Openvpn DNS + DHCP + AD DC + RODC



  • Добрый день,

    подскажите пожалуйста как реализовать схему

    Что сделал:
    Установил pfSense, настроил openvpn сервер и клиент, туннель поднялся, пинги туда-сюда ходят.

    Что не работает:
    клиентам не проталкивается push "dhcp-option DNS 10.0.0.1"; Если вручную вбить DNS в настройках TCP/IP у клиента то работает.

    Прошу глобального совета по :
    1. DNS
    2. Как в рамках такой сети настроить AD

    Спасибо



  • А что вам мешает, в ДХЦП задать нужные ДНС сервера?



  • 2. Как в рамках такой сети настроить AD

    Самое разумное в головном офисе поставить PDC/BDC, а в удаленном BDC. Хотя сейчас на 2003/2008 это условное деление. В удаленном офисе на DC также поднимаем DHCP на свою подсеть и  DNS с указанием DNS-PDC, как вышестоящего. Вторичными вышестоящими в DNS серверах можно указать DNS провайдера/гугла/etc. Так при падении VPN останется интернет-доступ из подсети.



  • Есть еще вопросы:
    1. Правильная ли она с точки зрения распределения ролей между компонентами сети
    2. Как правильно в рамках такой сети настроить DNS и поднять Active Directory с ADDC на сервере 10.0.0.2 и и RODC на 10.1.0.2
    3. Правильно ли использовать один DNS суффикс для всех подсетей или нужно в удаленной (сеть филиала) использовать другой? например в сети 10.0.0.0.24 - dclan, а в 10.1.0.0 - subnet1.dclan

    Можно ли ответы подкрепить ссылками на мануалы, так как в AD, PDC, BDC я subzero  ::)

    удаленном офисе на DC также поднимаем DHCP на свою подсеть

    так вроде там роль dhcp играет pfsense?



  • @modena1984:

    Можно ли ответы подкрепить ссылками на мануалы, так как в AD, PDC, BDC я subzero  ::)

    удаленном офисе на DC также поднимаем DHCP на свою подсеть

    так вроде там роль dhcp играет pfsense?

    В случае использования AD правильным будет поднять DHCP на DC, так как он интегрирован с AD/DNS.



  • То есть отключать функцию DHCP сервера на pfsense как в 10.0.0.0 так и 10.1.0.0? и поднимать их на WS2K8?

    Я просто где то читал что DHCP на DC совсем не обязательно… Хотелось бы все таки сохранить функцию DHCP именно на pfsense'ах  ??? Дело в том что фактически на данный момент сервера WS2K8 в сети 10.1.0.0 нет, так как не имею возможности достать доп компьютер дома, а именно тут настраиваю.

    Если не сложно подскажите что прописать в настройках обоих pfsense (General, DNS Forwarder), в WS 10.0.0.2 чтобы нормально заработал DNS сервер и я мог без проблем пользоваться именами в обоих сетках. DNS сервер пока только в 10/24 Спасибо заранее ОГРОМНОЕ  :D



  • @modena1984:

    То есть отключать функцию DHCP сервера на pfsense как в 10.0.0.0 так и 10.1.0.0? и поднимать их на WS2K8? А как тогда быть с gateway?

    Причем здесь гейтвей? В DHCP все прописываем как есть, гейтвей есть PFSENSE.

    @modena1984:

    Я просто где то читал что DHCP на DC совсем не обяхательно… Хотелось бы все таки сохранить функцию DHCP именно на pfsense  ???

    Ну это на ваш выбор. Мнение просили - мнение высказано.



  • не сочтите за грубость, но по-моему надо задавать вопросы не "как прописать…" а:

    1. что я хочу построить?
    2. как это работает?
      Как только 1) и 2) отвечены, тогда можно и подумать над реализацией.


  • Я не в коем случае не считаю это грубость ;D продолжим по теме:
    1. На данный момен мне надо построить рабочюю конфигурацию в соответствии со схемой, но без сервера в сети 10.1/24, поднять AD на сервере 10.0.0.2. Естественно для всего этого должен адекватно работать DNS.  Как временный вариант можно рассмотреть статические IP в сети 10.1/24. Хотелось бы чтобы пользователи из этой сети могли логиниться в AD. Или не очень хорошо будет без контроллера домена (огромный трафик)?

    Есть ли тогда смысл вообще пока ставить AD на сервере 10.0.0.2? В принципе на данеый момент он нужен для прав к папкам file server'а. Посоветуйте пожалуйста.

    Про gateway затупил, вечер уже и день был тяжелый  :)

    2. Как вы считаете, заработает? Через некоторое время планирую все таки поставить RODC в сеть офиса и действительно вместе с AD поставить на него dhcp. и DNS сервер. Спасибо за совет!

    Как это реализовать?



  • По опыту скажу, что при отсутствии DC в локальной сети доменные пользователи будут очень сильно зависеть от качества интернет-соединения.



  • Да, я это уже понял. Натолкните пожалуйста на мысль как правильно сейчас настроить DNS на роутерах pfsense и окошках, чтобы имена нормально проходили в обоих подсетках до того как ставить AD. Сейчас единственный DNS сервер настроен на WS2K8 который в сети 10.0/24. Может быть есть смысл пока его не использовать а как то настроить DNS на самих роутерах, а когда появится второй DC уже заморачивать все на Windows (dhcp, DNS и т.д.) Хотелось бы иметь какое то эллегантное временнное решение без костылей  ;D

    В принципе на сколько я понял для небольшого файл сервера доступ к папкам можно оформить в виндоус через локальные группы и пользователей, пока поработать так, а уже потом…  :)

    Схема пока будет выглядеть вот так:

    потом как на первом скрине, кроме DHCP, который будет перенесен на плечи WS в обоих подсетках


Log in to reply