Сергей, эм.. ну в статье вполне описано как именно проходит процесс.
Но если вы используете ms-chap (а он вроде по умолчанию) то пароль не передается в явном виде, хотя на основе него и происходит проверка подлинности клиента.
Fri Jul 15 15:44:17 2016 : Auth: Login OK: [sheraz] (from client test port 2128 cli 78-4b-87-46-55-93)
дата - Успешная авторизация [%USERNAME] с клиента test (название свичика или точки доступа) мак адрес конечного устройства
Fri Jul 15 21:36:39 2016 : Auth: Login incorrect: [Test2/] (from client test port 2126 cli 3c-bb-fd-37-aa-47)
дата - отказ (неправильный логин через тип проверки MSCHAP) с клиента test (название свичика или точки доступа) мак адрес конечного устройства
Vladimir Zhurkin: если запрошу nslookup zabbix.domain.ru IP_микротик то правило отрабатывает 100 из 100.
и на андроид+вин где dns приходит по dhcp и там IP_микротик все работает исправно.
мистика и только.
по идее бы не важно что делает dnsmasq .. пакеты должны быть перехвачены и отправлены куда надо, но этого не происходит
Vladimir Zhurkin: ответ конечно приходит.. тока имя не резолвит ибо публичные dns не содержат нужных адресов.. они есть только во внутреннем dns (172.16.10.110)
по непонятной причине запросы приходят именно в резолвер самого микротика, а не в правило которе делает dst-nat..
в тоже время если сделать даже от балды на компе с убунту
nslookup zabbix.domain.ru 1.1.1.1
то правило сработает и я получу ответ