Перейти к содержанию

Domain Overrides (Split-DNS)

Представим себе ваш MikroTik выступает в роли маршрутизатора удалённого филиала. На нём поднимается VPN до центрального филиала прописываются маршруты и прочее. У вас доменная авторизация все компьютеры в домене, естественно хорошей практикой на компьютерах прописать DNS сервера который обслуживают Active Directory службы. Но в таком случае если туннель по какой-то причине упадёт ваш филиал останется без интернета, а ведь интернета может не быть в центральном филиале. Да перестанут работать различные шары и прочее, конечно для этих целей существует как минимум RODC, но навсегда есть возможность установить подобный сервис в филиале ввиду множества различных проблем.

На практике:

  • MikroTik: 192.168.5.1 - DNS-Сервер для локальной сети;
  • Samba AD DC: 192.168.5.10 - DNS-Сервер обслуживающий зону local.net.

Необходимо, чтобы все запросы, связанные с зоной local.net, обслуживались DNS-Сервером 192.168.5.10.

В pfSense такая возможность присутствует из коробки и делается немного проще чем в MikroTik.

Note

Начиная с версии RouterOS v6.47, появилась возможность пересылки запросов с помощью встроенного DNS-сервера. Раньше это делалось костылями через L7.

DNS Settings

Для поддержки Domain Overrides необходимо, чтобы на DNS-Сервере была включена опция Allow Remote Requests.

/ip dns
set allow-remote-requests=yes

Настройка Firewall

Разрешаем работу DNS-Сервера на всех интерфейсах, кроме WAN.

/ip firewall filter
add action=accept chain=input protocol=udp dst-port=53 in-interface=!wan
add action=drop chain=input in-interface=wan

Domain Overrides

Делается это в меню DNS через управление статическими записями. Обязательным условием для работы является отключенный DoH.

/ip dns static add forward-to=192.168.5.10 regexp="((^)|(\.))local.net$" type=FWD
- .*\\.local\\.net
- ^.+(local).net
- ^.+local.net
- ".*local\\.net"