Как перенаправить DNS в MikroTik для поддержки Active Directory
В этом руководстве вы узнаете, как настроить перенаправление DNS на MikroTik для обработки запросов к зоне company.lan DNS-сервером 192.168.1.10, что необходимо для работы домена Active Directory. Мы рассмотрим настройки удалённых запросов, правила брандмауэра и два метода перенаправления.
Дано:
- MikroTik: 192.168.1.1 - DNS-Сервер для локальной сети;
- Windows AD DC: 192.168.1.10 - DNS-Сервер обслуживающий зону company.lan.
Необходимо, чтобы все запросы, связанные с зоной company.lan, обслуживались DNS-Сервером 192.168.1.10.
Настройка DNS:
Для поддержки перенаправления DNS необходимо, чтобы на DNS-Сервере была включена опция "Allow Remote Requests".
Настройка Firewall:
/ip firewall filter
add action=accept chain=input protocol=udp dst-port=53 in-interface=!wan
add action=drop chain=input in-interface=wanПеренаправление DNS:
C использованием статических записей DNS:
/ip dns static
add forward-to=192.168.1.10 regexp="((^)|(\.))company.lan$" type=FWDИли через Layer7 Protocols, Mangle и NAT (для версий RouterOS до 6.47):
/ip firewall layer7-protocol
add name=company.lan regexp=company.lan
/ip firewall mangle
add chain=prerouting dst-address=192.168.1.1 layer7-protocol=company.lan action=mark-connection new-connection-mark=company.lan-fwd protocol=tcp dst-port=53
add chain=prerouting dst-address=192.168.1.1 layer7-protocol=company.lan action=mark-connection new-connection-mark=company.lan-fwd protocol=udp dst-port=53
/ip firewall nat
add action=dst-nat chain=dstnat connection-mark=company.lan-fwd to-addresses=192.168.1.10
add action=masquerade chain=srcnat connection-mark=company.lan-fwdГотово. Также, этот подход применим, если удаленные клиенты, подключенные по L2TP/IPsec туннелю к MikroTik, требуют доступа к доменной зоне сервера DC Active Directory.