2 lan сети
-
Знаю что обсуждалось не раз.
Но облазил поиском много страниц и нечего почти не нашел а что нашел не принесло своих плодов.
Есть 2 сервера. 1- PFsense 2- Windows server 2008 с AD и DNS.
На Pfsese 3 сетевухи.
1- wan x.x.x.x
2- lan 192.168.0.1\24
3- opt1 192.168.1.1\24Стоит задача заставить работать dns сервер в 2 сетях.
По ip все нормально работает а вот по dns нет, хотя dns работает и сайты доступны.Что сделано на данный момент.
1- На opt1 днс сервер 192.168.0.5
2- Из opt1 разрешен весь трафик на lan и наоборот.
3- В Firewall: NAT: Outbound прописал обе сеткиПробовал сделать маску 16 но тогда интернет пропадал у всех вообще.
Как сделать так что бы все работало? -
Стоит задача заставить работать dns сервер в 2 сетях.
По ip все нормально работает а вот по dns нет, хотя dns работает и сайты доступны.Расшифруйте пожалуйста.
-
Расшифровываю.
DNS сервер доступен и работает. Nslookup показывает ip сайтов. А вот например я пытаюсь зайти на комп через dns имя и он его не может найти. Так же в dns нету записи об компьютере из сети opt1 а стоит только переключить компьютер в сеть lan и все становиться нормально.
Так же не могу комп ввести в домен т.к он не может найти домен. -
Расшифровываю.
DNS сервер доступен и работает. Nslookup показывает ip сайтов. А вот например я пытаюсь зайти на комп через dns имя и он его не может найти. Так же в dns нету записи об компьютере из сети opt1 а стоит только переключить компьютер в сеть lan и все становиться нормально.
Так же не могу комп ввести в домен т.к он не может найти домен.А на клиентских компах что стоит сервером ДНС ?
Как клиенты получают IP адреса в обоих сетях? -
В сети opt1 на клиентских машинах стоит dns сервер из сети lan а именно 192.168.0.5.
Пинги до сервера и обратно идут спокойно. :)
Раньше подключал dns сервер к сети opt1 но это не дело… -
Тогда на этом DNS необходимо указать вышестоящим серверов pfSense, либо DNS прова. Если IP адреса получаются от DHCP pfSense, то есть смысл сделать по 1 варианту.
Если у клиентов статика, то должна быть опция "Зарегистрировать подключение в DNS". -
Извините что может скажу глупость но что даст что я сделаю вышестоящим сервером Pfsense ведь он всеголишь dns forward на сколько я понимаю и тогда он начнет пересылать запросы провайдеру.
Или я что то не так понимаю? -
Извините что может скажу глупость но что даст что я сделаю вышестоящим сервером Pfsense ведь он всеголишь dns forward на сколько я понимаю и тогда он начнет пересылать запросы провайдеру.
Или я что то не так понимаю?Вопрос о том кто раздает DHCP и где регистрируются имена локальных компов. Если это Ваш КД, то pfSense не нужно указывать. Если используется DHCP pfSense, то имена компов ДНС сервер КД должен запросить у pfSense. Как-то так.
-
Понятно :)
DHCP раздает сенс.
А как это сделать? На сервере dns вторичным dns настроен pfsense и включена пересылка на Pfsense. -
Понятно :)
DHCP раздает сенс.
А как это сделать? На сервере dns вторичным dns настроен pfsense и включена пересылка на Pfsense.Пересылка + в сетевых настройках DNSom pfSense если я все правильно помню.
С вашего ДНС сервера для начала попробуйте чтобы все резолвилось - а у клиентов тогда должно уже все автоматом получиться. -
Сделал, не помогло. Мож в Pfsense еще что то нужно сделать?
-
У меня есть похожая схема. Но на 3 серверах.
1. Windows server 2008 с AD и DNS.
2. Ubuntu c DHCP
3. pfsenseУпрощенно сделано так:
1. ubuntu раздает по dhcp адреса и регистрирует их на DNS (win2008)
в качестве первичного сервера установлен Windows server 2008, вторичного - pfsense
option domain-name-servers 192.168.0.1, 192.168.0.11;
На этом этапе были проблемы с идентификатором имени домена (#ddns-domainname). Выяснилось, что его передавать не надо.
т.е по команде ipconfig /all должно быть обязательно
Имя компьютера: Имя без суффикса домена
Порядок просмотра суффиксов DNS: имя домена
DNS суффикс подключения: (пусто)
У меня имя сложное (с точкой), это снимает ряд вопросов.
2. На pfsense настроен форвард локальной доменной зоны на DNS AD и основной DNS на сервер провайдера
3. На Windows server 2008 с AD и DNS настроена пересылка всех не разрешенных запросов на сервер провайдера (можно и на pf поставить)Таким образом
При полной работоспособности все идет через AD и при обращении к внешним ресурсам получаем +1 пересылку
Если AD недоступен, то запросы идут через pf напрямую и часть локальных имен из кеша некоторое время разрешаются -
Боюсь это не вариант…
Хотелось бы ограничиться в рамках Pfsense и Windows server. :( -
Я имел в виду общие принципы. Конечно, в ubuntu у меня dhcpd, а в pf - dnsmasq, но принцип такой же самый и
ограничиться можно и двумя серверами.
dhcpd был выбран потому, что понимает опцию 60 и может отдавать адреса прямым соединением, а не мультикастом. Но это уже другая история.
Может кто ответит, умеет это dnsmasq ? -
А можно поподробней как это все сделать? А то в 1 раз сталкиваюсь с созданием 2 сетей… :)
хм, похоже что для работы сетевого окружения нужен wins server... -
Для начала
1. Напишите зачем нужны две сети.
2. Что общее будет раздаваться из одной сети в другую
(сетевое окружение например, ключи защиты, iptv и тп)Для работы сетевого окружения wins server не нужен. Да и использовать его не стоит.
У вас же не домовая сеть, а AD. Правильный выбор - выделенные сервера и максимальная изоляция пользователей.
Через груповую политику ссылки на рабочий стол и публикация ресурсов в каталоге.Ну и начните с самого простого
1. Firewall: NAT: Outbound галочка Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)
и правило
WAN 192.168.0.0/16 * * * * * NO
2. Firewall: Rules
wan, opt1 и lan правила со всеми звездочками
3. У клиентов шлюз по умолчанию - адреса интерфейсов opt1 и lan, dns провайдера или 8.8.8.8Интернет и маршрутизация между сетями должны работать
-
1- Не хватает ip адресов в под сети 0.1 поэтому купили еще 1 сетевую карту.
2- Нужна только работа с серверами из сети 0.1. В основном все работают с RDP и общей шарой и консультант.
За советы спасибо, сейчас попробую ) -
Попробовал, связь между компами есть. Но сетевое окружение и dns не работает.
-
Если не работает DNS, то скорее всего в правилах отключен протокол UDP (или сам pf его перехватывает через forward dns)
Разрешающие правила точно созданы для all протоколов ? (По умолчанию только TCP) и
пересылка dns отключена.
Работа сетевого окружения описана здесь
http://support.microsoft.com/default.aspx?scid=kb;en-us;188001
Тут тоже все упирается в UDP port 138.В вашем случае еще можно использовать proxyarp
Но на pf я не знаю как настраивается - Firewall: Virtual IP Addresses
На маршрутизаторах обычно просто включается функция на интерфейсе -
Уважаемый ТС а может Вам просто и незатейливо юзать сеть 172.16.x.x./x ? .Если не нет то обозначьте более конкретно зачем две подсети ?