Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Общение между филиалами внутри VPN по именам

    Scheduled Pinned Locked Moved Russian
    12 Posts 4 Posters 4.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rline
      last edited by

      Здравствуйте!
      Пожалуйста помогите решить задачу. Имеется центральный офис (ЦО) и несколько филиалов, которые соединены с помощью open vpn (shared key).  Настроена маршрутизация, пинги по адресу ходят куда угодно без проблем. В ЦО в качестве DNS сервера выступает контроллер домена на Windows 2008, который в свою очередь пробрасывает не решаемые запросы на шлюз Pfsense. На точках виндовые машины в рабочих группах. В качестве DNS сервера у них указан местный Pfsense. На всех местных Pfsense включен DNS forvarder. Так же включен DHCP.
      Подскажите как правильно настроить DNS чтобы из любого филиала можно было обратиться по имени к любому компу любого другого филиала, при этом чтобы адреса локальных машин не были фиксированными.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Прописать\задать в настройках DHCP адрес сервера имён (Windows 2008).

        1 Reply Last reply Reply Quote 0
        • R
          rline
          last edited by

          А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?

          1 Reply Last reply Reply Quote 0
          • A
            AFZ
            last edited by

            Была похожая задача но на Server 2003 R2. Был центральный офис и допофис в нашем же городе. В центральном был КД на нем DNS и DHCP. По IPSec туннелю соединили две подсети, далее в на pfsense у допофиса прописали в Services-DNS forwarder-Host Overrides жесткие привязки к нужным серверам в центральном офисе: имя хоста, домен и IP адрес в удаленной сети. Затем добавили привязку локального DNS, который обслуживает удаленный домен в Services-DNS forwarder-Domain Overrides: полное имя домена и его локальный DNS-сервер. После этого все заработало, при этом DHCP серверы в центральном офисе и в дополнительном свои. Связка работает в том случае, если в допофисе машины доменные. Кроме того в DHCP сервере на pfsense допофиса вторичным DNS-сервером указали DNS-сервер центрального офиса, а первичным сам шлюз допофиса. В правилах FW разрешили прохождение пакетов между сетями ЦО и ДО.

            После таких манипуляций вижу записи в прямой зоне DNS-сервере ЦО машин из ДО. Пинг ходит как по адресу так и по имени (неполному, без указания имени домена даже). Машины из ДО так же видят свой домен, обновляют политики, и т.д. и т.п. Если где ошибся, не судите строго, или подскажите где можно сделать иначе и более правильно.

            Если у автора есть возможность включить машины из ДО в свой домен основной ЦО, то он сможет без проблем работать с ними по туннелю IPSec, рабочие группы не самый удобный вариант администрирования

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              @rline:

              А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?

              Введите их в домен. Заодно и управление инфраструктурой улучшится.

              P.s. Как вариант , ваш сервер может и WINS-ом работать для раб. групп.

              1 Reply Last reply Reply Quote 0
              • R
                rline
                last edited by

                @werter:

                @rline:

                А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?

                Введите их в домен. Заодно и управление инфраструктурой улучшится.

                Интуиция подсказывает, что при таком варианте применение личных параметров пользователей, обновления GP и т.п. будут идти с приличными тормозами. Может быть можно обойтись только настройкой DNS? Единственное, что пока приходит в голову чтобы все днс сервера филиалов знали друг о друге и кидали запросы между собой, но во-первых не знаю как это сделать, а во-вторых есть сомнения на счет скорости обработки таких запросов.

                1 Reply Last reply Reply Quote 0
                • A
                  AFZ
                  last edited by

                  @rline:

                  Интуиция подсказывает, что при таком варианте применение личных параметров пользователей, обновления GP и т.п. будут идти с приличными тормозами. Может быть можно обойтись только настройкой DNS? Единственное, что пока приходит в голову чтобы все днс сервера филиалов знали друг о друге и кидали запросы между собой, но во-первых не знаю как это сделать, а во-вторых есть сомнения на счет скорости обработки таких запросов.

                  Мы тестировали IPSec туннель между m0nowall'ом и pfsense, и там и там обычные Cелероны D 2,8 и 3 ГГц (одно ядро) и 1 гиг оперативки DDR, так вот никаких тормозов не наблюдали: статические IP адреса WAN в ЦО и ДО, канал и там, и там 10 Мегабит\с, так вот при копировании файлов по туннелю канал успешно забивался полностью и удалось прогонять 1,05 Гб за 17 минут. Я думаю скорости Вам хватит)))). Зачем поднимать дополнительно локальный DNS сервер в ДО, и на чём!? Если машины из ДО можно вбить в домен, и в ЦО записи будет держать основной локальный DNS-сервер вашего домена?

                  1 Reply Last reply Reply Quote 0
                  • R
                    rline
                    last edited by

                    Ну во-первых инет у меня на некоторых точках всего лишь 512 кб/с. Во-вторых поскольку провайдеры разные, то и пинг между точками может достигать 1500 мс. В-третьих не поимею ли я проблем при отсутствии инета?

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      В-третьих не поимею ли я проблем при отсутствии инета?

                      Ну GP применяются только новые или измененные, вход в домен пользователей без доступа к серверу домена тоже возможен. А так никто кроме вас самого не скажет как все будет работать.

                      Попробуйте на паре-тройке самых медленных удаленных отделений и станет ясно.

                      1 Reply Last reply Reply Quote 0
                      • R
                        rline
                        last edited by

                        Тогда еще один вопрос. На машинах филиалов в качестве днс сервера по идее следует прописать только контроллер домена, который в свою очередь будет пересылать не решаемы запросы (к внешним ресурсам) к pfsense ЦО. Получается любые днс запросы в интернет будут идти через шлюз ЦО. Работать оно конечно будет, но как-то это всё выглядит кривовато.

                        @werter:

                        Попробуйте на паре-тройке самых медленных удаленных отделений и станет ясно.

                        Пожалуй Вы меня убедили. В ближайшее время попробую одну машину филиала загнать в домен и посмотрим как все будет работать.

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          Тогда еще один вопрос. На машинах филиалов в качестве днс сервера по идее следует прописать только контроллер домена, который в свою очередь будет пересылать не решаемы запросы (к внешним ресурсам) к pfsense ЦО

                          Это смотря, как вы настроите на клиентах адреса серверов имен . Типа первым - адрес DNS вашего домена, вторым - адрес BDC , третьим - адрес pfsense.

                          P.s. И по-хорошему - это тема явный оффтоп здесь. И не мне вам, как админу вашей конторы\предприятия, такие элементарные советы давать.
                          Вы должны и сами додуматься до всего этого.

                          1 Reply Last reply Reply Quote 0
                          • P
                            pigbrother
                            last edited by

                            Eсли устраивает обращаться к удаленнвм компьютерам домена domain.local по полному имени, т.е

                            ping pc_name.domain.local
                            \pc_name.domain.local
                            \pc_name.domain.local\share

                            то на удаленном pfSense можно в

                            Services->DNS forwarder->Domain Overrides

                            добавить соответствующую запись.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.