Клиент не получает DNS через VPN туннель SSTP. Как исправить?

Question

[Денис]

Подскажите пожалуйста, почему клиент не получает DNS сервера от Сервера RouterOS в облаке (CHR)
IP > DNS: добавлены DNS сервера и allow remote request.
IP > DHCP server и Network: Не задействованы. Делал все по разным гайдам из интернета. А суть сервера только в VPN. Нигде даже речи не шло про DHCP server. Если это косяк, то поправьте меня пожалуйста. (сервер конфигурировал только на клиентских микротах.)
PPP > Profiles: Создан VPN профиль, в нем прописаны Local Address 172.16.16.1 и Remote address - выбран созданный пул. Ниже в поля DNS вписаны 1.1.1.1 и 1.0.0.1 Вроде как именно эти DNS и должны выдаваться клиентам.
Но почему-то этого не происходит.
IP > Firewall: Был пустой, а сейчас добавил несколько правил, но я их все выключил, для того чтобы убедиться что они не повлияли на выдачу DNS. По этому считаем что их нет.
IP > NAT: Прописано правило маскарад для 172.16.16.0/24

По итогу сервер работает, клиенты успешно ходят в инет. За исключением одного момента. Мой провайдер заблочил несколько сайтов через DNS. Замена на любой, типа 1.1.1.1 Спокойно снимает блокировку. Но это все делается на клиентах. Я конечно могу и дальше это все прописывать на клиентах. Но ведь надо же знать почему сервер сам не выдает DNS?

Я думаю не сложно догадаться что я новичок. Если мало инфы, оперативно залью все недостающее, только направьте меня.

Comments

[Drno]

инфы достаточно вообщем то
DHCP сервер при впн клиентах не используется, он же для локальной сети...

Насчет DNS - что показывает список DNS серверов на клиенте? точно ли их там нету?
DNS опрашивается обычно по порядку, надо смотреть какой приоритет винда выдала DNSам...
Можно указать DNSом сам микротик(впн сервер)

[Денис]

Drno, Винда говорит: dns серверы 192.168.0.1
192.168.0.1
Сейчас под рукой нету микрота клиентского, пока на винде могу только смотреть что-то.

[Yan]

Обычно в таких ситуациях логи скидывают под спойлером.

Думаю, поможет статический маршрут до dns в облаке
xxx.xxx.xxx.xxx > 0.0.0.0
Пробуйте

[Денис]

Yan, Можно подробнее? Как это прописать?

[Yan]

Денис, без понятия. Был бы кинетик объяснил
Знаю только, что нужен статический маршрут. Т.к клиенты не могут достучаться до dns через vpn туннель.
Поэтому и нужен маршрут

[Денис]

Yan, Понял, спасибо за наводку!

[Drno]

Денис, ну вот винда и берет этот DNS... раз там микротик, то он в первую очередь опросит свои DNS, а уж потом VPNовский...
Как вариант, сделать фаерволом у клиента редирект запросов на IP облачного микротика, но эт чет изврат... над поискать приоретизацию DNS в самом микротике, не было пока такой задачи нигде

[Денис]

Drno, да уж, озадачил я вас :)))

[Денис]

Drno, Еще если может знаете, тот факт что DNS берется не у VPN сервера, влияет на защиту данных? То-есть вся суть sstp сервера в том чтобы закрыть провайдеру видимость. Помимо доступа к заблокированным сайтам.
Я через wireshark смотрел траффик, честно сказать в некоторых моментах вместо иероглифов четко читаемые данные.

[Drno]

Денис, суть sstp в создании ВПН канала, а не в закрытии видимости для провайдера)

[Денис]

Drno, хм все поголовно утверждают про шифрование и закрытие трафика от провайдера.

[Drno]

Денис, ну изначально ВПН задумывался для безопастной связи двух и более удаленных сетей)) это уже с приходом цензуры его начали использовать для сокрытия в том числе трафф ))

Вы можете по сути просто завернуть запросы DNS от клиентов на микротике в сторону ВПН сервера, должно работать. С помощью маркировки трафф