http://mikrotik.moscow Новое в теме Нужна помощь с перенаправлением DNS. форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Thu, 14 May 2026 10:38:56 +0300 Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
А вот этот момент решает последний этап, когда какое-то устройство пытается использовать нечто, отличное от правильного .10.
12.11.2022 13:19:00, Sob.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428216 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428216 Sat, 12 Nov 2022 13:19:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
Полезно ли перехватывать DNS или как обойти это — не по теме. Для меня лучший вариант, если DNS не на RouterBOARD, а на другом устройстве в локальной сети, такой: RouterBOARD раздаёт DNS-серверы локальным устройствам через DHCP. Локальные устройства идут к DNS через RouterBOARD, а не через какой-то «внутренний коммутатор». У устройств с фиксированными IP тоже стоит правильный внутренний DNS. Внутренний DNS-сервер знает IP внутренних устройств, потому что RouterBOARD маршрутизирует трафик, а не делает NAT. RouterBOARD блокирует любые DNS-запросы, которые пытаются выйти за пределы внутренней сети, так смартфоны с прописанным, например, «8.8.8.8» вынуждены использовать DNS, который дал DHCP-сервер. Если по какой-то причине DNS на устройстве нельзя изменить, или идёт переход на новую конфигурацию, DNS-запросы, не адресованные правильному DNS-серверу, могут быть перенаправлены NAT на RouterBOARD к нужному DNS.
12.11.2022 09:27:00, rextended.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428215 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428215 Sat, 12 Nov 2022 09:27:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
Именно так. Я знал, что всё работает именно так. Ты как-то однажды подробно мне это объяснял. Так что я подумал, что что-то здесь упускаю. Спасибо.
12.11.2022 08:35:00, broderick.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428214 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428214 Sat, 12 Nov 2022 08:35:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
Роутер (.1) перенаправляет DNS-запросы на другой резолвер (.10), а не на себя. Он не трогает прямые подключения к .10 (например, с других локальных сетей, если они есть) и подключения с .10 (запросы резолвера к интернету). То есть запрос от, например, .20 к 8.8.8.8 пойдет на .10, и без srcnat/маскарадинга ответ придет напрямую с .10 на .20. Это не сработает, потому что .20 ожидает ответ от 8.8.8.8. Если бы роутер перенаправлял запросы самому себе (своему DNS-резолверу), который потом делал бы запросы к .10, тогда вы были бы правы — тогда srcnat не нужен.
12.11.2022 01:30:00, Sob.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428213 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428213 Sat, 12 Nov 2022 01:30:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
Почему бы и нет? Роутер перенаправляет весь трафик, не идущий от/к .10, на себя и использует .10 как свой собственный DNS… Или я неправильно понял ответ.
11.11.2022 23:35:00, rextended.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428212 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428212 Fri, 11 Nov 2022 23:35:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
Это hairpin NAT. Маскарад не нужен, если вы перенаправляете запросы от клиентов из одной подсети на сервер в другой. Если они в одной подсети, без маскарада не заработает.
11.11.2022 19:29:00, Sob.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428211 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428211 Fri, 11 Nov 2022 19:29:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
Что касается перенаправления DNS, ты имеешь в виду, что маскарад бесполезен только с его настройкой или всегда сам по себе? То есть, что он не нужен для перенаправления DNS-запросов и их правильной работы? Спасибо.
11.11.2022 18:27:00, broderick.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428210 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428210 Fri, 11 Nov 2022 18:27:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
Вместо того чтобы другие вам объясняли, зачем притворяться? Это бессмысленно.
11.11.2022 13:45:00, rextended.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428209 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428209 Fri, 11 Nov 2022 13:45:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
У меня были проблемы с тем, чтобы отлавливать (и блокировать) любые устройства, которые пытались вручную задать DNS-запросы в моей сети. Домашняя сеть, но я не хочу, чтобы устройства выходили в интернет неправильным путём, если они внутри моей сети. Поэтому я сделал две вещи, которые для кого-то могут показаться чрезмерными, но всё же... Итак, главное: мой основной роутер находится по адресу 192.168.1.1, а DNS — по адресу 192.168.1.10.

Сначала я определяю любую попытку обращения к DNS-порту (53) и помечаю её:

/ip firewall mangle add action=mark-connection chain=prerouting comment="trap dns queries" connection-mark=no-mark dst-address=!192.168.1.10 dst-port=53 in-interface-list=lans new-connection-mark=dns-route passthrough=yes protocol=udp src-address=!192.168.1.10

/ip firewall mangle add action=mark-connection chain=prerouting comment="trap dns queries" connection-mark=no-mark dst-address=!192.168.1.10 dst-port=53 in-interface-list=lans new-connection-mark=dns-route passthrough=yes protocol=tcp src-address=!192.168.1.10

Потом я перенаправляю такие запросы на адрес pi-hole и делаю srcnat/dstnat соответствующим образом:

/ip firewall nat add action=masquerade chain=srcnat comment="SNAT to PI-Hole" connection-mark=dns-route to-addresses=192.168.1.10

/ip firewall nat add action=dst-nat chain=dstnat comment="DNAT to PI-Hole" connection-mark=dns-route to-addresses=192.168.1.10

Некоторые говорят, что достаточно только маскарадинга, но у меня такой подход не сработал. И вы сами можете увидеть в списке соединений файрвола, что любой запрос на любой DNS по заданным портам будет перенаправлен на ваш DNS и корректно обработан при возврате ответа.

Плюс, у меня в доме три провайдера, поэтому я распределяю DNS-запросы между всеми подключенными ISP. Это повышает надёжность, хотя и не обязательно. Просто привёл в пример.

Важно: lans — это список всех интерфейсов локальной сети, а WAN#_conn — правило маршрутизации, которое направляет любой помеченный пакет через соответствующий интерфейс, если он активен, иначе использует основную таблицу маршрутизации.

/ip firewall mangle add action=mark-connection chain=prerouting comment="Nth DNS to WAN1 out of 3" connection-mark=no-mark dst-address-type=!local dst-port=53 in-interface-list=lans new-connection-mark=WAN1_conn nth=3,1 passthrough=yes protocol=udp
11.11.2022 12:34:00, kryztoval.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428208 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428208 Fri, 11 Nov 2022 12:34:00 +0300 RouterOS Нужна помощь с перенаправлением DNS. RouterOS в форуме RouterOS.
Всем привет! Мой клиент использует глобальные DNS, то есть 8.8.8.8 и 1.1.1.1, а у нас на нашей стороне свой DNS. Проблема возникает с трафиком Akamai, потому что они обслуживают CDN-трафик только через DNS провайдера. Какое правило NAT или другое решение может помочь с этим? Клиент использует статические глобальные DNS в ПК или домашнем роутере. Мы в микротике выставляем DNS провайдера. Я пробовал правило NAT вот такое, скажите, правильно ли оно:

add action=dst-nat chain=dstnat dst-address=8.8.8.8 random=50 to-addresses=119.119.119.119  
add action=dst-nat chain=dstnat dst-address=8.8.4.4 random=50 to-addresses=119.119.119.119
29.09.2022 05:17:00, danunjaya123.]]> http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428207 http://mikrotik.moscow/forum/forum57/88568-nuzhna-pomoshch-s-perenapravleniem-dns./message428207 Thu, 29 Sep 2022 05:17:00 +0300 RouterOS