Как настроить микротик чтобы он автоматически подхватывал маршрут до удаленной сети?

Question

[Михаил]

Ситуация следующая: имеется компьютер с Windows 10, подключенный к Mikrotik hAP Lite (RB941-2nD), RouterOS v6.45.8

Подключение к интернет через PPPoE.

Windows успешно устанавливает L2TP соединение с корпоративной сетью, получает по DHCP маршруты и DNS-суффиксы. Таким образом, когда я пишу в командной строке ping gitlab.{company}.app - компьютер успешно резолвит имя хоста в адрес типа 10.10.10.50 и устанавливает с ним связь. По выводу tracert я четко вижу, что пакеты идут в корпоративную сеть и в интернет по разным маршрутам (то есть VPN в корпоративной сети не является шлюзом по умолчанию)

Хочу чтобы тоже самое было на микротике. То есть чтобы роутер (а не компьютер) поднимал L2TP-соединение и разруливал трафик - этот в интернет (то есть в PPPoE интерфейс), а этот - в корпоративную сеть (то есть в L2TP).

Как настроить L2TP я нашел, соединение устанавливается. Но как сделать чтобы микротик также как виндовс подхватывал маршруты в корпоративную сеть и DNS оттуда - понять пока не могу. Подскажите, пожалуйста, как это правильнее всего сделать?

Comments

[Drno]

в соединения l2tp указать - use peer DNS

так же в меню - ip>routes прописать маршрут до удаленной подсети
типа вот так

[Михаил]

Drno, проблема в том, что у меня нет в свойствах l2tp интерфейса такой опции "Use Peer DNS"
Указать маршруты вручную, конечно, можно. Но если Windows может получать настройки по DHCP - почему микротик так не может?

[Михаил]

Drno, еще одна засада: настроил маршруты на микротике. Когда в консоли микротика ввожу ping 10.10.10.50 - пинг идет, то есть маршруты прописаны корректно и работают.
Когда в консоли компьютера ввожу тот же самый ping - нифига. То есть, такое ощущение, что в настройках микротика чего-то не хватает.

[Михаил]

Так, с маршрутами разобрался - нужно было добавить l2tp-интерфейс в группу WAN. Маскарадинг его подхватил, пинги с компьютера побежали.

[Михаил]

poisons, хорошо, а чем там пахнет? Windows стандартным клиентом подхватывает все настройки корпоративной сети - маршруты и DNS

[Drno]

poisons, при чем тут dhcp и с чего он не работает?

[Drno]

Михаил, DNS сервер в винде указан - микротик?
В DNS серверах микротика появляются еще записи? От l2tp клиента?
Какая версия РоутерОС?

[Михаил]

Drno, вот только что обновил RouterOS до 7.1.3
Пункт Use Peer DNS появился. Поставил YES.

На вкладке DNS есть 4 dynamic servers - 2 провайдерских, 2 корпоративных.

Пинг до корпоративных IP идет.
DNS не работает.
Причем если дать команду /resolve {domain} server {dns_ip}
То запись корректно резолвится, попадает в кэш и нормально работает.
То есть корпоративный DNS корректно работает, но микротик почему-то к нему не обращается.

[Drno]

Михаил, поставьте exclusive для DNS

[Михаил]

Drno, спасибо, заработало наконец-то!

Answer 1

[Михаил]

С помощью Drno проблема решилась следующим образом:

1. Обновить версию RouterOS до 6.49.4 (7.1.3 работала нестабильно, мне не понравилось. Сделал даунгрейд)
   
2. Поставить в настройках L2TP-интерфейса флаг Use Peer DNS = exclusive
   
3. В IP / Routes прописать маршруты до корпоративной сети через L2TP-интерфейс
   
4. Добавить L2TP-интерфейс в группу WAN (чтобы заработал NAT)
   

Как результат - все запросы DNS идут через корпоративные DNS-серверы.
Однако трафик маршрутизируется нормально - корпоративный в L2TP, остальной - в интернет.

Comments

[Drno]

Я тож просто сталкивался с этой фигней. В плане DNS.
По логике микротика он первые 2днс опросил и ладно. А с этой настройкой он начинает опрашивать с l2tp dns в первую очередь, если конечный запрос должен идти внутрь впн

[Михаил]

Drno, точнее он другие DNS вообще не опрашивает, только те что в l2tp.

С опущенным l2tp работают DNS провайдера. С поднятым - корпоративные.

[Михаил]

Drno, нашел еще одно решение, без геморроя с Peer DNS (отключил опцию вообще)
Просто взял и по regex прописал dns forwarding на корпоративные DNS
Теперь все вообще прекрасно - только корпоративный трафик заходит в корпоративную сеть.