+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

DNS не работает через VPN-туннель.

DNS не работает через VPN-туннель., RouterOS

littlebill

Guest

02.12.2013 20:38:00

Кто-нибудь сталкивается с проблемами при использовании DNS over a tunnel? Неважно, pptp/l2tp или sstp. У меня есть 2 Mikrotik, один на 5.26, другой на 6.7, и у них периодически определенные имена не разрешаются. Я очищаю кэш на Mikrotik на удаленной стороне, удаляю DNS-сервер, сразу же добавляю его обратно, и тогда имя разрешается, и всё работает отлично какое-то время, обычно около часа, прежде чем оно снова начнет случайно не работать? Я открыл тикет, но они увиливают от ответа? Я единственный, кто использует DNS-серверы с обеих сторон? http://54.235.103.137/dns.mp4 Это видео, на котором это происходит.

littlebill

Guest

03.12.2013 17:58:00

Пожалуйста, предоставьте команду, о которой вы говорите. Есть два роутера, подключенные через SSTP: 10.0.1.1 и 10.21.0.1, оба — DNS-серверы. Тест проводился для клиента 10.21.0.x, и в его списке DNS отсутствует 10.0.1.1, только сервер 10.21.0.1. Я не понимаю, как кэш Windows может быть здесь при чём, когда я работаю только с серверами 10.21.0.1. Клиенты с обеих сторон туннеля работают безупречно, только когда им нужно обращаться к DNS-серверам MikroTik. Предоставьте шаги, и я всё повторю.

littlebill

Guest

03.12.2013 17:59:00

Я попробую это проверить, но все еще сломано. Клиентам не должно быть нужно указывать другой DNS-сервер в списке. Учитывая, что все DNS будут разрешаться в течение некоторого времени, похоже, что очистка кэша DNS на сервере 10.21.0.x решает проблему. Я собирался записать видео, но все исправилось. Потребуется некоторое время, прежде чем я смогу снова протестировать.

littlebill Guest	#4 0 03.12.2013 19:51:00 Вуаля, господа. Удачи с объяснением этого http://54.235.103.137/dns2.avi

littlebill Guest	#5 0 03.12.2013 14:23:00 Блин, не могу поверить, что я один с этой проблемой. Видел это на 3 разных роутерах и даже на версии 5.25.

odge

Guest

03.12.2013 16:16:00

Может, предоставь им pcap-файлы, это действительно странно, что запись неизвестна, и ты очистил кэш, а она снова появляется как неизвестная… Во второй раз (после очистки кэш, но до повторного добавления того же DNS-сервера) вообще был запрос? pcap покажет…

kurtkraut

Guest

03.12.2013 16:36:00

littlebill, тебе стоило бы использовать команду nslookup с аргументом, явно указывающим ей сделать запрос к IP-адресу устройства Mikrotik, которое ты показывал в Winbox. Это позволит избежать использования локального кэша Windows и даст более точное представление о проблеме.

webpagetech

Guest

09.12.2013 16:16:00

Если подумать, то именно это ты и делаешь, когда добавляешь DNS-сервер в "/ip dns". Ты перенаправляешь любые DNS-запросы, которые микротик не находит в своем локальном кэше (предполагая, что у тебя отмечено "Allow Remote Requests" и твой файрвол разрешает входящие соединения на UDP-порт 53). Так что тебе нужно создать локальный авторитетный DNS-сервер (или несколько), типа Bind, PowerDNS, NSD... (кажется, Windows Server имеет авторитетный DNS, но...). В твоем новом локальном авторитетном DNS-сервере (или серверах) добавь домены, которые ты хочешь хостить локально, а также добавь эти публичные DNS-серверы, которые ты получаешь из DHCP, в качестве форвардеров в твоем авторитетном DNS-сервере. Затем в микротике в "/ip dns" добавь только твои локальные авторитетные DNS-серверы. Убедись также, что "Use Peer DNS" не отмечено на всех DHCP-клиентах. Тогда любые запросы, идущие к микротику и которых в нём нет в кэше, будут идти к твоему локальному авторитетному DNS. Если этот DNS-запрос есть в твоих локальных зонах, он ответит. Если этого запроса нет в твоих локальных зонах, авторитетный сервер будет перенаправлять его к своим форвардерам, пока не получит ответ, в конечном итоге получая правильный DNS-ответ обратно к твоему микротику для локального кэширования до истечения TTL этого запроса (или до полной загруженности кэша микротика). В чем тут суть, так сказать, так это в том, чтобы понять, что DNS-сервер микротика – это просто кэширующий DNS-сервер, а любые DNS-серверы, которые ты добавляешь в "/ip dns", являются твоими форвардерами.

andriys

Guest

03.12.2013 20:03:00

Просто посмотрел твои видео. Вкратце – твои Mikrotik устройства ведут себя как положено (то есть абсолютно правильно). Подробно: на твоем Mikrotik указаны три родительских DNS сервера: два динамических (вероятно, ты получаешь их от своего провайдера через DHCP, PPPoE или подобное) и один статический, который ты указываешь явно (10.0.1.1). Имя хоста, которое ты запрашиваешь, известно только твоему статическому DNS родителю (то есть 10.0.1.1), где оно настроено как статическая DNS запись. Я почти уверен, что динамические сервера ничего не знают про mom.lb. Что делает DNS сервер Mikrotik – он перенаправляет запрос на один из родительских DNS серверов. Довольно вероятно, что запрос на mom.lb перенаправляется на одного из твоих динамических родителей, который возвращает NXDOMAIN, заставляя твое устройство Mikrotik кэшировать эту запись как неизвестную на некоторое время. Надеюсь, это поможет понять, что происходит. Прекрати винить Mikrotik, в твоей ситуации он делает абсолютно правильно.

littlebill

Guest

#10

03.12.2013 20:08:00

Ну и что мне, собственно, делать, чтобы это исправить, тогда??? Ты быстро выдаешь замечания, но никаких шагов к решению не видишь. Поддержка тоже ничего не указала, и я не нашел документации, где сказано, что Mikrotik использует round robin для DNS-разрешения. К тому же, я могу сидеть над этим час, и это НИКОГДА не заработает обратно. Просто удаляю и добавляю заново, и тогда все начинает разрешаться.

andriys

Guest

#11

03.12.2013 20:19:00

Самое простое решение – вообще убрать динамические DNS-серверы из конфигурации. Более сложный вариант предполагает настройку внешнего DNS-сервера, например, BIND, поскольку DNS-сервер Mikrotik довольно простой и не позволяет настраивать разные форвардеры для разных зон. Это не обязательно round-robin, может быть случайный выбор или что-то подобное.

littlebill

Guest

#12

03.12.2013 20:37:00

Понял, к чему вы клоните. Видимо, даже если имя не разрешается, оно всё равно останавливается, даже если в списке есть другие. Это кажется просто невероятной глупостью. Интересно, как оно определяет, к какому DNS-серверу обратиться первым? Похоже, мне нужны так называемые форвардеры. Не вижу, чтобы Mikrotik это поддерживал.

littlebill

Guest

#13

03.12.2013 20:39:00

Если я уберу динамические серверы, как это вообще что-то решит в интернете? Я сделал то, что ты сказал, но совершенно запутался, как это работает. Тогда почему интернет работает, если мой локальный DNS-сервер не разрешает Google? Что заставляет его обращаться к другим DNS-серверам?

andriys

Guest

#14

03.12.2013 22:08:00

Нет, не делает. Если один форвардер превысит время ожидания или завершится с ошибкой, RouterOS запросит другой. Однако если форвардер вернет NXDOMAIN (несуществующий домен, что не является ошибкой, а скорее отрицательным ответом), он (и не должен) запросить другие форвардеры. Ваш первый Mikrotik пересылает DNS-запросы на 10.0.1.1, который, в свою очередь, может все еще быть способен разрешать google и другие для вас (пересылая ваши запросы к своим собственным форвардерам).

littlebill Guest	#15 0 03.12.2013 22:27:00 Кажется, Mikrotik нужно добавить функцию DNS-forwarder в свой DNS-сервер, вот и всё, ок, я наконец-то всё понял. Не знаю, почему поддержка не рассказала мне об этом в первые пять минут обращения. Спасибо!

patrikg

Guest

#16

03.12.2013 17:55:00

Использование: ipconfig /flushdns

Или: Запрос непосредственно у другого DNS-сервера

Чтобы запросить информацию непосредственно у другого DNS-сервера, используйте команды `server` или `lserver` для переключения на этот сервер. Команда `lserver` использует локальный сервер для получения адреса сервера, к которому нужно переключиться, в то время как команда `server` использует текущий DNS-сервер по умолчанию для получения адреса.

Пример:

C:> nslookup
Default Server: nameserver1.domain.com
Address: 10.0.0.1
server 10.0.0.2
Default Server: nameserver2.domain.com
Address: 10.0.0.2

littlebill

Guest

#17

09.12.2013 17:22:00

На самом деле, подвох в том, что если домен не существует на каком-то случайном DNS-сервере, который выбирает Mikrotik, он не будет проверять другие, хотя это и будет работать минут час.lol. В общем, Windows DNS-сервер сделает всё необходимое, но Mikrotik технически выполняет пересылку только один раз. С Windows работает идеально, если есть разные зоны.

webpagetech Guest	#18 0 09.12.2013 23:10:00 Mikrotik будет использовать DNS-сервер, который отвечает быстрее всего. Он периодически проверяет скорость ответа серверов из “/ip dns” и использует самый быстрый. Это не совсем случайный выбор, но это такая скрытая функциональность.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры