MikroTik, на нем поднят SSTP впн-сервер с сертификатом. На вин10 машинах успешно всё подключается и работает. Но есть в сети контроллер домена с dns-зоной wt.ru, так вот wt.ru пингуется в сети интернет на 62.122.170.171, а надо чтоб выдавал 10.1.2.1 удаленной сети. На микроте сделал в mangle маркировку пакетов по layer7, содержащих wt.ru и чтоб эти маркированные соединения слало в удаленный dns сервер. На некоторых компах это всё отрабатывает автоматом и хосты по имени доступы. А на некоторых, всё равно резолвит в 62.122.170.171. Не пойму в чем дело, как "заставить" его обращаться к днс серверу впн подключения и чтоб тот уже в свою очередь будет слать куда надо, вместо днс маршрутизатора клиента (провайдера). Можно конечно поставить галку, чтоб весь инет трафик гнало через впн, но это, мягко сказать, решение неправильное. Миниатюры

13.12.2022, 09:34	[включить плавающее окно] Вверх #2
[BMs] Capt. Loki Модератор Регистрация: 13.02.2003 Адрес: Новосибирск	Вот это Цитата (Flaber) » На микроте сделал в mangle маркировку пакетов по layer7, содержащих wt.ru и чтоб эти маркированные соединения слало в удаленный dns сервер без этого Цитата (Flaber) » поставить галку, чтоб весь инет трафик гнало через впн тоже не работает. Проблема не на стороне роутера. Проблема в порядке преобразования имён на клиенте. Если я правильно понимаю, есть сеть организации, развернут AD DS, причём почему-то домен AD назван так же, как домен в интернете (за очень редким исключением, когда так надо, чаще всего это ошибка из-за недостатка опыта того, кто домен поднимал). Организация ходит в интернет через роутер, на котором поднят SSTP VPN сервер. Снаружи откуда угодно к VPN-серверу подключаются клиенты (Windows). Надо, чтобы клиентские компьютеры могли обращаться к хостам внутренней сети по именам. Если так, решения всего три. Могут применяться в комбинации. 1. Поставить галочку шлюза по умолчанию в удалённой сети. Тогда на роутере можно "приземлить" DNS-запросы клиентов куда надо. Жирный минус - ненужный трафик. 2. Передать клиентским машинам адрес локального DNS-сервера и убедиться, что он первый. Минус - передача адресов DNS-серверов VPN-сервером клиентам частенько срабатывает не очень надёжно. Могут помочь скрипты при подключении. 3. Если хостов, к которым надо обращаться, мало, и их внутренние адреса постоянны, просто вписать их в hosts на клиентах. Минус - править на каждом клиенте. __________________ In a world without walls and fences - who needs windows and gates? I am root! Последний раз редактировалось [BMs] Capt. Loki; 13.12.2022 в 09:36.

13.12.2022, 15:59	[включить плавающее окно] Вверх #3
Smirnoff Модератор Регистрация: 30.12.2004 Адрес: Новосибирск	Цитата ([BMs) » Capt. Loki;2750426]почему-то домен AD назван так же, как домен в интернете (за очень редким исключением, когда так надо, чаще всего это ошибка из-за недостатка опыта того, кто домен поднимал). НатюрлихЪ. Лет 13 назад шибко мучался из-за кривоголовости таких вот "сисадминов"... __________________ С уважением, Олег Р. Смирнов