Не могу завести в домен из другой подсети



  • Добрый день, коллеги!

    Имеется pfsense 2.2.6-RELEASE (amd64),  MultiWAN(MAIN, WAN) , 2 LAN (LAN,LAN2). Подсеть 192.168.20.0/24 (LAN2) я настроил так, чтобы  она видела сеть 192.168.5.0/24 (LAN)  и выходила в инет. Подсети видят друг друга. Есть домен, 2 КД и  DNS сервера 192.168.5.5 и 192.168.5.7. Проблема заключается в том, что я не могу завести в домен рабочую станцию из подсети (LAN2), выдается ошибка. Скриншоты прилагаю.

    Подскажите, что не так!? Как правильно подружить 2 подсети в домене на pfsense?



















  • Доброе.
    0. Проверьте пингом\телнетом (TCP\53) доступность КД с проблемной раб.станции.

    1.Проверьте этот момент. В настр. сети на раб. станции 1-ым или 2-ым должен стоять IP того КД, к домену к-ого вы хотите присоединить раб. станцию.

    2. Вкл. логи fw на пф и смотрите что-там происходит при попытке ввода в домен.

    Версия ОС на пробл. раб.станции ? Линейка HOME в домен не вводится. Плюс, у вас ОС на раб. станции не активирована. Может это тоже влияет?

    Что такое подсети .25. и .30. на ЛАН? Какие они имеют к ЛАН отношение ?
    Запомните, что на интерфейсе работают правила fw, имеющие отношения только к этому интерфейсу (его сети\адресации).

    ![2017-10-17 11_00_10.png](/public/imported_attachments/1/2017-10-17 11_00_10.png)
    ![2017-10-17 11_00_10.png_thumb](/public/imported_attachments/1/2017-10-17 11_00_10.png_thumb)



  • Спасибо вам за скорый ответ!

    0. во вложении скрин, КД доступен, пингуется.
    1. В настройках DNS сети раб. станции указал ip dns серверов КД.
    2. Логи фаервола отфильтровал, тоже во вложении, может я не правильно фильтр поставил, ничего нет.
    Версия 7 Проф. она заводится в домен. Она не активирована, но это не влияет на ввод в домен.

    Проблема наблюдается, в домен не заводится.

    Параллельно я решил прикрутить 25 и 30 подсеть на сетевом оборудовании через свитч Eltex. Поэтому присутствуют правила фаервола на (LAN). Может я не правильно их прописал, как они должны выглядеть с Multiwan? 25 подсеть работает, но присутствует та же проблема, не заводится в домен раб. станция.
    Во воложении скриншоты.












  • Возможно не причина но, lex, а почему имя домена без точки? Разве при создании домена система не предупреждала о возможных проблемах разрешения имён?



  • Доброе.

    .5.40 - адрес свитча (он L3 ?) ?

    У вас логирование fw вообще вкл. ? Проверьте этот момент. По умолч. оно выкл.

    Пакеты можно надампить прямо из веб-фейса. Воспользуйтесь.



  • А arpa зоны в DNS КД прописаны?



  • @Scodezan:

    Возможно не причина но, lex, а почему имя домена без точки? Разве при создании домена система не предупреждала о возможных проблемах разрешения имён?

    Да, есть такой косяк, правильно заметили, спасибо! Нет в конце домена точки, досталось от предыдущего админа! А добавить точку без серьезных последствий возможно?!

    В домен стало заводить после записи в реестре на рабочей станции следующей записи! Именно по этой причине, я так думаю!

    "Чтобы члены домена Active Directory использовали систему DNS для обнаружения контроллеров домена в доменах, которые находятся в других лесах и имеют DNS-имена, состоящие из одной метки, выполните следующие действия.
    Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
    Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    На правой панели окна редактора реестра найдите параметр AllowSingleLabelDnsDomain. Если параметр AllowSingleLabelDnsDomain отсутствует, выполните следующие действия:
    В меню Правка выберите пункт Создать, а затем – Параметр DWORD.
    Укажите в качестве названия параметра AllowSingleLabelDnsDomain и нажмите клавишу ВВОД.
    Дважды щелкните параметр AllowSingleLabelDnsDomain.
    В поле Значение введите 1 и нажмите кнопку ОК"



  • @PbIXTOP:

    А arpa зоны в DNS КД прописаны?

    Да, прописаны, скрин во вложении.




  • Доброе.
    2 lex
    Т.е. имя домена у Вас состоит из одного слова? А, напр., corp.newlife или firma.newlife никак нельзя было ?
    Гнать ссаными тряпками таких "одминов" (если же уже уволились - найти и надругаться).
    Прошу пардону за мой французский.



  • @lex:

    А добавить точку без серьезных последствий возможно?!

    Возможно переименовать, например, https://habrahabr.ru/sandbox/18266/ по поводу граблей, всё индивидуально.
    Один раз такое пытался сделать, без какой либо подготовки, но что-то пошло не так… Короче поднял новый КД с нуля.



  • @werter:

    Доброе.
    2 lex
    Т.е. имя домена у Вас состоит из одного слова? А, напр., corp.newlife или firma.newlife никак нельзя было ?
    Гнать ссаными тряпками таких "одминов" (если же уже уволились - найти и надругаться).
    Прошу пардону за мой французский.

    Да, уважаемый werter, полностью вас поддерживаю! Если бы нашел этого админа, так и сделал бы!



  • @Scodezan:

    @lex:

    А добавить точку без серьезных последствий возможно?!

    Возможно переименовать, например, https://habrahabr.ru/sandbox/18266/ по поводу граблей, всё индивидуально.
    Один раз такое пытался сделать, без какой либо подготовки, но что-то пошло не так… Короче поднял новый КД с нуля.

    Вот мне тоже как-то сцыкотно переименовывать КД, уж много чего завязано на домен. Спасибо большое за совет!



  • @werter:

    Доброе.

    .5.40 - адрес свитча (он L3 ?) ?

    У вас логирование fw вообще вкл. ? Проверьте этот момент. По умолч. оно выкл.

    Пакеты можно надампить прямо из веб-фейса. Воспользуйтесь.

    .5.40 это Gateway для VLAN1 25 подсети. VLAN1 настроен на свитче (L3). Скрин во вложении. Может я не правильно сделал? Подскажите, что не так делаю?!  Задача стояла сделать 25-ю подсеть на свитче L3. Как это правильно сделать в связке с pfsense?










  • Доброе.
    Virtual IP для .25. на LAN пф настроили?



  • @werter:

    Доброе.
    Virtual IP для .25. на LAN пф настроили?

    Virtual IP для .25 на LAN пф не настроил, только Gateway. А это надо сделать? Может есть мануал по этому поводу?



  • Доброе.

    Virtual IP для .25 на LAN пф не настроил, только Gateway. А это надо сделать? Может есть мануал по этому поводу?

    Ошибся я. Не надо.

    Установите галку на "Bypass firewall rules for traffic on the same interface" (System / Advanced / Firewall & NAT) и проверьте.



  • @lex:

    @werter:

    Доброе.

    .5.40 - адрес свитча (он L3 ?) ?

    У вас логирование fw вообще вкл. ? Проверьте этот момент. По умолч. оно выкл.

    Пакеты можно надампить прямо из веб-фейса. Воспользуйтесь.

    .5.40 это Gateway для VLAN1 25 подсети. VLAN1 настроен на свитче (L3). Скрин во вложении. Может я не правильно сделал? Подскажите, что не так делаю?!  Задача стояла сделать 25-ю подсеть на свитче L3. Как это правильно сделать в связке с pfsense?

    Если у вас есть нормальный L2+ свитч, к которому подключены все сети, то проще развести маршрутизацию сетей на нем. Пускай он пакетики перекидывает.

    Если требуется дополнительно какая-то защита - на железе обычно присутвуют ACL.


Log in to reply