2 lan сети
-
Сделал, не помогло. Мож в Pfsense еще что то нужно сделать?
-
У меня есть похожая схема. Но на 3 серверах.
1. Windows server 2008 с AD и DNS.
2. Ubuntu c DHCP
3. pfsenseУпрощенно сделано так:
1. ubuntu раздает по dhcp адреса и регистрирует их на DNS (win2008)
в качестве первичного сервера установлен Windows server 2008, вторичного - pfsense
option domain-name-servers 192.168.0.1, 192.168.0.11;
На этом этапе были проблемы с идентификатором имени домена (#ddns-domainname). Выяснилось, что его передавать не надо.
т.е по команде ipconfig /all должно быть обязательно
Имя компьютера: Имя без суффикса домена
Порядок просмотра суффиксов DNS: имя домена
DNS суффикс подключения: (пусто)
У меня имя сложное (с точкой), это снимает ряд вопросов.
2. На pfsense настроен форвард локальной доменной зоны на DNS AD и основной DNS на сервер провайдера
3. На Windows server 2008 с AD и DNS настроена пересылка всех не разрешенных запросов на сервер провайдера (можно и на pf поставить)Таким образом
При полной работоспособности все идет через AD и при обращении к внешним ресурсам получаем +1 пересылку
Если AD недоступен, то запросы идут через pf напрямую и часть локальных имен из кеша некоторое время разрешаются -
Боюсь это не вариант…
Хотелось бы ограничиться в рамках Pfsense и Windows server. :( -
Я имел в виду общие принципы. Конечно, в ubuntu у меня dhcpd, а в pf - dnsmasq, но принцип такой же самый и
ограничиться можно и двумя серверами.
dhcpd был выбран потому, что понимает опцию 60 и может отдавать адреса прямым соединением, а не мультикастом. Но это уже другая история.
Может кто ответит, умеет это dnsmasq ? -
А можно поподробней как это все сделать? А то в 1 раз сталкиваюсь с созданием 2 сетей… :)
хм, похоже что для работы сетевого окружения нужен wins server... -
Для начала
1. Напишите зачем нужны две сети.
2. Что общее будет раздаваться из одной сети в другую
(сетевое окружение например, ключи защиты, iptv и тп)Для работы сетевого окружения wins server не нужен. Да и использовать его не стоит.
У вас же не домовая сеть, а AD. Правильный выбор - выделенные сервера и максимальная изоляция пользователей.
Через груповую политику ссылки на рабочий стол и публикация ресурсов в каталоге.Ну и начните с самого простого
1. Firewall: NAT: Outbound галочка Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)
и правило
WAN 192.168.0.0/16 * * * * * NO
2. Firewall: Rules
wan, opt1 и lan правила со всеми звездочками
3. У клиентов шлюз по умолчанию - адреса интерфейсов opt1 и lan, dns провайдера или 8.8.8.8Интернет и маршрутизация между сетями должны работать
-
1- Не хватает ip адресов в под сети 0.1 поэтому купили еще 1 сетевую карту.
2- Нужна только работа с серверами из сети 0.1. В основном все работают с RDP и общей шарой и консультант.
За советы спасибо, сейчас попробую ) -
Попробовал, связь между компами есть. Но сетевое окружение и dns не работает.
-
Если не работает DNS, то скорее всего в правилах отключен протокол UDP (или сам pf его перехватывает через forward dns)
Разрешающие правила точно созданы для all протоколов ? (По умолчанию только TCP) и
пересылка dns отключена.
Работа сетевого окружения описана здесь
http://support.microsoft.com/default.aspx?scid=kb;en-us;188001
Тут тоже все упирается в UDP port 138.В вашем случае еще можно использовать proxyarp
Но на pf я не знаю как настраивается - Firewall: Virtual IP Addresses
На маршрутизаторах обычно просто включается функция на интерфейсе -
Уважаемый ТС а может Вам просто и незатейливо юзать сеть 172.16.x.x./x ? .Если не нет то обозначьте более конкретно зачем две подсети ?
-
И в чем разница вашего примера и просто маской 16?
Я же написал что если выстовляю маску 16 то интернет пропадает в двух подсетях.
Или вы мне предлагаете вообще все в одну сетевуху и раскидать по свитчам? Так я боюсь что банально сетевушка не выдержит столько пакетов. -
И в чем разница вашего примера и просто маской 16?
Я же написал что если выстовляю маску 16 то интернет пропадает в двух подсетях.
Или вы мне предлагаете вообще все в одну сетевуху и раскидать по свитчам? Так я боюсь что банально сетевушка не выдержит столько пакетов.А вы нат после попытки установления новой маски смотрели? может там старые значения /24 продолжают светиться. Там же тоже надо /16 ставить, ну или какая маска будет выбрана.
-
1- Не хватает ip адресов в под сети 0.1 поэтому купили еще 1 сетевую карту.
Если вам требуется исключительно расширение адресного пространства, без деления сети на сегменты, то просто смените маску:
Сейчас у вас везде так:
LAN1: 192.168.0.0/24 (192.168.0.1-192.168.0.254, mask: 255.255.255.0)
LAN2: 192.168.1.0/24 (192.168.1.1-192.168.1.254, mask: 255.255.255.0)Надо везде сделать так:
LAN: 192.168.0.0/23 (192.168.0.1-192.168.1.254, mask: 255.255.254.0)и ни каких заморочек с маршрутами, даже DHCP способен раздавать адреса по всему диапазону.
-
А на Контроллере Домена сделать пересылку dns не?
-
Кроме IP-MASK-GW-DNS не забывайте раздавать клиентам WINS, без него в домен не войдет.
-
Кроме IP-MASK-GW-DNS не забывайте раздавать клиентам WINS, без него в домен не войдет.
???
чем подкреплено это утверждение? -
Это были грабли на которые наткнулся мой коллега буквально ~месяц назад.
-
Это были грабли на которые наткнулся мой коллега буквально ~месяц назад.
хым.. "грабли" коллеги и потом появляются подобные заблуждения. тщательнее , тщательнее надо.
-
Это были грабли на которые наткнулся мой коллега буквально ~месяц назад.
По всей вероятности у коллеги в сети присутствовали уж очень древние ОСи, коим WINS прописан по рецептуре. Всё мало-мальски свежее работает без этого костыля.
Но это уже офтоп…ТопикСтартеру: чем вас не устраивает расширение маски? Просто, доступно, логично и не является костылями.
-
У меня примерно похожий случай, только в роли днс выступает win2003server и в "зоне прямого просмотра" свого домена, я описал все компьютеры второй подсети по днс именам вручную "Host (A)". Благо их не много, но зато все работает:)