Надо wireshark запустить и посмотреть куда клиент отсылает DNS запросы. Похоже, что он пытается сделать запрос на DNS указанный на LAN интерфейсе, и последний в списке у него стоит 10.0.8.1
Какие кстати DNS указаны на LAN интерфейсе? Попробуй указать тот же DNS, что и в VPN.
Мне в освоении микротик помогли знания в Linux. Когда подходил в этому снаряду (микротик), был страшно, но когда понял что firewall работает в нем по схожей идеологии с iptables - все стало на свои места и больше вопросов не было. Из всех железок, что мне попадали в руки (SOHO роутервы не в счет) микротик это самое простое)
DblkEarl, В DHCP большая часть опция стандартизирована, но что делать когда вендору какого либо оборудования необходимо передать на свое устройство специфическую значение присущее только его оборудованию (адрес контроллера, адрес VoIP сервера)? Для этого действия нет выделенной опции, соответственно была определена 43 опция, которую каждый вендор может использовать на свое усмотрение. Когда ее использовать? - когда опция указана в документации по оборудованию.
Например
Ruckus WIFI и Cisco WIFI передаю в этой опции адрес контроллера.
Alexey Dmitriev, Майки рекомендую делать обратную зону, типа некоторые приложения могут работать медленнее из-за этого. Я для своих филиалов не делал и на грабли пока не наступал, все работает.
Никому не рекомендую такой путь (без реверс зоны), просто делюсь опытом эксплуатации.
vittmann, Вы поднимаете свой контроллер, на нем же DNS, присваеваете ему домен domain.local, ip 10.1.1.5. На микротике делаете фильтр, *.domain.local на 10.1.1.5, остальные домены на 8.8.8.8.
Все клиенты вводим в домен domain.local, в качестве DNS указываете IP микротика. Таким образом DNS не зависит от VPN и интернет работает когда не доступен домен.
Все запросы гонять на домен не обязательно, только запросы типа *.domain.local.
> 2. Трафик к контроллерам небольшой, 250 человек наверно мегабит в 5 влезут в пике.
Повышенную нагрузку на канал может вызвать установка софта через GPO и перемещаемые профили (загрузит кто-то в Мои документы фотки с отдыха и поплывут они на DFS).
> Может ли помочь приоритезация трафика и DNS,
На микротике можно фильтром разделить запросы, все запросы для домена направить в VPN, остальное сразу в мир.
