Всем привет.
Один неумный человек сделал локальную сеть с существующей "внешней" адресацией, которая принадлежит американскому провайдеру. Так вышло.
В итоге, имеется микротик CCR1009 соединённый ipsec'ами и l2tp со 120-ю другими микротиками rb750, 941 и проч. Почти все они (120 шт.) нормально резолвят наш сервер, но единицы из них долбятся в Америку. Как можно решить эту проблему без указания явных маршрутов?
что значит одни нормально резолвят, а другие долбятся в америку?
если у вас домену прописан адрес из "америки" то и резолвиться он будет в этот адрес. если же у вас роутеры пытаются вместо туннеля гнать трафик через интернет то тут надо ковырять маршрутизацию
Wexter, да, так и происходит. Трафик идёт через внешку, в обход туннеля. Хотя фаерволлом разрешен вход только с наших локальных сетей, в которых и эта "американская".
По описанию, ваша проблема не имеет отношения к DNS, т.к. она не в том, что имя не резолвится, а в том что где-то маршрута не хватает.
И ответ: таки добавлять маршруты. Но делать это не обязательно руками, можно использовать OSPF, например.
Можно нарисованную схемку сети, пусть не 120 узлов, но хотябы на нескольких покажите что куда подключено и что куда идет, где америка, где ваш сервер, и на каком роутере неправельная адресания локальной сети?
Anton, с ipsec не знаком, но если бы были l2tp, pptp, то нужена на удаленном микротике1 днс запись (/ip dns static add) с вашим сервером и его ip. Дальше нужно маршрут прописать на ваш сервер в интерфейс ipsec (не знаю есть ли такие интерфейсы). Т.е. получается мы идем на сервер, резолвим его ip 100.0.0.5, идем на 100.0.0.5 и маршрутом попадаем в ipsec. А вот без указания явных маршрутов не знаю даже.
Средний
