Общение между филиалами внутри VPN по именам



  • Здравствуйте!
    Пожалуйста помогите решить задачу. Имеется центральный офис (ЦО) и несколько филиалов, которые соединены с помощью open vpn (shared key).  Настроена маршрутизация, пинги по адресу ходят куда угодно без проблем. В ЦО в качестве DNS сервера выступает контроллер домена на Windows 2008, который в свою очередь пробрасывает не решаемые запросы на шлюз Pfsense. На точках виндовые машины в рабочих группах. В качестве DNS сервера у них указан местный Pfsense. На всех местных Pfsense включен DNS forvarder. Так же включен DHCP.
    Подскажите как правильно настроить DNS чтобы из любого филиала можно было обратиться по имени к любому компу любого другого филиала, при этом чтобы адреса локальных машин не были фиксированными.



  • Прописать\задать в настройках DHCP адрес сервера имён (Windows 2008).



  • А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?



  • Была похожая задача но на Server 2003 R2. Был центральный офис и допофис в нашем же городе. В центральном был КД на нем DNS и DHCP. По IPSec туннелю соединили две подсети, далее в на pfsense у допофиса прописали в Services-DNS forwarder-Host Overrides жесткие привязки к нужным серверам в центральном офисе: имя хоста, домен и IP адрес в удаленной сети. Затем добавили привязку локального DNS, который обслуживает удаленный домен в Services-DNS forwarder-Domain Overrides: полное имя домена и его локальный DNS-сервер. После этого все заработало, при этом DHCP серверы в центральном офисе и в дополнительном свои. Связка работает в том случае, если в допофисе машины доменные. Кроме того в DHCP сервере на pfsense допофиса вторичным DNS-сервером указали DNS-сервер центрального офиса, а первичным сам шлюз допофиса. В правилах FW разрешили прохождение пакетов между сетями ЦО и ДО.

    После таких манипуляций вижу записи в прямой зоне DNS-сервере ЦО машин из ДО. Пинг ходит как по адресу так и по имени (неполному, без указания имени домена даже). Машины из ДО так же видят свой домен, обновляют политики, и т.д. и т.п. Если где ошибся, не судите строго, или подскажите где можно сделать иначе и более правильно.

    Если у автора есть возможность включить машины из ДО в свой домен основной ЦО, то он сможет без проблем работать с ними по туннелю IPSec, рабочие группы не самый удобный вариант администрирования



  • @rline:

    А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?

    Введите их в домен. Заодно и управление инфраструктурой улучшится.

    P.s. Как вариант , ваш сервер может и WINS-ом работать для раб. групп.



  • @werter:

    @rline:

    А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?

    Введите их в домен. Заодно и управление инфраструктурой улучшится.

    Интуиция подсказывает, что при таком варианте применение личных параметров пользователей, обновления GP и т.п. будут идти с приличными тормозами. Может быть можно обойтись только настройкой DNS? Единственное, что пока приходит в голову чтобы все днс сервера филиалов знали друг о друге и кидали запросы между собой, но во-первых не знаю как это сделать, а во-вторых есть сомнения на счет скорости обработки таких запросов.



  • @rline:

    Интуиция подсказывает, что при таком варианте применение личных параметров пользователей, обновления GP и т.п. будут идти с приличными тормозами. Может быть можно обойтись только настройкой DNS? Единственное, что пока приходит в голову чтобы все днс сервера филиалов знали друг о друге и кидали запросы между собой, но во-первых не знаю как это сделать, а во-вторых есть сомнения на счет скорости обработки таких запросов.

    Мы тестировали IPSec туннель между m0nowall'ом и pfsense, и там и там обычные Cелероны D 2,8 и 3 ГГц (одно ядро) и 1 гиг оперативки DDR, так вот никаких тормозов не наблюдали: статические IP адреса WAN в ЦО и ДО, канал и там, и там 10 Мегабит\с, так вот при копировании файлов по туннелю канал успешно забивался полностью и удалось прогонять 1,05 Гб за 17 минут. Я думаю скорости Вам хватит)))). Зачем поднимать дополнительно локальный DNS сервер в ДО, и на чём!? Если машины из ДО можно вбить в домен, и в ЦО записи будет держать основной локальный DNS-сервер вашего домена?



  • Ну во-первых инет у меня на некоторых точках всего лишь 512 кб/с. Во-вторых поскольку провайдеры разные, то и пинг между точками может достигать 1500 мс. В-третьих не поимею ли я проблем при отсутствии инета?



  • В-третьих не поимею ли я проблем при отсутствии инета?

    Ну GP применяются только новые или измененные, вход в домен пользователей без доступа к серверу домена тоже возможен. А так никто кроме вас самого не скажет как все будет работать.

    Попробуйте на паре-тройке самых медленных удаленных отделений и станет ясно.



  • Тогда еще один вопрос. На машинах филиалов в качестве днс сервера по идее следует прописать только контроллер домена, который в свою очередь будет пересылать не решаемы запросы (к внешним ресурсам) к pfsense ЦО. Получается любые днс запросы в интернет будут идти через шлюз ЦО. Работать оно конечно будет, но как-то это всё выглядит кривовато.

    @werter:

    Попробуйте на паре-тройке самых медленных удаленных отделений и станет ясно.

    Пожалуй Вы меня убедили. В ближайшее время попробую одну машину филиала загнать в домен и посмотрим как все будет работать.



  • Тогда еще один вопрос. На машинах филиалов в качестве днс сервера по идее следует прописать только контроллер домена, который в свою очередь будет пересылать не решаемы запросы (к внешним ресурсам) к pfsense ЦО

    Это смотря, как вы настроите на клиентах адреса серверов имен . Типа первым - адрес DNS вашего домена, вторым - адрес BDC , третьим - адрес pfsense.

    P.s. И по-хорошему - это тема явный оффтоп здесь. И не мне вам, как админу вашей конторы\предприятия, такие элементарные советы давать.
    Вы должны и сами додуматься до всего этого.



  • Eсли устраивает обращаться к удаленнвм компьютерам домена domain.local по полному имени, т.е

    ping pc_name.domain.local
    \pc_name.domain.local
    \pc_name.domain.local\share

    то на удаленном pfSense можно в

    Services->DNS forwarder->Domain Overrides

    добавить соответствующую запись.


Log in to reply