Общение между филиалами внутри VPN по именам
-
Здравствуйте!
Пожалуйста помогите решить задачу. Имеется центральный офис (ЦО) и несколько филиалов, которые соединены с помощью open vpn (shared key). Настроена маршрутизация, пинги по адресу ходят куда угодно без проблем. В ЦО в качестве DNS сервера выступает контроллер домена на Windows 2008, который в свою очередь пробрасывает не решаемые запросы на шлюз Pfsense. На точках виндовые машины в рабочих группах. В качестве DNS сервера у них указан местный Pfsense. На всех местных Pfsense включен DNS forvarder. Так же включен DHCP.
Подскажите как правильно настроить DNS чтобы из любого филиала можно было обратиться по имени к любому компу любого другого филиала, при этом чтобы адреса локальных машин не были фиксированными. -
Прописать\задать в настройках DHCP адрес сервера имён (Windows 2008).
-
А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?
-
Была похожая задача но на Server 2003 R2. Был центральный офис и допофис в нашем же городе. В центральном был КД на нем DNS и DHCP. По IPSec туннелю соединили две подсети, далее в на pfsense у допофиса прописали в Services-DNS forwarder-Host Overrides жесткие привязки к нужным серверам в центральном офисе: имя хоста, домен и IP адрес в удаленной сети. Затем добавили привязку локального DNS, который обслуживает удаленный домен в Services-DNS forwarder-Domain Overrides: полное имя домена и его локальный DNS-сервер. После этого все заработало, при этом DHCP серверы в центральном офисе и в дополнительном свои. Связка работает в том случае, если в допофисе машины доменные. Кроме того в DHCP сервере на pfsense допофиса вторичным DNS-сервером указали DNS-сервер центрального офиса, а первичным сам шлюз допофиса. В правилах FW разрешили прохождение пакетов между сетями ЦО и ДО.
После таких манипуляций вижу записи в прямой зоне DNS-сервере ЦО машин из ДО. Пинг ходит как по адресу так и по имени (неполному, без указания имени домена даже). Машины из ДО так же видят свой домен, обновляют политики, и т.д. и т.п. Если где ошибся, не судите строго, или подскажите где можно сделать иначе и более правильно.
Если у автора есть возможность включить машины из ДО в свой домен основной ЦО, то он сможет без проблем работать с ними по туннелю IPSec, рабочие группы не самый удобный вариант администрирования
-
А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?
Введите их в домен. Заодно и управление инфраструктурой улучшится.
P.s. Как вариант , ваш сервер может и WINS-ом работать для раб. групп.
-
А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?
Введите их в домен. Заодно и управление инфраструктурой улучшится.
Интуиция подсказывает, что при таком варианте применение личных параметров пользователей, обновления GP и т.п. будут идти с приличными тормозами. Может быть можно обойтись только настройкой DNS? Единственное, что пока приходит в голову чтобы все днс сервера филиалов знали друг о друге и кидали запросы между собой, но во-первых не знаю как это сделать, а во-вторых есть сомнения на счет скорости обработки таких запросов.
-
Интуиция подсказывает, что при таком варианте применение личных параметров пользователей, обновления GP и т.п. будут идти с приличными тормозами. Может быть можно обойтись только настройкой DNS? Единственное, что пока приходит в голову чтобы все днс сервера филиалов знали друг о друге и кидали запросы между собой, но во-первых не знаю как это сделать, а во-вторых есть сомнения на счет скорости обработки таких запросов.
Мы тестировали IPSec туннель между m0nowall'ом и pfsense, и там и там обычные Cелероны D 2,8 и 3 ГГц (одно ядро) и 1 гиг оперативки DDR, так вот никаких тормозов не наблюдали: статические IP адреса WAN в ЦО и ДО, канал и там, и там 10 Мегабит\с, так вот при копировании файлов по туннелю канал успешно забивался полностью и удалось прогонять 1,05 Гб за 17 минут. Я думаю скорости Вам хватит)))). Зачем поднимать дополнительно локальный DNS сервер в ДО, и на чём!? Если машины из ДО можно вбить в домен, и в ЦО записи будет держать основной локальный DNS-сервер вашего домена?
-
Ну во-первых инет у меня на некоторых точках всего лишь 512 кб/с. Во-вторых поскольку провайдеры разные, то и пинг между точками может достигать 1500 мс. В-третьих не поимею ли я проблем при отсутствии инета?
-
В-третьих не поимею ли я проблем при отсутствии инета?
Ну GP применяются только новые или измененные, вход в домен пользователей без доступа к серверу домена тоже возможен. А так никто кроме вас самого не скажет как все будет работать.
Попробуйте на паре-тройке самых медленных удаленных отделений и станет ясно.
-
Тогда еще один вопрос. На машинах филиалов в качестве днс сервера по идее следует прописать только контроллер домена, который в свою очередь будет пересылать не решаемы запросы (к внешним ресурсам) к pfsense ЦО. Получается любые днс запросы в интернет будут идти через шлюз ЦО. Работать оно конечно будет, но как-то это всё выглядит кривовато.
Попробуйте на паре-тройке самых медленных удаленных отделений и станет ясно.
Пожалуй Вы меня убедили. В ближайшее время попробую одну машину филиала загнать в домен и посмотрим как все будет работать.
-
Тогда еще один вопрос. На машинах филиалов в качестве днс сервера по идее следует прописать только контроллер домена, который в свою очередь будет пересылать не решаемы запросы (к внешним ресурсам) к pfsense ЦО
Это смотря, как вы настроите на клиентах адреса серверов имен . Типа первым - адрес DNS вашего домена, вторым - адрес BDC , третьим - адрес pfsense.
P.s. И по-хорошему - это тема явный оффтоп здесь. И не мне вам, как админу вашей конторы\предприятия, такие элементарные советы давать.
Вы должны и сами додуматься до всего этого. -
Eсли устраивает обращаться к удаленнвм компьютерам домена domain.local по полному имени, т.е
ping pc_name.domain.local
\pc_name.domain.local
\pc_name.domain.local\shareто на удаленном pfSense можно в
Services->DNS forwarder->Domain Overrides
добавить соответствующую запись.