+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Запрос на новую функцию: переадресация по доменам в DNS

Запрос на новую функцию: переадресация по доменам в DNS, RouterOS

amorsen

Guest

24.07.2008 12:05:00

Было бы здорово, если бы встроенный DNS-сервер мог избирательно перенаправлять домены на серверы. В dnsmasq это делается с помощью синтаксиса: server=/lan/10.1.2.3. Это перенаправит все запросы, заканчивающиеся на .lan, на 10.1.2.3. Это особенно полезно, когда, например, серверы Active Directory находятся за соединением VPN. Если VPN-соединение прервётся, всё равно можно будет дотянуться до остального Интернета. Без этой функции все DNS-запросы должны идти на серверы Active Directory.

dssmiktik

Guest

16.02.2010 02:28:00

Ах, понял. Извини за недопонимание исходного сообщения. Лично я использую DNS-сервер Bind, он прекрасно справляется с DNS, так как это все-таки DNS-сервер. Если у тебя есть RouterBoard, который поддерживает MetaRouter, или x86 с KVM, ты мог бы установить OpenWRT и использовать Bind поверх RouterOS.

psamsig Guest	#3 0 20.02.2010 21:07:00 Я тоже с этим согласен, это не должно быть так сложно реализовать.

Wakko Guest	#4 0 30.09.2010 16:54:00 Первое сообщение в этой теме было создано 2 года назад, но эта желаемая функция так и не была реализована. Меня это угнетает.

StreamR

Guest

16.11.2010 15:45:00

Я поддерживаю Вакко, это была бы отличная функция для удаленных сайтов, использующих VPN для доступа к серверам... Они бы не теряли разрешение DNS, когда VPN выходит из строя. В настоящее время мы используем обходное решение brainsucker для небольших сайтов, но за ним несколько трудно следить.

manbot

Guest

19.10.2016 20:45:00

Просто для завершения этого поста: локальный домен .office.local (FQDN) локальный DNS сервер 192.168.1.1. Нам нужно разрешить server1.office.local, work.office.local для удаленных пользователей. Создайте l7 /ip firewall layer7-protocol add name=remote_office regexp=office.local|[0-9]+.[0-9]+.168.192.in-addr.arpa. Создайте 2 NAT правила /ip firewall nat add action=masquerade chain=srcnat disabled=no protocol=udp dst-port=53 /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address-type=local dst-port=53 layer7-protocol=remote_office protocol=udp to-addresses=192.168.1.1 to-ports=53. Эта информация была взята с сайта WIKI netair.by.

Sob

Guest

20.10.2016 01:17:00

Эмм, ты действительно думаешь, что стоило поднимать этот старый тред спустя шесть лет? И как именно эта информация должна его завершить? Это все тот же старый и непривлекательный (хотя и довольно умный, в этом нет сомнений) L7 хак, который обходит DNS кэш роутера, не работает с tcp, не может быть использован с IPv6, и совершенно не пригоден для администраторов. В качестве бонуса, ваш regexp совершенно неточный: он совпадает с office.local, но также и с notoffice.local, office-local.com и так далее. Ваш единственный аргумент в том, что любое упоминание об этой недостающей функции - это уже хорошо.

divB

Guest

15.01.2017 00:54:00

У меня два вопроса: 1.) Есть ли возможность заставить это работать для TCP? Я полагаю, причина в том, что фактическое содержимое находится в пакетах после SYN, SYN-ACK, ACK, так что первые три пакета подключения не могут быть отмечены? 2.) У меня сейчас такая настройка: [admin@ugate] /ip firewall layer7-protocol> print
# NAME REGEXP
0 localdns (intra.mydomain.net|168.192.in-addr.arpa|7.10.in-addr.arpa) Это работает. Однако, если я заменяю “.” на “.” или “\.”, это больше не работает. Разве это не должно быть корректным регулярным выражением?

Sob

Guest

15.01.2017 02:13:00

Нет, потому что когда происходит сопоставление с вашим фильтром L7, соединение уже установлено и не может быть перенаправлено куда-то еще. К счастью, клиенты, похоже, не используют TCP (но такое тоже может случиться). Это должно быть правильное регулярное выражение, безусловно. Но DNS-пакеты не содержат точек. Вместо этого они имеют одиночные байты, содержащие длину следующей части имени. Для ваших индивидуальных доменов это: \x05intra\x08mydomain\x03net \x03168\x03192\x07in-addr\x04arpa \x017\x0210\x07in-addr\x04arpa Чтобы помочь с ложными срабатываниями, вы также можете добавить это в конец: .\x01, где “.” соответствует типу записи (за исключением некоторых редких с кодом > 255), а \x01 — это класс запроса, который всегда равен 1 (для нормального использования). Это не так уж важно для достаточно сложных доменов, как ваш. Без этого вы получите ложное срабатывание, например, для intra.mydomain.net.someotherdomain.com, но маловероятно, что когда-либо будет запрос на такое имя.

gescarra Guest	#10 0 10.11.2017 20:07:00 Слушай, ты просто сделал мой день, у меня были проблемы с CNAME записями, в которых было имя моего домена, например domain.com.s3.amazonaws.com… твой совет с .\x01 все исправил!

engycz Guest	#11 0 19.02.2019 18:42:00 Я голосую за эту функцию. Легко реализовать — но всё ещё не реализовано.

mzahor123 Guest	#12 0 11.04.2020 16:48:00 Голосование за эту функцию

amorsen

Guest

#13

12.04.2020 12:50:00

Не голосуйте за функции, которые я предлагаю. Этот запрос функции (с 2008 года) — хороший пример того, почему моя текущая оценка — ноль принятых запросов на функции. Найдите кого-то с большим влиянием на Mikrotik, чтобы предложить необходимые вам функции.

eworm Guest	#14 0 24.04.2020 19:35:00 Это доступно сейчас в RouterOS 6.47beta60!

brainsucker

Guest

#15

02.02.2010 13:10:00

У меня была такая же проблема, но я нашел, по крайней мере, временное решение. Копирую и вставляю из своего блога: http://brainsuckerna.blogspot.com/2010/02/mikrotik-routeros-and-domain-active.html Я использую роутер Mikrotik дома, с RB150, который постоянно обрабатывает соединение с провайдером (PPPoE) и с моим офисом (VPN через интернет). Однако так как роутер использует DNS провайдера, невозможно работать с общими папками или выполнять любые другие задачи домена (в то время как офисные IP-адреса легко доступны). Все, что связано с Active Directory, будет проваливаться, так как любой компьютер в доме не сможет разрешить контроллеры домена. Как это исправить: добавил layer7 матч для \x06\x5Fmsdcs\x08mydomain\x03com (вам нужно заменить mydomain.com на адрес вашего домена). Каждая часть домена предшествуется \x и числом символов в шестнадцатеричном формате, \x5F — это символ _. Когда компьютер пытается найти серверы Active Directory, он запрашивает несколько DNS-записей, все заканчивающиеся на _msdcs.yourdomain.com. /ip firewall layer7-protocol add comment=“” name=activedirectory regexp= “\x06\x5Fmsdcs\x06itsoft\x02by” добавил mangling для маркировки пакетов DNS-запросов, соответствующих нашему правилу layer7 и нашему DNS-серверу как защищенной /ip firewall mangle add action=mark-packet chain=prerouting comment=“” disabled=no dst-address= 192.168.0.200 dst-port=53 layer7-protocol=activedirectory new-packet-mark=activedirectory passthrough=yes protocol=udp добавил правило dst-nat для маршрутизации специфических запросов Active Directory к реальному серверу домена /ip firewall nat add action=dst-nat chain=dstnat comment= “перенаправить DNS-запросы Active Directory” disabled=no dst-port=53 packet-mark=activedirectory protocol=udp to-addresses=10.10.0.201 to-ports=53 вот и все. Это работает, по крайней мере, в моей конкретной конфигурации. Возможно, есть более простые решения, но я не смог найти ни одного.

amorsen Guest	#16 0 02.02.2010 13:54:00 Я глубоко впечатлен вашей изобретательностью. Не думаю, что мы сможем поддержать это решение для наших клиентов, но это действительно очень умно. Надеюсь, Mikrotik придумает что-то более простое.

pedja

Guest

#17

12.02.2010 15:24:00

У меня была аналогичная проблема, не с Active Directory, но мне тоже нужно было, чтобы внутренний DNS работал. Я решил это, настроив все на использование моего внутреннего DNS-сервера, который отвечает на все запросы. Если запрос касается внутреннего домена, он выдаёт правильную информацию, так как знает её, а если запрос касается обычных интернет-доменов, он обращается к DNS-провайдера и передаёт полученный ответ.

dssmiktik

Guest

#18

12.02.2010 22:09:00

Вы уже можете сделать это с помощью регулярных выражений в DNS на RouterOS. Чтобы разрешить все, что заканчивается на .lan, на 10.1.2.3: /ip dns static add name=".*\\.lan\$" address=10.1.2.3 Примеры: my.domain.lan → 10.1.2.3 domain.lan → 10.1.2.3 sever.lan.com → не разрешено server.lann → не разрешено Router OS использует основные регулярные выражения POSIX: http://en.wikipedia.org/wiki/Regular_expression#POSIX_Basic_Regular_Expressions

Sob Guest	#19 0 15.02.2010 18:59:00 Хорошо знать, но это еще не все. На самом деле, здесь три разных вещи: это последнее регулярное выражение вернет A-запись, указывающую на 10.1.2.3 для любого запроса A-записи с именем хоста, заканчивающимся на ".somedomain". Умный ход выше будет перенаправлять любой запрос с именем хоста, заканчивающимся на ".somedomain", на другой DNS-сервер. Таким образом, разные домены могут разрешаться корректно, например, mail.somedomain на 10.1.2.3, www.somedomain на 192.168.1.2 и так далее, при условии, что данный сервер контролирует все из них, включая подсайты. Полноценная работающая реализация: я бы сказал RoS, что домен ".somedomain" контролируется DNS-сервером 10.1.2.3. Затем клиент отправляет запрос на "www.subdomain.somedomain". RoS запрашивает 10.1.2.3, и 10.1.2.3 отвечает: "Я не знаю, целый subdomain.somedomain контролируется 10.20.30.40". RoS отправляет оригинальный запрос на 10.20.30.40 и получает ответ, что www.subdomain.somedomain имеет IP-адрес 192.168.44.11. В текущем RoS нет способа сделать это, и единственное решение — рекурсивный резольвер, а не просто пересылка, как в текущем варианте.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры