DNS в микротике⁠⁠

"Мыши плакали, кололись, но продолжали жрать кактус" :)))

Как было бы проще - покажи ты конфиг.
Смотри, исходя из моей схемы:
R1 - роутер с головным DNS
R2 - роутер "филиала"
предполагаю, что могут быть еще роутеры филиалов R3/R4... с такими же примерно настройками.

На R1 ты поднимаешь службу DNS и разрешаешь remote request (лучше файерволом разрешить только с доверенных IP доступ на input 53 tcp/udp).

На R2...R100 делаешь DNS сервером R1:
ip dns set servers=10.0.0.1
обязательно убираешь dynamic-servers (в настройках DHCP-client галка use-peer-dns или в pppoe соединении - я ж хз что у тебя где). Но в /ip dns print не должно быть dynamic-servers.

Далее, на R2...R100 делаем netwatch:

/tool netwatch add comment="CHANGE DNS IF TUNNEL DOWN" down-script="/ip dns set servers=8.8.8.8" host=10.0.0.1 interval=10s up-script="/ip dns set servers=10.0.0.1"

То есть - когда есть пинг на 10.0.0.1 - туннель поднят - DNS запросы идут в R1, туннель упал - ставится 8.8.8.8 и у клиентов за R2 только интернет (все равно ж сервера за R1 недоступны - туннель лежит).

Если туннель туда-сюда постоянно дергается, есть смысл добавить еще и сброс DNS кеша при переключении, чтобы меньше было "залипаний" на недоступные IP. Тогда netwatch будет выглять так:

/tool netwatch add comment="CHANGE DNS IF TUNNEL DOWN" down-script="/ip dns set servers=8.8.8.8\r\n/ip dns cache flush" host=10.0.0.1 interval=10s up-script="/ip dns set serve

rs=10.0.0.1\r\n/ip dns cache flush

Всем клиентам за R2 отдаешь DNS-сервером 192.168.2.1.
В R2 соответственно, тоже должен быть разрешен remote-request для клиентов за ним. Всем остальным IP запрещаешь доступ на 53 порт tcp/udp.

И все, профит.