Не могу завести в домен из другой подсети
-
Добрый день, коллеги!
Имеется pfsense 2.2.6-RELEASE (amd64), MultiWAN(MAIN, WAN) , 2 LAN (LAN,LAN2). Подсеть 192.168.20.0/24 (LAN2) я настроил так, чтобы она видела сеть 192.168.5.0/24 (LAN) и выходила в инет. Подсети видят друг друга. Есть домен, 2 КД и DNS сервера 192.168.5.5 и 192.168.5.7. Проблема заключается в том, что я не могу завести в домен рабочую станцию из подсети (LAN2), выдается ошибка. Скриншоты прилагаю.
Подскажите, что не так!? Как правильно подружить 2 подсети в домене на pfsense?
-
Доброе.
0. Проверьте пингом\телнетом (TCP\53) доступность КД с проблемной раб.станции.1.Проверьте этот момент. В настр. сети на раб. станции 1-ым или 2-ым должен стоять IP того КД, к домену к-ого вы хотите присоединить раб. станцию.
2. Вкл. логи fw на пф и смотрите что-там происходит при попытке ввода в домен.
Версия ОС на пробл. раб.станции ? Линейка HOME в домен не вводится. Плюс, у вас ОС на раб. станции не активирована. Может это тоже влияет?
Что такое подсети .25. и .30. на ЛАН? Какие они имеют к ЛАН отношение ?
Запомните, что на интерфейсе работают правила fw, имеющие отношения только к этому интерфейсу (его сети\адресации).
 -
Спасибо вам за скорый ответ!
0. во вложении скрин, КД доступен, пингуется.
1. В настройках DNS сети раб. станции указал ip dns серверов КД.
2. Логи фаервола отфильтровал, тоже во вложении, может я не правильно фильтр поставил, ничего нет.
Версия 7 Проф. она заводится в домен. Она не активирована, но это не влияет на ввод в домен.Проблема наблюдается, в домен не заводится.
Параллельно я решил прикрутить 25 и 30 подсеть на сетевом оборудовании через свитч Eltex. Поэтому присутствуют правила фаервола на (LAN). Может я не правильно их прописал, как они должны выглядеть с Multiwan? 25 подсеть работает, но присутствует та же проблема, не заводится в домен раб. станция.
Во воложении скриншоты.
-
Возможно не причина но, lex, а почему имя домена без точки? Разве при создании домена система не предупреждала о возможных проблемах разрешения имён?
-
Доброе.
.5.40 - адрес свитча (он L3 ?) ?
У вас логирование fw вообще вкл. ? Проверьте этот момент. По умолч. оно выкл.
Пакеты можно надампить прямо из веб-фейса. Воспользуйтесь.
-
А arpa зоны в DNS КД прописаны?
-
Возможно не причина но, lex, а почему имя домена без точки? Разве при создании домена система не предупреждала о возможных проблемах разрешения имён?
Да, есть такой косяк, правильно заметили, спасибо! Нет в конце домена точки, досталось от предыдущего админа! А добавить точку без серьезных последствий возможно?!
В домен стало заводить после записи в реестре на рабочей станции следующей записи! Именно по этой причине, я так думаю!
"Чтобы члены домена Active Directory использовали систему DNS для обнаружения контроллеров домена в доменах, которые находятся в других лесах и имеют DNS-имена, состоящие из одной метки, выполните следующие действия.
Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
На правой панели окна редактора реестра найдите параметр AllowSingleLabelDnsDomain. Если параметр AllowSingleLabelDnsDomain отсутствует, выполните следующие действия:
В меню Правка выберите пункт Создать, а затем – Параметр DWORD.
Укажите в качестве названия параметра AllowSingleLabelDnsDomain и нажмите клавишу ВВОД.
Дважды щелкните параметр AllowSingleLabelDnsDomain.
В поле Значение введите 1 и нажмите кнопку ОК" -
-
Доброе.
2 lex
Т.е. имя домена у Вас состоит из одного слова? А, напр., corp.newlife или firma.newlife никак нельзя было ?
Гнать ссаными тряпками таких "одминов" (если же уже уволились - найти и надругаться).
Прошу пардону за мой французский. -
@lex:
А добавить точку без серьезных последствий возможно?!
Возможно переименовать, например, https://habrahabr.ru/sandbox/18266/ по поводу граблей, всё индивидуально.
Один раз такое пытался сделать, без какой либо подготовки, но что-то пошло не так… Короче поднял новый КД с нуля. -
Доброе.
2 lex
Т.е. имя домена у Вас состоит из одного слова? А, напр., corp.newlife или firma.newlife никак нельзя было ?
Гнать ссаными тряпками таких "одминов" (если же уже уволились - найти и надругаться).
Прошу пардону за мой французский.Да, уважаемый werter, полностью вас поддерживаю! Если бы нашел этого админа, так и сделал бы!
-
@lex:
А добавить точку без серьезных последствий возможно?!
Возможно переименовать, например, https://habrahabr.ru/sandbox/18266/ по поводу граблей, всё индивидуально.
Один раз такое пытался сделать, без какой либо подготовки, но что-то пошло не так… Короче поднял новый КД с нуля.Вот мне тоже как-то сцыкотно переименовывать КД, уж много чего завязано на домен. Спасибо большое за совет!
-
Доброе.
.5.40 - адрес свитча (он L3 ?) ?
У вас логирование fw вообще вкл. ? Проверьте этот момент. По умолч. оно выкл.
Пакеты можно надампить прямо из веб-фейса. Воспользуйтесь.
.5.40 это Gateway для VLAN1 25 подсети. VLAN1 настроен на свитче (L3). Скрин во вложении. Может я не правильно сделал? Подскажите, что не так делаю?! Задача стояла сделать 25-ю подсеть на свитче L3. Как это правильно сделать в связке с pfsense?
-
Доброе.
Virtual IP для .25. на LAN пф настроили? -
Доброе.
Virtual IP для .25. на LAN пф настроили?Virtual IP для .25 на LAN пф не настроил, только Gateway. А это надо сделать? Может есть мануал по этому поводу?
-
Доброе.
Virtual IP для .25 на LAN пф не настроил, только Gateway. А это надо сделать? Может есть мануал по этому поводу?
Ошибся я. Не надо.
Установите галку на "Bypass firewall rules for traffic on the same interface" (System / Advanced / Firewall & NAT) и проверьте.
-
@lex:
Доброе.
.5.40 - адрес свитча (он L3 ?) ?
У вас логирование fw вообще вкл. ? Проверьте этот момент. По умолч. оно выкл.
Пакеты можно надампить прямо из веб-фейса. Воспользуйтесь.
.5.40 это Gateway для VLAN1 25 подсети. VLAN1 настроен на свитче (L3). Скрин во вложении. Может я не правильно сделал? Подскажите, что не так делаю?! Задача стояла сделать 25-ю подсеть на свитче L3. Как это правильно сделать в связке с pfsense?
Если у вас есть нормальный L2+ свитч, к которому подключены все сети, то проще развести маршрутизацию сетей на нем. Пускай он пакетики перекидывает.
Если требуется дополнительно какая-то защита - на железе обычно присутвуют ACL.
