Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN + DHCP Relay + DHCP на Windows 2008

    Scheduled Pinned Locked Moved Russian
    16 Posts 4 Posters 1.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rline
      last edited by

      Здравствуйте!
      Подскажите как правильно настроить связку. Тут вопрос скорее по настройке винды, нежели pfsense, но всё же решил создать тему здесь.
      В общем имеются филиалы, которые связаны с главным офисом через openvpn. В главном офисе стоит контроллер домена. Поскольку есть задача загнать в домен и филиалы, я решил, что лучше адреса компам филиалов получать от dhcp КД.
      Про DHCP Relay вроде бы всё понятно. Но как настроить дальше? Допустим в главном офисе сетка 192.168.1.0 а в филиале 192.168.2.0. Правильно ли я понимаю, что на DHCP сервере КД мне нужно создать область 192.168.2.0 и на сетевухе КД создать статический адрес из этой подсети. А далее просто направить релей на это адрес? При этом клиенты филиала начнут получать адреса из области 192.168.2.0? Или тут ещё какие-нибудь нюансы есть? Подскажите пожалуйста.

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by

        А вас не пугает, что в случае недоступности DC главного офиса работа филиалов будет ммм... сильно затруднена?
        Присмотритесь к Read-Only (RODC)
        http://winitpro.ru/index.php/2010/11/21/rabota-s-kontrollerami-domena-read-only-rodc-chast-1/
        https://zen.yandex.ru/media/id/5a3211a177d0e6afcba2adfd/dlia-chego-nujen-kontroller-domena-na-chtenie-rodc-ustanovka-i-nastroika-rodc-v-windows-server-2016-5b08eec42f578c07bf3cea7e

        1 Reply Last reply Reply Quote 0
        • R
          rline
          last edited by

          Несколько пугает, но денег на ещё один вин-сервер точно не дадут. Как вариант конечно можно использовать в филиалах статику и прописать эти адреса руками в виндовом dns, но это уже не так интересно :)

          1 Reply Last reply Reply Quote 0
          • V
            vladimirlind
            last edited by

            Еще есть нюанс с работой DHCP relay через OpenVPN - tun интерфейсы не воспринимаются DHCP relay, так как у них нет мак-адресов. Чтобы схема работала - нужно использовать tap.
            Читайте второй комментарий в этой ветке - https://forum.netgate.com/topic/130092/dhcp-relay-over-tun-openvpn/2

            R 1 Reply Last reply Reply Quote 1
            • R
              rline @vladimirlind
              last edited by

              @vladimirlind А если через IPsec?

              P 1 Reply Last reply Reply Quote 0
              • P
                pigbrother @rline
                last edited by

                @rline said in VPN + DHCP Relay + DHCP на Windows 2008:

                А если через IPsec?

                В IPsec, IMHO, вы тоже не получите работы на уровне L2 (MAC).

                1 Reply Last reply Reply Quote 0
                • V
                  vladimirlind
                  last edited by

                  @rline через routed IPsec не получится, так как VTI не имеет мак-адреса.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by werter

                    Добрый.

                    @rline
                    Дополнительный DC КРАЙНЕ необходим. И точка. В филиалах - RODC.
                    ИМХО, поднять "левый" ADC\BDC менее "грешно", чем поиметь вот-прям-щас-проблем в НЕработе ВСЕГО домена в случае падения PDC.
                    В чем проблема поднять ВСЁ в вирт. среде и тупо выключить\удалить ВМ с ADC\BDC в случае чего (имея бэкап, ес-но)? По вирт-ции https://forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense/

                    Странная позиция у ТС, чесслово.

                    Зы. Сам настраивал по http://sanotes.ru/windows-2012r2-1st-kontroller-domena-v-lesu/
                    Зы2. На Univention Corporate Server (UCS) и Nethserver обратите внимание, если нет возможности "пользовать" MS.

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by

                      Про желательность КД и в филиалах и возможности организовывать RODC @rline было сказано в первом же ответе. В свое время еще на NT4 в виду отсутствия альтернатив городил отдельные домены с доверительными отношениями, это даже работало.
                      По вашей замечательной ссылке рассматривается второй КД на версии Server Core на котором тоже можно организовать RODC .

                      1 Reply Last reply Reply Quote 0
                      • R
                        rline
                        last edited by

                        Я так понимаю самый дешёвый вариант это использование Windows Server Core в качестве RODC?

                        P 1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother @rline
                          last edited by

                          @rline said in VPN + DHCP Relay + DHCP на Windows 2008:

                          Я так понимаю самый дешёвый вариант это использование Windows Server Core в качестве RODC?

                          Если использовать продукты Микрософт - да. Или, как писал выше @werter - бесплатные варианты на Linux с поддержкой АД.

                          1 Reply Last reply Reply Quote 0
                          • R
                            rline
                            last edited by

                            А можно чуть подробней про варианты на Linux? Особенно интересно как групповые политики там будут работать.

                            P werterW 2 Replies Last reply Reply Quote 0
                            • P
                              pigbrother @rline
                              last edited by pigbrother

                              @rline said in VPN + DHCP Relay + DHCP на Windows 2008:

                              Особенно интересно как групповые политики там будут работать.

                              Тут начинается непаханное поле. Для вас. Я дальше экспериментов в этом направлении не ходил. Тогда совместимость\функциональность были, мягко говоря, неполными.

                              werterW 2 Replies Last reply Reply Quote 0
                              • werterW
                                werter @rline
                                last edited by

                                @rline
                                Пройти по ссылкам + гугл + гугл ютуб, не ?

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter @pigbrother
                                  last edited by

                                  This post is deleted!
                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter @pigbrother
                                    last edited by werter

                                    @pigbrother said in VPN + DHCP Relay + DHCP на Windows 2008:

                                    @rline said in VPN + DHCP Relay + DHCP на Windows 2008:

                                    Особенно интересно как групповые политики там будут работать.

                                    Тут начинается непаханное поле. Для вас. Я дальше экспериментов в этом направлении не ходил. Тогда совместимость\функциональность были, мягко говоря, неполными.

                                    Что-то между 2008 и 2012 будет точно. Если не городить кучу Групповых политик с извращениями - вполне функционально (а как доп DC - тем более)

                                    @rline
                                    И откроете для себя RSAT заодно.

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.