Есть два офиса и их сети. В обоих офисах стоят DFL-210. Обеспечивают интернет и IPsec канал между офисами.
DFL-1 - Центральный - сеть 192.168.1.0/24
DFL-2 - Дочерний - сеть 192.168.2.0/24

Оба офиса в одной Active Directory (AD). Следовательно, всем клиентам в качестве DNS сервера раздаются адреса двух внутренних DNS серверов 192.168.1.1 и 192.168.1.2.

В дочернем офисе на DFL поднят DHCP сервер, который раздает клиентам два DNS сервера 192.168.1.1 и 192.168.1.2, находящихся в центральном офисе.

Вопрос: В случае недоступности центрального офиса и его DNS серверов хочется, чтобы клиентам дочернего участка автоматически были бы доступны DNS серверы Гугла.

Раздавать клиентам одновременно свои DNS серверы и серверы Гугла - не вариант, т.к. клиенты не смогут всегда корректно доступаться к Active Directory.

Понятно, что можно поднять в дочернем офисе свой DNS сервер, который бы для AD резолвил имена через внутренние серверы, а остальные через серверы Гугла. Но хочется обойтись только средствами DFL.

Думал, думал. Так и не придумал, можно ли реализовать такое чисто средствами DFL.

Другими словами, хочется клиентам дочернего офиса раздавать пару неких адресов DNS серверов, которые бы при доступности головного офиса указывали на внутренние DNS серверы в центральном офисе. А при недоступности центрального офиса - указывали на DNS серверы Гугла.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

это будет правильное решение , но я бы немного усовершенствовал бы его , в качестве пересылки на этом сервере указал бы вышестоящие сервера провайдера . и в каждом офисе сделал бы приоритетным свой близ лежащий DNS.
релеить так хитро не получится .

хотя могу предположить, что первыми идут локальные DNS, а за ними например отрелееный через DFL - гугловский.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Боюсь, не получится... Чтобы было надежно - потребуется локальный DNS, который резолвит адреса и через тоннель, и до провайдера и Гугла.
имхо.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Юр, а сколько хостов в подсетях?
Наверняка во второй подсети есть какая-то круглосуточная машина. Поставить на нее какой-нибудь DNS Redirector.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В главной около 15-ти. В дочерней - 5.

Мне кажется, я придумал, как это сделать. Пока писать не буду. Обмозгую, может смоделирую. И дам другим возможность что-то придумать...
Главное, на забыть суть за это время.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

суть можно воткгуть и кэширующий DNS на какой нибудь виртуалке под никсами , или на микротике .
вариантов костылей приходит миллион в голову.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Сделал и проверил. Замечательно работает.

1. На DFL-2 (филиал) в настройках IPsec убрать галку формирования автоматического маршрута до сети 192.168.1.0/24. Создать в таблице main аналогичный маршрут вручную и настроить на нем ICMP мониторинг.

2. Создать правила вида
SAT lan lannet wan DNS_1_ip(это 192.168.1.1) all-services (вкладка SAT dest -> 8.8.8.8 )
NAT lan lannet wan DNS_1_ip all-services
Для DNS сервера 192.168.1.2 полностью аналогично
Правила NAT можно не создавать, если правила SAT разместить непосредственно выше существующего правила
NAT lan lannet wan all-nets all-services

Пояснения:
1. При недоступности главного офиса маршрут до сети 192.168.1.0/24 будет отключаться и поиск DNS серверов 192.168.1.1,-2 будет происходить по основному маршруту через wan интерфейс.
2. Правила SAT/NAT при этом обеспечат подмену адресов назначения с 192.168.1.1,-2 на 8.8.8.8, 8.8.4.4
Сервис all-services применяется для простоты, чтобы помимо DNS протокола проходили пинги и трассировка. Для прохождения трассиролвки в сервисе all-services должна быть включена галка обработки ошибок. Либо вместо all-services можно указать группу сервисов DNS (TCP/UDP) и ping-outbound.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Прикольно ....
но в этом случае ( это конечно мое дело ) будут резольвится только интернет адреса , а локальных не будет .... или это не критично ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не критично, поскольку в это время нет связи с главным офисом, контроллером домена и основными сетевыми ресурсами.

Когда канал восстановится будут срабатывать внутренние DNS серверы.

Мне давно такое хотелось сделать. Т.к. когда падал канал с главным офисом (по разным причинам), народ из филиала звонил и говорил, что нет инета. Хотя, на самом деле, были всего лишь недоступны DNS серверы. Мне приходилось подменять в DHCP сервере DNS серверы на Гугловские и предлагать юзерам обновить IP адреса. Потом же, при восстановлении связи, возвращать старые настройки.

А сейчас всё автоматически. Лепота-а-а-а!

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

приму на вооружение ....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку