+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема со статическим DNS и локальным веб-сервером…

Проблема со статическим DNS и локальным веб-сервером…, RouterOS

pekr

Guest

18.03.2008 08:08:00

Привет, у нас веб-сервер по локальному адресу 10.10.10.10. Сеть полностью маршрутизированная, NAT нет, кроме маскирования основного роутера. Я хотел, чтобы наши клиенты имели доступ к нашему веб-серверу, потому что там веб-представление туристического портала нашего города. Раньше я решал это с помощью каких-то приёмов DST NAT, потому что у нас были сети, находящиеся за NAT и всё такое. Но с нашим новым провайдером и одним центральным узлом я решил просто добавить наши локально размещенные домены как статические записи DNS на наш основной роутер. Пользователи имеют DNS = IP-адреса шлюза. Каждая нода тоже запускает DNS-сервер, и он выстроен в цепочку с нашим основным роутером. В последующих нодах нет вторичных DNS. Но — по-видимому, время от времени проявляется какое-то странное поведение. Это случилось уже второй раз за месяц, когда я не мог получить доступ к веб-серверу, потому что DNS возвращал публичный IP-адрес, а не наш внутренний, статический. Хотел спросить, правильно ли я понимаю, что независимо от всего, статическая запись ВСЕГДА имеет приоритет. Но если это так, как последующие ноды могут получать публичный адрес? Это может означать одно – есть какая-то ошибка в OS 3.3, которую мы используем на нашем центральном роутере? Спасибо, Петр.

Giepie

Guest

12.07.2008 20:10:00

Можно и так, но некоторые клиенты предпочитают статические IP-адреса и используют любые DNS-серверы, которые попадутся под руку. Потом жалуются тебе на плохой сервис, хотя проблема на их стороне. Я предпочитаю ЗАСТАВЛЯТЬ всех использовать тот DNS, который я хочу. Если ты настроил свой CORE/DNS-роутер на использование самого себя в качестве первичного, это не имеет значения, потому что CORE/DNS-роутер всё равно будет проверять себя первым. И важно иметь хороший резервный DNS-сервер.

alex_rhys-hurn

Guest

15.07.2008 10:33:00

Привет! Играюсь с этим, но не уверен, какой IP-адрес должен быть в поле src-address с функцией NOT (!). У меня три интерфейса: ether1 – к интернету, публичный интерфейс; ether2 – к сети WISP (клиенты); ether3 – сеть управления в моем офисе. Предполагаю, что мне нужен IP-адрес ether1 в качестве src-address=!196.x.x.x. Это правильно? С уважением, Алекс

Giepie

Guest

16.07.2008 01:42:00

Привет, Алекс! Да, судя по твоему объяснению, тебе нужно использовать IP ether1. Если на этом интерфейсе у тебя больше одного адреса и ты всё ещё не уверен, какой исключить, можешь настроить список IP-адресов (/ip firewall address-lists) со всеми IP на твоём CORE роутере и выбрать =! во вкладке "Дополнительно". Это гарантирует, что ни один из IP на твоём роутере не будет dst-nat’d. Надеюсь, поможет! G

alex_rhys-hurn

Guest

16.07.2008 05:32:00

Привет, Giepie!

Ну, это просто сбивает меня с толку. Каждый раз, когда я применяю следующие правила, мой x86 роутер мгновенно перезагружается, запускается и затем перезагружается снова. И снова и снова. Самое забавное, что это происходит только при подключенных кабелях LAN. Если их вынуть, роутер работает, и тогда я могу войти в CLI и отключить эти два правила. Вот эти правила:

1 X ;;; Force DNS Cache
chain=dstnat action=dst-nat to-addresses=0.0.0.0-255.255.255.255
to-ports=53 src-address-list=!core-ip dst-port=53 protocol=tcp

2 X chain=dstnat action=dst-nat to-addresses=0.0.0.0-255.255.255.255
to-ports=53 src-address-list=!core-ip dst-port=53 protocol=udp

Список адресов выглядит так:

Flags: X - отключен, D - динамический

# LIST ADDRESS
0 core-ip 196.207.23.22
1 core-ip 172.16.1.253
2 core-ip 41.215.5.17

А мои интерфейсы / IP-адреса:

Flags: X - отключен, I - недействителен, D - динамический

# ADDRESS NETWORK BROADCAST INTERFACE
196.207.23.22/30 196.207.23.20 196.207.23.23 ether1
172.16.1.253/24 172.16.1.0 172.16.1.255 ether2
41.215.5.17/29 41.215.5.16 41.215.5.23 ether3

RouterOS 3.10, на Intel Pentium 3 с 512 RAM. Можешь посмотреть, что я сделал не так с моими правилами? К тому же, очень странно, что это вызывает перезагрузку роутера. Я бы ожидал затор на трафике или что-то подобное. Помощь приветствуется.

Алекс

Giepie

Guest

16.07.2008 05:52:00

Привет, Алекс!

Действительно странно, что роутер перезагружается! Единственное забавное в твоих правилах, что я вижу, это то-адрес. Обычно 0.0.0.0 вводили бы как 0.0.0.0/0, а не 0.0.0.0-255.255.255.255. Я так не пробовал, но не очень хочу рисковать, что роутер опять перезагрузится. Может, напиши в поддержку, скорее всего, это баг ROS. Я бы написал правила так:

1 X ;;; Force DNS Cache chain=dstnat action=dst-nat to-addresses=0.0.0.0/0 to-ports=53 src-address-list=!core-ip dst-port=53 protocol=tcp
2 X chain=dstnat action=dst-nat to-addresses=0.0.0.0/0 to-ports=53 src-address-list=!core-ip dst-port=53 protocol=udp

Дальше ты всё сделал правильно. Попробуй и дай знать!
G

alex_rhys-hurn

Guest

16.07.2008 06:37:00

Привет, бвана! Я создал эти правила с помощью Winbox. Winbox показывает записи как 0.0.0.0/0, а в CLI они отображаются как 0.0.0.0-255.255.255.255. Я удалил их и пересоздал через CLI, и поведение осталось тем же. Я отправлю кое-что в поддержку, но мне придется запланировать период обслуживания с моими клиентами, так что это займет пару дней. Спасибо за подсказку! Алекс.

Giepie

Guest

16.07.2008 06:42:00

Я добавил те же правила из CLI на RB532A с 3.10, и они определенно появились как 0.0.0.0/0. Ты, возможно, обновился с 2.9, или это была чистая установка MTROS3.x? Мой RB532A регулярно обновлялся на протяжении всех версий 2.9.x до 2.9.50, а затем сразу до MTROS3.0, потом 3.4, кажется, и сейчас 3.10. Создай sipout.rif и отправь по почте в поддержку, даже с твоими отключенными правилами. Они смогут воссоздать твой сценарий и проверить, это ошибка или нет. G

Giepie

Guest

06.07.2008 14:42:00

Привет! Я тоже использую MT для DNS. На основном/центральном роутере у меня есть правило dst-nat, которое направляет весь трафик на 53-й порт UDP и TCP, и dst-nat его на адрес этого роутера. Ниже у меня есть два правила брандмауэра dst-nat, одно для порта 53 UDP и одно для порта 53 TCP. Они dst-nat все DNS-запросы на IP этого роутера. Я настроил этот роутер так, чтобы он исключал все запросы, идущие с него самого. В настройках IP/DNS/Настройки я указал мои фактические DNS-серверы. У меня всё работает как часы. Вот мои правила DNS:

1. chain=dstnat action=dst-nat to-addresses=0.0.0.0/0 to-ports=53 src-address=!172.29.254.254 dst-port=53 protocol=tcp
2. chain=dstnat action=dst-nat to-addresses=0.0.0.0/0 to-ports=53 src-address=!172.29.254.254 dst-port=53 protocol=udp

Где 172.29.254.254 – адрес ЦЕНТРАЛЬНОГО (и DNS) роутера. Обязательно исключи (=!) IP на интерфейсе твоего шлюза к твоему DNS-серверу. Эти правила в основном dst-nat весь трафик, направляющийся на dst:port53, ЗА ИСКЛЮЧЕНИЕМ, когда он идет с этого роутера. Надеюсь, это поможет!

alex_rhys-hurn Guest	#10 0 12.07.2008 19:55:00 Можно ли добиться того же, если настроить основной DNS-сервер для роутера на самого себя, а затем вторичный - на DNS-сервер твоего провайдера? И заставить DHCP-клиенты устанавливать основной DNS-сервер на роутер? Разве это тоже не означает, что ты кэшируешь DNS-запросы и одновременно обслуживаешь статические записи? Есть ли какие-то другие преимущества от того, что ты делаешь это по-своему? (очевидно, мой способ подразумевает отсутствие у тебя хорошего резервного DNS-сервера). С уважением, Алекс

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры