Как проверить на Mikrotik какие dns сервера он использует?

Question

[Виталий]

Всем доброго! Столкнулся с проблемой того, что на одном из моих провайдеров некий ресурс (назовем его mysite.com) не доступен по доменному имени, тоесть по ip он доступен (нормально пингуется) а вот по имени не работает, ответ mikrotikа команды ping:

invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    while resolving ip-address: could not get answer from dns server

Хотя на другом провайдере все хорошо. DNS на Mikrotik настроил свои, тоесть гугловские (не гугловские тоже пробовал), dns провайдера не использую.
Настройки DNS:

[admin@MikroTik] > /ip dns print 
                      servers: 8.8.8.8,8.8.4.4
              dynamic-servers: 
        allow-remote-requests: no
          max-udp-packet-size: 4096
         query-server-timeout: 2s
          query-total-timeout: 10s
       max-concurrent-queries: 100
  max-concurrent-tcp-sessions: 20
                   cache-size: 2048KiB
                cache-max-ttl: 1w
                   cache-used: 18KiB

[admin@MikroTik] > /ip dhcp-server network print 
 # ADDRESS            GATEWAY         DNS-SERVER      WINS-SERVER     DOMAIN                                                                                                                                            
 0 ;;; default configuration
   192.168.88.0/24    192.168.88.1    8.8.8.8        
                                      8.8.4.4

Вариант прибить статично, не подходит, так как mysite.com лежит не на одном ip.

Может кто нибуть сталкивался с подобным ?
Каким образом проверить какие dns сервера использует микротик и подключенные к нему устройства, и в чем собствено проблема ?

Answer 1

[CityCat4]

Независимо от того, используются провайдерские DNS или нет, если mysite.com в списках РКН - провайдер будет его банить. Например, путем перехвата DNS-запросов по порту 53. Если в них содержится запрос на резолв mysite.com, такие пакеты могут тупо дропаться. Нет резолва - нет коннекта.

Comments

[Виталий]

а как мне это проверить?

[Ziptar]

Виталий:
https://habrahabr.ru/post/228305/
Но в данном случае стоит запускать в обход роутера.

Answer 2

[Maxim_Q]

allow-remote-requests: no

На микротике не работает твой DNS, вообще. нужно сделать allow-remote-requests: yes
Потом в системе нужно прописать как DNS IP-адрес микротика.
Только тогда заработает и все будет нормально (при условии что ты верно настроил Firewall).

И еще в меню: IP -> DHCP Client - > для eth1 зайди в настройки и сними галочки: Use Peer DNS.
Это чтобы не использовать DNS от провайдера.

Answer 3

[Ziptar]

Каким образом проверить какие dns сервера использует микротик

/ip dns print

и подключенные к нему устройства, и в чем собствено проблема ?

Проверяйте фаервол.
Микротик должен иметь возможность послать запрос (output chain) на 53-ий порт udp (dst-port) в сторону провайдера, и, соответственно, получить ответ (input chain) с 53-его udp порта (src-port) с той же стороны.

Comments

[Виталий]

Фаерволы я тоже поднастроил

[admin@MikroTik] > /ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    chain=output action=accept protocol=udp out-interface=pppoe-out2 port=53 log=no 

 2    chain=input action=accept protocol=udp in-interface=pppoe-out2 port=53 log=no

[Ziptar]

Должно работать.

Прошу прощения, я не совсем понял - такое только с одним сайтом, или со всеми?

[Виталий]

Константин Антонов: Все не проверял :) но другие сайты как бы работают

[Ziptar]

Виталий:
Тогда Вам верно ответили - скорее всего это блокировка конкретного ресурса со стороны провайдера путём перехватов запросов к dns.
Гуглите DNSCrypt.