Не открываются локальные сайты с 1го раза?

Question

[Diman89]

есть локалка с микротиком в роли основного роутера с несколькими подсетями
в локалке также есть windows server в роли dns-сервера
на микротике (для примера одна из подсетей) такой конфиг:

/ip dhcp-server network
add address=192.168.25.0/24 comment=DHCP_eth5_1215_customers dns-server=192.168.25.4,192.168.25.1,8.8.8.8,1.1.1.1 gateway=192.168.25.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1
/ip dns static
add address=192.168.25.1 name=gw.local
add address=192.168.25.4 name=winsrv.local

конфиг на dns-сервере:

Адаптер Ethernet 1215_customers:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Физический адрес. . . . . . . . . : 00-0C-29-72-2D-00
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : 
   IPv4-адрес. . . . . . . . . . . . : 192.168.25.4(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 25 декабря 2020 г. 19:05:36
   Срок аренды истекает. . . . . . . . . . : 27 декабря 2020 г. 21:49:59
   Основной шлюз. . . . . . . . . : 192.168.25.1
   DHCP-сервер. . . . . . . . . . . : 192.168.25.1
   IAID DHCPv6 . . . . . . . . . . . : 
   DUID клиента DHCPv6 . . . . . . . : 
   DNS-серверы. . . . . . . . . . . : 192.168.25.4
                                       192.168.25.1
                                       8.8.8.8
                                       1.1.1.1
   NetBios через TCP/IP. . . . . . . . : Включен

+ в качестве сервера пересылки указан 192.168.25.1 (gw.local)
проблема: при обращении к сайту, расположенному внутри сети 192.168.25.0/24 из другой локальной подсети (192.168.ХХ.0/24) в браузере через раз (постоянно) получаю ошибку "Хмм. Нам не удаётся найти этот сайт." или "Попытка соединения не удалась" при обращении из "своей" подсети все работает с 1го раза как надо
в чем может быть проблема?

Comments

[Дмитрий]

Телепаты ушли угадывать новогодние подарки. Покажите схему сети

Answer 1

[nApoBo3]

Нужно более подробное описание.
Хотя бы схему сети с описание адресов сайтов которые вы пытаетесь открыть.
Судя по симптомам не все ДНС у вас в сети знаю адрес данного сайта. Когда запрос идет к ДНС которому данный адрес не известен все будет выглядеть именно так.
Например это локальный ресурс и в 8.8.8.8 для него записи нет.

Comments

[Diman89]

например, в одной из локальных подсетей есть виртуалка с nextcloud (ip=192.168.26.6, домен nc.local)
на виндовом dns-сервере есть такая зона и в ней есть и прямая и обратная запись с этим именем на этот ip
на микротике в ip dns static также есть А-запись для этого ip и домена
при этом на проблемных сетях ping\tracert\nslookup до nc.local проходят с 1го раза корректно

[nApoBo3]

Diman89, но в 8.8.8.8 у вас записей для данной зоны нет. При обращении клиента к 8.8.8.8 он будет получать ошибку.
Что интересно, браузер и nslookup с днс запросами работает несколько различно, в чем именно различие я не знаю, но не однократно наблюдал картину когда nslookup отрабатывает корректно, а в браузере твориться различная дичь, вплоть до полной неработоспособности резолва днс адресов, особенно когда один из dns серверов не отвечает.

Сказать, что-то более конкретно без схемы сети и конфигов оборудования вряд ли возможно.

[Diman89]

nApoBo3, а с какой стати клиент к 8.8.8.8 будет вообще обращаться? оно стоит третьим по счету, если у первых двух записей не будет, а они там есть.
по конфигам что-то еще добавить нужно? схему если добавлю позже (в микротике каждый порт индивидуален, бриджа нет. он воткнут каждым своим портом в коммутатор, на котором порты разделены на vlan и в этот же коммутатор воткнут сервер и пользователи. никаких изысков, все стандартно)

[Дмитрий]

Diman89, браузер может применять DoH или DoT, и эти dns запросы не попадут на ваш dns сервер

[nApoBo3]

Diman89, в любой непонятной ситуации с сетью снимайте дамп, там будет четко видно куда пошли днс запросы и какие.

[Diman89]

Дмитрий, продублируйте пжл ваш ответ про использование DoH браузером- причина была в этом - отмечу решением

Answer 2

[MaxKozlov]

По хорошему надо оставить один dns сервер в сети, а всякие 8.8.8.8 в нем настроить форвардерами. Клиенты (и сетевые карты) об их существовании не должны знать. Ну или два - микротик и винда. но настроены они должны быть аналогично. Знать друг о друге и локалке. остальное форвардить наружу

Answer 3

[RStarun]

1. У вас сервер dns получает адрес по dhcp, это нормально?
2. сетевой адаптер dns сервера должен иметь только одну запись dns - 127.0.0.1
3. в настройках самого сервера dns настраиваете адреса пересылки. И это должны быть нормальные адреса провайдера или приличных днс серверов, а не микротик.
4. для компов из другой подсети тоже должен быть указан только один сервер dns, только 192.168.25.4 Вот тут вероятно у вас проблема.
5. все проверки dns удобно делать через nslookup. Хотя он тоже не всегда все показывает.

Comments

[RStarun]

после каждого изменения сбрасываем кеши dns сервера и адаптеров которые задействованы в схеме (клиента и сервера)

[Diman89]

RStarun:
1 - да, мне так и надо. В микротике оно сделано статичным
2 - из-за п.1 нереализуемо, да и мне так не нужно
3 - настроены на 8.8.8.8 и 1.1.1.1
4 - иногда dns-сервер приходится выключать/перезагружать, поэтому только его ставить чревато. На микротике все записи продублированы в ip dns static

[MaxKozlov]

Diman89, по пункту 1. Можете пояснить, зачем? Не могу себе представить сценарий в котоом это может быть необходимо

[Diman89]

MaxKozlov, насколько знаю, в сети блокируется работа железок на которых статика прописана

[MaxKozlov]

Diman89, кем блокируется и на основе чего ?
Это магия чтоль какая-то? Dhcp запросы у винды по дефолту или после перезагрузки или раз в трое суток. А если не отслеживать запросы или не лезть в настройки самого компа, то определить какой адрес - статика или dhcp на основе самого пакета невозможно, насколько я знаю

[RStarun]

Diman89,
1. MS вам Warning на это дело показал при установке роли. Лучше статикой. В дхцп пуле пусть так и висит эта запись, чтобы другому не выдали.
2. почему не реализуемо, можете пояснить? Windows сервер при необходимости разрешить имя обращается неизвестно куда. Куда ему вздумается в данный момент времени. Пусть обращается к настроеному на нем DNS серверу за разрешением имени. А уже настроенный dns сервер если не знает нужного адреса пусть лезет на настроенные на нем адреса пересылки. Иначе оно работает нестабильно.
4. Хорошо. Если вы уверены что на микротике все IP адреса внутренние прописаны - отлично. Наверное можно использовать, но с этим вопросом нужно к микротистам чтобы подтвердили что в конфигурации днс нет косяков. Но судя по тексту выше вы и клиентам даете dns 1.1.1.1 8.8.8.8, как вы думаете, почему сервер 1.1.1.1 ничего вам не отвечает по поводу ваших внутренних адресов? Почему не резолвит my.company.local ?
Кстати, у вас и dns суффикс не прописан. Тоже может влиять при обращении по коротким адресам внутри вашей сети.