Проблемы с DNS

Тема в разделе "Общий форум", создана пользователем West, 18 апр 2017.

  1. West

    West Новый участник

    Имею следующую конфигурацию.
    1-й Микотик hAP ac lite (домашний раздает интернет) за ним стоит 2-ой Микотик CRS125-24G-1S в режиме роутера (необходимо настроить)
    сеть hAP ac lite 192.168.7.0/24
    сеть CRS125-24G-1S 192.168.10.1/24
    такая проблема
    захожу в терминал 1-го Микотик набираю ping ya.ru идут нормальные пинги
    захожу в терминал 2-го Микотик набираю ping ya.ru и получаю

    invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    while resolving ip-address: could not get answer from dns server

    в настройках DNS 2-го микротик стоят 192.168.7.1 шлюз 1-го Микотик и два IP выданных провайдером ну и соответственно DNS кеш пустой

    подозреваю что или правила файервола или что-то с нат.

    При простом подключении компа ко второму микротик интернет нормально ходит.
    варианты снять домашний и поставить клиентский не всегда удобно.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Поддержу ваши подозрения. Но пока не увижу конфигов помочь не смогу.
     
  3. West

    West Новый участник

    Проблема решилась удалил все правила файервола создал их заново все заработало. в чем был прикол так и осталось тайной.
     
    Mama нравится это.
  4. Aunique

    Aunique Новый участник

    Добрый день! Прошу помощи. Проблема та же.
    Интернет работает, из терминала с микротика ping по ip-адресу проходит, по имени узла выходит ошибка, как в топике:
    invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    while resolving ip-address: could not get answer from dns server

    Отключаю 4 снизу правило в фаерволе - разрешение имен начинает работать, но отключать-то его не хочется, нафига мне входящий мусор и DNS-запросы?

    Подскажите что исправить.

    /ip firewall filter
    add action=accept chain=input protocol=icmp
    add action=accept chain=forward protocol=icmp
    add action=accept chain=input connection-state=established connection-type=""
    add action=accept chain=forward connection-state=established
    add action=accept chain=input connection-state=related
    add action=accept chain=forward connection-state=related
    add action=accept chain=forward connection-state="" dst-port=8129 in-interface-list=LAN protocol=tcp
    add action=accept chain=forward comment="LAN" connection-type="" in-interface-list=LAN src-address=10.0.0.0/24
    add action=accept chain=forward comment="!WAN FreeWiFi" connection-type="" in-interface-list=!WAN src-address=172.16.88.0/24
    add action=accept chain=forward comment="LAN VPN." connection-type="" in-interface-list=LAN src-address=172.16.20.0/24
    add action=accept chain=input comment="VPN" dst-port=1723 protocol=tcp
    add action=accept chain=input comment="SSTP test." dst-port=443 protocol=tcp
    add action=drop chain=input connection-state=invalid
    add action=drop chain=forward connection-state=invalid
    add action=drop chain=input in-interface-list=WAN
    add action=accept chain=forward comment="internet for FreeWiFi to all WAN" in-interface=ether10 out-interface-list=WAN
    add action=accept chain=forward comment="internet for LAN to all WAN" in-interface-list=LAN out-interface-list=WAN
    add action=drop chain=forward
     
  5. Денис Друженков

    Денис Друженков Администратор Команда форума



    Сделайте фаервол на основе стандартного:

    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
    add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
    add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

    У вас он слишком усложнен...
    Потом тестируйте все должно заработать.
     
  6. Мышаня

    Мышаня Участник

    /ip dns set allow-remote-requests=yes есть?
    не хочется дропать всё и открывать то что нужно? Тогда дропаем днс на wan порту
    /ip firewall filter
    add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=ether1 protocol=udp
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp

    А так, да, забиваем сперва стандартный фаервол, а потом добавляем всё что надо
     
  7. Aunique

    Aunique Новый участник

    /ip dns set allow-remote-requests=no - закрыто.
    Получается, что правило
    add action=drop chain=input in-interface-list=WAN
    дропает запросы микротика к dns-серверам, нужно наверное выше разрешить запрос от него на DNS?
    Что-то типа
    add action=allow chain=output comment="From Mikrotik HQ DNS" dst-port=53 out-interface-list=all protocol=udp
     
  8. Денис Друженков

    Денис Друженков Администратор Команда форума

    add action=accept chain=input connection-state=established connection-type=""
    вот тут возможно ошибка, поле connection-type="" пустое, по идеи оно не отрабатывает у вас
     
  9. Aunique

    Aunique Новый участник

    Денис! Спасибо! Да, была ошибка.