Общение между филиалами внутри VPN по именам

rline

Здравствуйте!
Пожалуйста помогите решить задачу. Имеется центральный офис (ЦО) и несколько филиалов, которые соединены с помощью open vpn (shared key).  Настроена маршрутизация, пинги по адресу ходят куда угодно без проблем. В ЦО в качестве DNS сервера выступает контроллер домена на Windows 2008, который в свою очередь пробрасывает не решаемые запросы на шлюз Pfsense. На точках виндовые машины в рабочих группах. В качестве DNS сервера у них указан местный Pfsense. На всех местных Pfsense включен DNS forvarder. Так же включен DHCP.
Подскажите как правильно настроить DNS чтобы из любого филиала можно было обратиться по имени к любому компу любого другого филиала, при этом чтобы адреса локальных машин не были фиксированными.

werter

Прописать\задать в настройках DHCP адрес сервера имён (Windows 2008).

rline

А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?

AFZ

Была похожая задача но на Server 2003 R2. Был центральный офис и допофис в нашем же городе. В центральном был КД на нем DNS и DHCP. По IPSec туннелю соединили две подсети, далее в на pfsense у допофиса прописали в Services-DNS forwarder-Host Overrides жесткие привязки к нужным серверам в центральном офисе: имя хоста, домен и IP адрес в удаленной сети. Затем добавили привязку локального DNS, который обслуживает удаленный домен в Services-DNS forwarder-Domain Overrides: полное имя домена и его локальный DNS-сервер. После этого все заработало, при этом DHCP серверы в центральном офисе и в дополнительном свои. Связка работает в том случае, если в допофисе машины доменные. Кроме того в DHCP сервере на pfsense допофиса вторичным DNS-сервером указали DNS-сервер центрального офиса, а первичным сам шлюз допофиса. В правилах FW разрешили прохождение пакетов между сетями ЦО и ДО.

После таких манипуляций вижу записи в прямой зоне DNS-сервере ЦО машин из ДО. Пинг ходит как по адресу так и по имени (неполному, без указания имени домена даже). Машины из ДО так же видят свой домен, обновляют политики, и т.д. и т.п. Если где ошибся, не судите строго, или подскажите где можно сделать иначе и более правильно.

Если у автора есть возможность включить машины из ДО в свой домен основной ЦО, то он сможет без проблем работать с ними по туннелю IPSec, рабочие группы не самый удобный вариант администрирования

werter

@rline:

А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?

Введите их в домен. Заодно и управление инфраструктурой улучшится.

P.s. Как вариант , ваш сервер может и WINS-ом работать для раб. групп.

rline

@werter:

@rline:

А на сервере DNS Win2008 адреса машин всех филиалов вручную что ли?

Введите их в домен. Заодно и управление инфраструктурой улучшится.

Интуиция подсказывает, что при таком варианте применение личных параметров пользователей, обновления GP и т.п. будут идти с приличными тормозами. Может быть можно обойтись только настройкой DNS? Единственное, что пока приходит в голову чтобы все днс сервера филиалов знали друг о друге и кидали запросы между собой, но во-первых не знаю как это сделать, а во-вторых есть сомнения на счет скорости обработки таких запросов.

AFZ

@rline:

Интуиция подсказывает, что при таком варианте применение личных параметров пользователей, обновления GP и т.п. будут идти с приличными тормозами. Может быть можно обойтись только настройкой DNS? Единственное, что пока приходит в голову чтобы все днс сервера филиалов знали друг о друге и кидали запросы между собой, но во-первых не знаю как это сделать, а во-вторых есть сомнения на счет скорости обработки таких запросов.

Мы тестировали IPSec туннель между m0nowall'ом и pfsense, и там и там обычные Cелероны D 2,8 и 3 ГГц (одно ядро) и 1 гиг оперативки DDR, так вот никаких тормозов не наблюдали: статические IP адреса WAN в ЦО и ДО, канал и там, и там 10 Мегабит\с, так вот при копировании файлов по туннелю канал успешно забивался полностью и удалось прогонять 1,05 Гб за 17 минут. Я думаю скорости Вам хватит)))). Зачем поднимать дополнительно локальный DNS сервер в ДО, и на чём!? Если машины из ДО можно вбить в домен, и в ЦО записи будет держать основной локальный DNS-сервер вашего домена?

rline

Ну во-первых инет у меня на некоторых точках всего лишь 512 кб/с. Во-вторых поскольку провайдеры разные, то и пинг между точками может достигать 1500 мс. В-третьих не поимею ли я проблем при отсутствии инета?

werter

В-третьих не поимею ли я проблем при отсутствии инета?

Ну GP применяются только новые или измененные, вход в домен пользователей без доступа к серверу домена тоже возможен. А так никто кроме вас самого не скажет как все будет работать.

Попробуйте на паре-тройке самых медленных удаленных отделений и станет ясно.

rline

Тогда еще один вопрос. На машинах филиалов в качестве днс сервера по идее следует прописать только контроллер домена, который в свою очередь будет пересылать не решаемы запросы (к внешним ресурсам) к pfsense ЦО. Получается любые днс запросы в интернет будут идти через шлюз ЦО. Работать оно конечно будет, но как-то это всё выглядит кривовато.

@werter:

Попробуйте на паре-тройке самых медленных удаленных отделений и станет ясно.

Пожалуй Вы меня убедили. В ближайшее время попробую одну машину филиала загнать в домен и посмотрим как все будет работать.

werter

Тогда еще один вопрос. На машинах филиалов в качестве днс сервера по идее следует прописать только контроллер домена, который в свою очередь будет пересылать не решаемы запросы (к внешним ресурсам) к pfsense ЦО

Это смотря, как вы настроите на клиентах адреса серверов имен . Типа первым - адрес DNS вашего домена, вторым - адрес BDC , третьим - адрес pfsense.

P.s. И по-хорошему - это тема явный оффтоп здесь. И не мне вам, как админу вашей конторы\предприятия, такие элементарные советы давать.
Вы должны и сами додуматься до всего этого.

pigbrother

Eсли устраивает обращаться к удаленнвм компьютерам домена domain.local по полному имени, т.е

ping pc_name.domain.local
\pc_name.domain.local
\pc_name.domain.local\share

то на удаленном pfSense можно в

Services->DNS forwarder->Domain Overrides

добавить соответствующую запись.