mikrotik перенаправление dns для определенного домена

При организации единой корпоративной сети, и филиалов встает вопрос работы компьютеров в домене, как заставить резолвить DNS имена головного офиса компьютерами филиалов.

Существует несколько способов решения этой задачи.

Во первых вы можете поднять днс сервер и синхронизировать его с KD головного офиса. В принципе отличное решение вопроса, но чаще всего бывает что лишний компьютер никто выделять не станет, да и администрировать его тоже будет некогда, особенно если филиалов много.

В случае если стоят микротики можно настроить пересылку dns-запросов для определенного домена на dns головного офиса (Conditional DNS forwarding).

Итак задача: все днс-запросы mydomen для микротика 172.16.10.1 перенаправить на сервер 192.168.0.100
Реализуется это в firewall на уровне 7 (Layer7 Protocols).

задаем выражение для поиска в запросах

/ip firewall layer7-protocol add name=mydomain regexp=domain

Помечаем нужный трафик

/ip firewall mangle add chain=prerouting dst-address=172.16.10.1 layer7-protocol=mydomain action=mark-connection new-connection-mark=mydomen-dns protocol=udp dst-port=53 

Далее перенаправляем помеченный трафик на нужный нам сервер

/ip firewall nat add action=dst-nat chain=dstnat connection-mark=domain-dns to-addresses=192.168.0.100

Эти три правила будут работать в том случае если уже установлено соединение и настроена маршрутизация, в ином случае нужно настраивать маршрутизацию.Но это уже другая история.

Для того чтоб перенаправлять все днс запросы с устройств на микротик достаточно такого правила

ip firewall nat add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=udp src-address=172.16.10.0/24 to-addresses=172.16.10.1 to-ports=53