Melkij:
указал в DNS только 8.8.8.8 и 8.8.4.4
добавил еще одно правило в мангл
add action=mark-routing chain=output dst-port=53 new-routing-mark=wan2_traffic passthrough=no protocol=udp
и все поехало как надо - для обычных переадресация, для выпи - работает
при этом трассировка и лукап с обычных машин нормальные - до вконтакта или одноклассников, а не до блокирующего узла
не знаю в чем тут фишка, но почему-то работает )))))))
не знаю как долго это будет работать, но пока все нормально - пойду выпью водки
уффф...
Melkij: может натолкнет на какую-то мысль: если сделать дисконект вип провайдера и выполнить tracert с вип машины, то ответ от маршрутизатора приходит, понятно, что дальше он не идет, но сам маршрутизатор отвечает
после дисконекта, манглы, в которых явно указан интерфейс wan2, отключаются (становятся красными) и запрос идет другим путем, т.е. дело в манглах...
Melkij: большое спасибо, теперь я хоть знаю в чем причина, буду разбираться! :)
пользуясь случаем, хочу спросить: почему tracert с манглами не получает ответа от самого маршрутизатора - пишет звездочки?
можно, конечно, в маршрутизаторе в качестве DNS указать только гугловский, тогда фильтруемые ресурсы на пров1 будут просто недоступны, без всяких надписей "родительский контроль"... но это не совсем правильно, ведь локальные ресурсы прова станут недоступны, хоть они и не нужны, но в принципе ведь так?
извините, может чушь написал какую-то и забыл про кэш днс :/
очистил
похоже вы правы - с гугловскими ДНСами все работает
все делал с одной машины, но добавлял ее сначала в обычный список, потом в вип, предварительно очищая днс кэш
из под списка обычных клиентов:
*********************************** ДНС - на контроллер домена
nslookup vk.com
*** Can't find server name for address 192.168.1.100: Non-existent domain
Server: UnKnown
Address: 192.168.1.100
Non-authoritative answer:
Name: vk.com
Addresses: 87.240.131.97, 87.240.131.99, 87.240.143.241
-----------------------
tracert vk.com
Трассировка маршрута к vk.com [92.255.241.101]
с максимальным числом прыжков 30:
1 * * * Превышен интервал ожидания для запроса.
2 8 ms 1 ms 1 ms 10.81.255.126
3 <1 мс 1 ms <1 мс lag-2-435.bgw01.voronezh.ertelecom.ru [109.195.5
6.18]
4 21 ms 21 ms 21 ms lag-2-435.bgw01.nn.ertelecom.ru [91.144.185.82]
5 * * * Превышен интервал ожидания для запроса.
6 22 ms 21 ms 51 ms parent-control.filter.ertelecom.ru [92.255.241.1
01]
Трассировка завершена.
из под списка вип
*********************************** ДНС - на контроллер домена
(на контроллере нет обратной зоны)
nslookup vk.com
*** Can't find server name for address 192.168.1.100: Non-existent domain
Server: UnKnown
Address: 192.168.1.100
Трассировка маршрута к vk.com [92.255.241.101]
с максимальным числом прыжков 30:
1 * * * Превышен интервал ожидания для запроса.
2 2 ms 1 ms 1 ms 93.88.133.200
3 4 ms 1 ms 1 ms 10.100.100.4
4 8 ms 8 ms 8 ms m9-gw5-ae3-1059.msk.anders.ru [87.251.135.193]
5 8 ms 8 ms * m9-gw4-po28.msk.anders.ru [81.91.177.49]
6 8 ms 8 ms 8 ms ertelecom-peer.msk.anders.ru [81.91.178.46]
7 36 ms 36 ms 36 ms lag-2-435.bgw01.nn.ertelecom.ru [91.144.185.82]
8 * * * Превышен интервал ожидания для запроса.
9 36 ms 51 ms 38 ms parent-control.filter.ertelecom.ru [92.255.241.1
01]
Трассировка маршрута к vk.com [87.240.131.117]
с максимальным числом прыжков 30:
1 * * * Превышен интервал ожидания для запроса.
2 <1 мс <1 мс <1 мс 93.88.133.200
3 1 ms 1 ms 1 ms joxnet-gw.kvant-telecom.ru [109.106.134.90]
4 1 ms 2 ms 1 ms joxnet-gw.kvant-telecom.ru [109.106.134.89]
5 17 ms 17 ms 17 ms as47541.ix.dataix.ru [178.18.224.200]
6 17 ms 19 ms 17 ms srv206-191-240-87.vk.com [87.240.191.206]
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 20 ms 20 ms 20 ms srv117-131-240-87.vk.com [87.240.131.117]
указал в DNS только 8.8.8.8 и 8.8.4.4
добавил еще одно правило в мангл
add action=mark-routing chain=output dst-port=53 new-routing-mark=wan2_traffic passthrough=no protocol=udp
и все поехало как надо - для обычных переадресация, для выпи - работает
при этом трассировка и лукап с обычных машин нормальные - до вконтакта или одноклассников, а не до блокирующего узла
не знаю в чем тут фишка, но почему-то работает )))))))
не знаю как долго это будет работать, но пока все нормально - пойду выпью водки
уффф...