2 lan сети



  • Знаю что обсуждалось не раз.
    Но облазил поиском много страниц и нечего почти не нашел а что нашел не принесло своих плодов.
    Есть 2 сервера. 1- PFsense 2- Windows server 2008 с AD и DNS.
    На Pfsese 3 сетевухи.
    1- wan x.x.x.x
    2- lan 192.168.0.1\24
    3- opt1 192.168.1.1\24

    Стоит задача заставить работать dns сервер в 2 сетях.
    По ip все нормально работает а вот по dns нет, хотя dns работает и сайты доступны.

    Что сделано на данный момент.
    1- На opt1 днс сервер 192.168.0.5
    2- Из opt1 разрешен весь трафик на lan и наоборот.
    3- В Firewall: NAT: Outbound прописал обе сетки

    Пробовал сделать маску 16 но тогда интернет пропадал у всех вообще.
    Как сделать так что бы все работало?



  • Стоит задача заставить работать dns сервер в 2 сетях.
    По ip все нормально работает а вот по dns нет, хотя dns работает и сайты доступны.

    Расшифруйте пожалуйста.



  • Расшифровываю.
    DNS сервер доступен и работает. Nslookup показывает ip сайтов. А вот например я пытаюсь зайти на комп через dns имя и он его не может найти. Так же в dns нету записи об компьютере из сети opt1 а стоит только переключить компьютер в сеть lan и все становиться нормально.
    Так же не могу комп ввести в домен т.к он не может найти домен.



  • @Rezor666:

    Расшифровываю.
    DNS сервер доступен и работает. Nslookup показывает ip сайтов. А вот например я пытаюсь зайти на комп через dns имя и он его не может найти. Так же в dns нету записи об компьютере из сети opt1 а стоит только переключить компьютер в сеть lan и все становиться нормально.
    Так же не могу комп ввести в домен т.к он не может найти домен.

    А на клиентских компах что стоит сервером ДНС ?
    Как клиенты получают IP адреса в обоих сетях?



  • В сети opt1 на клиентских машинах стоит dns сервер из сети lan а именно 192.168.0.5.
    Пинги до сервера и обратно идут спокойно.  :)
    Раньше подключал dns сервер к сети opt1 но это не дело…



  • Тогда на этом DNS необходимо указать вышестоящим серверов pfSense, либо DNS прова. Если IP адреса получаются от DHCP pfSense, то есть смысл сделать по 1 варианту.
    Если у клиентов статика, то должна быть опция "Зарегистрировать подключение в DNS".



  • Извините что может скажу глупость но что даст что я сделаю вышестоящим сервером Pfsense ведь он всеголишь dns forward на сколько я понимаю и тогда он начнет пересылать запросы провайдеру.
    Или я что то не так понимаю?



  • @Rezor666:

    Извините что может скажу глупость но что даст что я сделаю вышестоящим сервером Pfsense ведь он всеголишь dns forward на сколько я понимаю и тогда он начнет пересылать запросы провайдеру.
    Или я что то не так понимаю?

    Вопрос о том кто раздает DHCP и где регистрируются имена локальных компов. Если это Ваш КД, то pfSense не нужно указывать. Если используется DHCP pfSense, то имена компов ДНС сервер КД должен запросить у pfSense. Как-то так.



  • Понятно  :)
    DHCP раздает сенс.
    А как это сделать? На сервере dns вторичным dns настроен pfsense и включена пересылка на Pfsense.



  • @Rezor666:

    Понятно  :)
    DHCP раздает сенс.
    А как это сделать? На сервере dns вторичным dns настроен pfsense и включена пересылка на Pfsense.

    Пересылка + в сетевых настройках DNSom pfSense если я все правильно помню.
    С вашего ДНС сервера для начала попробуйте чтобы все резолвилось - а у клиентов тогда должно уже все автоматом получиться.



  • Сделал, не помогло. Мож в Pfsense еще что то нужно сделать?



  • У меня есть похожая схема. Но на 3 серверах.
    1. Windows server 2008 с AD и DNS.
    2. Ubuntu c DHCP
    3. pfsense

    Упрощенно сделано так:
    1. ubuntu раздает по dhcp адреса и регистрирует их на  DNS (win2008)
    в качестве первичного сервера установлен  Windows server 2008, вторичного - pfsense
    option domain-name-servers 192.168.0.1, 192.168.0.11;
    На этом этапе были проблемы с идентификатором имени домена (#ddns-domainname). Выяснилось, что его передавать не надо.
    т.е по команде ipconfig /all должно быть обязательно
    Имя компьютера: Имя без суффикса домена
    Порядок просмотра суффиксов DNS: имя домена
    DNS суффикс подключения:      (пусто)
    У меня имя сложное (с точкой), это снимает ряд вопросов.
    2. На pfsense настроен форвард локальной доменной зоны на DNS AD и основной DNS на сервер провайдера
    3. На Windows server 2008 с AD и DNS настроена пересылка всех не разрешенных запросов на сервер провайдера  (можно и на pf поставить)

    Таким образом
    При полной работоспособности все идет через AD и при обращении к внешним ресурсам получаем +1 пересылку
    Если AD недоступен, то запросы идут через pf напрямую и часть локальных имен из кеша некоторое время разрешаются



  • Боюсь это не вариант…
    Хотелось бы ограничиться в рамках Pfsense и Windows server.  :(



  • Я имел в виду общие принципы. Конечно, в ubuntu у меня dhcpd, а в pf - dnsmasq, но принцип такой же самый и
    ограничиться можно и двумя серверами.
    dhcpd был выбран потому, что понимает опцию 60 и может отдавать адреса прямым соединением, а не мультикастом. Но это уже другая история.
    Может кто ответит, умеет это dnsmasq ?



  • А можно поподробней как это все сделать? А то в 1 раз сталкиваюсь с созданием 2 сетей…  :)
    хм, похоже что для работы сетевого окружения нужен wins server...



  • Для начала
    1. Напишите зачем нужны две сети.
    2. Что общее будет раздаваться из одной сети в другую
    (сетевое окружение например, ключи защиты, iptv и тп)

    Для работы сетевого окружения wins server не нужен. Да и использовать его не стоит.
    У вас же не домовая сеть, а AD. Правильный выбор - выделенные сервера и максимальная изоляция пользователей.
    Через груповую политику ссылки на рабочий стол и публикация ресурсов в каталоге.

    Ну и начните с самого простого
    1.  Firewall: NAT: Outbound  галочка Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)
    и правило
    WAN  192.168.0.0/16 * * * * * NO
    2. Firewall: Rules 
    wan, opt1 и lan правила со всеми звездочками
    3. У клиентов шлюз по умолчанию - адреса интерфейсов opt1 и lan, dns провайдера или 8.8.8.8

    Интернет и маршрутизация между сетями должны работать



  • 1- Не хватает ip адресов в под сети 0.1 поэтому купили еще 1 сетевую карту.
    2- Нужна только работа с серверами из сети 0.1. В основном все работают с RDP и общей шарой и консультант.
    За советы спасибо, сейчас попробую )



  • Попробовал, связь между компами есть. Но сетевое окружение и dns не работает.



  • Если не работает DNS, то скорее всего в правилах отключен протокол UDP (или сам pf его перехватывает через forward dns)
    Разрешающие правила точно созданы для all протоколов ? (По умолчанию только TCP) и
    пересылка dns отключена.
    Работа сетевого окружения описана здесь
    http://support.microsoft.com/default.aspx?scid=kb;en-us;188001
    Тут тоже все упирается в  UDP port 138.

    В вашем случае еще можно использовать proxyarp
    Но на pf я не знаю как настраивается - Firewall: Virtual IP Addresses
    На маршрутизаторах обычно просто включается функция на интерфейсе



  • Уважаемый ТС а может Вам просто и незатейливо юзать сеть 172.16.x.x./x ? .Если не нет то обозначьте более конкретно зачем две подсети ?



  • И в чем разница вашего примера и просто маской 16?
    Я же написал что если выстовляю маску 16 то интернет пропадает в двух подсетях.
    Или вы мне предлагаете вообще все в одну сетевуху и раскидать по свитчам? Так я боюсь что банально сетевушка не выдержит столько пакетов.



  • @Rezor666:

    И в чем разница вашего примера и просто маской 16?
    Я же написал что если выстовляю маску 16 то интернет пропадает в двух подсетях.
    Или вы мне предлагаете вообще все в одну сетевуху и раскидать по свитчам? Так я боюсь что банально сетевушка не выдержит столько пакетов.

    А вы нат после попытки установления новой маски смотрели? может там старые значения /24 продолжают светиться. Там же тоже надо /16 ставить, ну или какая маска будет выбрана.



  • @Rezor666:

    1- Не хватает ip адресов в под сети 0.1 поэтому купили еще 1 сетевую карту.

    Если вам требуется исключительно расширение адресного пространства, без деления сети на сегменты, то просто смените маску:

    Сейчас у вас везде так:
    LAN1: 192.168.0.0/24 (192.168.0.1-192.168.0.254, mask: 255.255.255.0)
    LAN2: 192.168.1.0/24 (192.168.1.1-192.168.1.254, mask: 255.255.255.0)

    Надо везде сделать так:
    LAN: 192.168.0.0/23 (192.168.0.1-192.168.1.254, mask: 255.255.254.0)

    и ни каких заморочек с маршрутами, даже DHCP способен раздавать адреса по всему диапазону.



  • А на Контроллере Домена сделать пересылку dns не?



  • Кроме IP-MASK-GW-DNS не забывайте раздавать клиентам WINS, без него в домен не войдет.



  • @TheRaven:

    Кроме IP-MASK-GW-DNS не забывайте раздавать клиентам WINS, без него в домен не войдет.

    ???
    чем подкреплено это утверждение?



  • Это были грабли на которые наткнулся мой коллега буквально ~месяц назад.



  • @TheRaven:

    Это были грабли на которые наткнулся мой коллега буквально ~месяц назад.

    хым.. "грабли" коллеги и потом появляются подобные заблуждения. тщательнее , тщательнее надо.



  • @TheRaven:

    Это были грабли на которые наткнулся мой коллега буквально ~месяц назад.

    По всей вероятности у коллеги в сети присутствовали уж очень древние ОСи, коим WINS прописан по рецептуре. Всё мало-мальски свежее работает без этого костыля.
    Но это уже офтоп…

    ТопикСтартеру: чем вас не устраивает расширение маски? Просто, доступно, логично и не является костылями.



  • У меня примерно похожий случай, только в роли днс выступает win2003server и в "зоне прямого просмотра" свого домена, я описал все компьютеры второй подсети по днс именам вручную "Host (A)". Благо их не много, но зато все работает:)


Locked