При организации единой корпоративной сети, и филиалов встает вопрос работы компьютеров в домене, как заставить резолвить DNS имена головного офиса компьютерами филиалов.
Существует несколько способов решения этой задачи.
Во первых вы можете поднять днс сервер и синхронизировать его с KD головного офиса. В принципе отличное решение вопроса, но чаще всего бывает что лишний компьютер никто выделять не станет, да и администрировать его тоже будет некогда, особенно если филиалов много.
В случае если стоят микротики можно настроить пересылку dns-запросов для определенного домена на dns головного офиса (Conditional DNS forwarding).
Итак задача: все днс-запросы mydomen для микротика 172.16.10.1 перенаправить на сервер 192.168.0.100
Реализуется это в firewall на уровне 7 (Layer7 Protocols).
задаем выражение для поиска в запросах
/ip firewall layer7-protocol add name=mydomain regexp=domain
Помечаем нужный трафик
/ip firewall mangle add chain=prerouting dst-address=172.16.10.1 layer7-protocol=mydomain action=mark-connection new-connection-mark=mydomen-dns protocol=udp dst-port=53
Далее перенаправляем помеченный трафик на нужный нам сервер
/ip firewall nat add action=dst-nat chain=dstnat connection-mark=domain-dns to-addresses=192.168.0.100
Эти три правила будут работать в том случае если уже установлено соединение и настроена маршрутизация, в ином случае нужно настраивать маршрутизацию.Но это уже другая история.
Для того чтоб перенаправлять все днс запросы с устройств на микротик достаточно такого правила
ip firewall nat add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=udp src-address=172.16.10.0/24 to-addresses=172.16.10.1 to-ports=53