Сергей, эм.. ну в статье вполне описано как именно проходит процесс.
Но если вы используете ms-chap (а он вроде по умолчанию) то пароль не передается в явном виде, хотя на основе него и происходит проверка подлинности клиента.
Fri Jul 15 15:44:17 2016 : Auth: Login OK: [sheraz] (from client test port 2128 cli 78-4b-87-46-55-93)
дата - Успешная авторизация [%USERNAME] с клиента test (название свичика или точки доступа) мак адрес конечного устройства
Fri Jul 15 21:36:39 2016 : Auth: Login incorrect: [Test2/] (from client test port 2126 cli 3c-bb-fd-37-aa-47)
дата - отказ (неправильный логин через тип проверки MSCHAP) с клиента test (название свичика или точки доступа) мак адрес конечного устройства
Vladimir Zhurkin: если запрошу nslookup zabbix.domain.ru IP_микротик то правило отрабатывает 100 из 100.
и на андроид+вин где dns приходит по dhcp и там IP_микротик все работает исправно.
мистика и только.
по идее бы не важно что делает dnsmasq .. пакеты должны быть перехвачены и отправлены куда надо, но этого не происходит
Vladimir Zhurkin: ответ конечно приходит.. тока имя не резолвит ибо публичные dns не содержат нужных адресов.. они есть только во внутреннем dns (172.16.10.110)
по непонятной причине запросы приходят именно в резолвер самого микротика, а не в правило которе делает dst-nat..
в тоже время если сделать даже от балды на компе с убунту
nslookup zabbix.domain.ru 1.1.1.1
то правило сработает и я получу ответ
сейчас и есть правило
chain=dstnat action=dst-nat to-addresses=172.16.10.110 layer7-protocol=work_domain protocol=udp in-interface=home_net dst-port=53 log=yes log-prefix="work_dns_dnat"
add name=work_domain regexp=domain1.ru|domain2.ru
на микротике смотрел снифер.. пакеты исправно приходят на ip mikrotik
wireshark на ubuntu показывает тож самое.. разницы в пакетах между dnsmasq и простым запросом не увидел.
Единственное я не пробовал вот такой вариант.. чет не нашлось при поиске
/ip dns static add name=".*\\.lan\$" address=нужный вам днс сервер
просто нужно определится че хочется от железки
терминировать vlan? агрегировать трафик с уровня распределения? или выпускать все это дело в интернеты?