Statikus DNS bejegyzések nem mennek VPN mögül

Hálózatok általános

A következő problémával kapcsolatban szeretnék segítséget kérni:

Van egy PPTP VPN hálózatom egy Ubiquity Edgerouter (192.168.0.x) és egy Mikrotik router (192.168.88.x) között. Az Ubiquity-ben vannak statikus DNS bejegyzések amik a Ubiquity hálózatában működnek rendesen. A célom az lenne, hogy ezek a DNS entryk elérhetőek legyenek a Mikrotik hálózatán is (IP alapján elérem őket).

A Mikrotik DHCP szerverében beállítottam, hogy a DNS szerverek közé tegye be a Ubiquity routert is, ez meg is történt: 


mm@lapos:~$ nmcli dev show | grep DNS
IP4.DNS[1]:                             192.168.88.1
IP4.DNS[2]:                             192.168.0.1

Azonban nem tudok feloldani egy túloldali entry-t sem: 


mm@lapos:~$ dig sapsrv

; <<>> DiG 9.10.3-P4-Ubuntu <<>> sapsrv
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 55966
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;sapsrv.                                IN      A

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Jul 17 08:33:55 CEST 2018
;; MSG SIZE  rcvd: 24

Azonban ami felettébb érdekes, hogy a tcpdump lát olyan csomagokat amiben a megfelelő IP van: 


mm@lapos:~$ sudo  tcpdump -n host 192.168.0.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan0, link-type EN10MB (Ethernet), capture size 262144 bytes
08:41:46.376207 IP 192.168.88.252.39675 > 192.168.0.1.53: 62499+ [1au] A? sapsrv. (35)
08:41:46.397317 IP 192.168.0.1.53 > 192.168.88.252.39675: 62499* 1/0/1 A 192.168.0.30 (51)
  • 1004 megtekintés

( blackluck v | 2018. 07. 17., k – 08:59 )

Mit mond dig ha dns szervereket kerdezed vele?
dig sapsrv @192.168.88.1
dig sapsrv @192.168.0.1

Ha felcsereled a dns szerverek sorrendjet valtozik a dolog?
Ubiquity router ugyanugy felold minden dns kerest mint a masik csak van benne par extra local is vagy masikban is van olyan ami csak abban van?

"Nem úgy működik a DNS feloldás, hogy ha az elsődlegesen nem tudja feloldani akkor fallbackel a másodikra?"
Nem. Ha például az elsőnek megkérdezett szerver egyáltalán nem válaszol, akkor a timeout letelte után megkérdez másik szervert is. De ha az elsőnek megkérdezett szerver ad választ, de a válasz az, hogy nincs ilyen domain (NXDOMAIN), akkor azt nem kérdezi meg már másik szervertől ismét, hiszen a kérdésre a választ megkapta.

Ha megnézed a nyitó posztban szereplő dig kimenetét, látható, hogy a lapos nevű eszközön saját magát kérdezted, és a 127.0.0.1-től NXDOMAIN-t kaptál vissza eredményként. Tehát ott nem a 192.168.0.1-et vagy a 192.168.88.1-et kérdezted közvetlenül.

Éppen ezért, a saját kezedben levő NS hálózatot megfelelő függőségekkel kell felépíteni. Jelen esetben: A Mikrotik NS1-e legyen a Ubi, így eleve cache-eli a static entry-ket is és továbbadja a klienseinek. Az NS2 legyen külső, így ha szakad a VPN, akkor is tud honnan kérdezni minden mást.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

# By default, dnsmasq will send queries to any of the upstream
# servers it knows about and tries to favour servers to are known
# to be up. Uncommenting this forces dnsmasq to try each query
# with each server strictly in the order they appear in
# /etc/resolv.conf
#strict-order

Sosem szabad bizni a query orderben.

Nem tudom mikrotik meg ubiquity milyen dns service-t hasznal, de csak tud forward zona-t kezelni, amivel akkor meg lehet adni hogy adott host vagy domain-t melyik masik dns szervertol kerdezze le.
Tehat pl mikrotikban csinalni mikro.local domain-t ami ala felvenni a mikrotik alatt felkonfiguralt dns bejegyzeseket, masik routeren meg beallitani forward zonanak a mikro.local-t a mikrotik dns-etol kerdezze le. Kliensnek meg search domainban megadni mikro.local ubi.local stb.