27 Май 2019, 01:12

Цитата дня:

Я всегда буду искать ленивого человека для работы, ведь он найдет много легких путей для решения поставленной задачи. Билл Гейтс


Вечный вопрос - куда прописывать DNS на шлюзе? Почему резолвится не тот адрес?

Автор Призрак, 17 Май 2019, 08:01

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Призрак

17 Май 2019, 08:01 Последнее редактирование: 17 Май 2019, 08:03 от Призрак
Собственно, этот вопрос, в настоящее время, я думаю, беспокоит не только меня.

Наша сеть состоит из пяти филиалов. Чтобы не перегружать тему информацией, расскажу суть проблемы на одном из филиалов

Есть шлюз, с двумя сетевыми картами, на нём же установлен Traffic Inspettor, включена служба маршрутизации. Как водится, одна из карт смотрит в интернет, другая в локальную сеть, ко клиентам. Вот их настройки (указываю без DNS, потому - что в этом суть проблемы).

INTERNET XX.XXX.217.202, маска стандартная, шлюз XX.XXX.217.201.
LAN 192.168.10.1, маска стандартная.

А теперь, собственно, сама суть проблемы. Есть у нас контроллер домена в сети, адрес 192.168.10.12. Я усвоил, что на нём нельзя указывать никаких DNS, кроме 127.0.0.1. На контроллере домена в DNS у нас указан сервер пересылки, то есть XXX.XXX.201.2. Так вот, DNS серверы для шлюза указывать для какого интерфейса? INTERNET или LAN? Или сразу для обоих?

И вот ещё какая досада. У нас есть удалённый шлюз, кстати, установлен на Hyper-V, спасибо коллегам с этого форума за помощь в настройке. Там есть шлюз, с двумя сетевыми картами. Вот их настройки (тоже указываю без DNS, проблема та же)

INTERNET XX.XXX.217.205, маска стандартная, шлюз XX.XXX.217.201.
LAN 192.168.30.1, маска стандартная.

Соединено с 10.1 через OpenVPN. Так вот, когда я пытаюсь получить доступ к RDP по имени компьютера, из сети 10.0, он меня посылает в далёкое пешее (настроен брандмауэр на Traffic Inspector). Когда я пытаюсь зайти на 192.168.30.1, по RDP, то он заходит. Пытаюсь сделать пинг, по имени компьютера, он показывает ответ от XX.XXX.217.205, а не как положено, от 192.168.30.1. В чём может быть дело? Сам шлюз работает исправно, выполняя свою функцию.

Уваров А.С.

В доменной сети все клиенты должны работать с доменными DNS, с внешними серверами общаются только внутренние DNS-сервера.

По второму вопросу:

Чтобы разрешать имена доменных ПК вы должны использовать доменные DNS. Почему при пинге имя разрешается не в тот адрес выясняется просто. Делается DNS-запрос, через тот-же nslookup, в нем будет видно, какой сервер вам ответил и что именно вам ответил. Скорее всего это будет домашний роутер. Смотрим что прописано у него в DNS и думаем.

Призрак

#2
17 Май 2019, 12:26 Последнее редактирование: 17 Май 2019, 12:34 от Призрак
Вот что говорит мне командная строка с работы (из сети 10.0). А по первому вопросу ещё не было дано пояснение - на каком интерфейсе прописывать DNS.

Уваров А.С.

Кто такой vm-dc-01? Контроллер домена? Тогда смотрите на его DNS почему он резолвит bg81-gw-01 во внешний адрес. А я даже скажу почему, потому что для шлюза скорее всего указаны две записи, с внешним и внутренним адресом.

По второму вопросу: естественно на том, который физически смотрит в сеть с DNS-сервером.

ival

#4
17 Май 2019, 17:40 Последнее редактирование: 17 Май 2019, 17:42 от ival
Интересно для чего делать запись с внутренним доменом под внешним ip. Я вот думал думал и даже не смог придумать. Ладно резолвить свой внешний домен на внутреннюю сеть, но на оборот...

Уваров А.С.

Такой фокус бывает, если вписать внутренние DNS на внешнюю сетевую. В этом случае при вводе в домен зарегистрируются две A-записи, с внутренним и внешним IP. Несколько раз сталкивались.

Призрак

Кто такой vm-dc-01? Контроллер домена? Тогда смотрите на его DNS почему он резолвит bg81-gw-01 во внешний адрес. А я даже скажу почему, потому что для шлюза скорее всего указаны две записи, с внешним и внутренним адресом.
Да, это контроллер домена.

Интересно для чего делать запись с внутренним доменом под внешним ip. Я вот думал думал и даже не смог придумать. Ладно резолвить свой внешний домен на внутреннюю сеть, но на оборот...
Я сам сначала удивился, почему же так получилось? Явно же это не так. Потом только понял.

Такой фокус бывает, если вписать внутренние DNS на внешнюю сетевую. В этом случае при вводе в домен зарегистрируются две A-записи, с внутренним и внешним IP. Несколько раз сталкивались.
По второму вопросу: естественно на том, который физически смотрит в сеть с DNS-сервером.
Да, я понял, спасибо! Действительно, нельзя на внешнюю карту писать DNS, если вводить в домен! Я окончательно определился теперь, указывать только на внутренней сетевой карте. А как я решил ещё проблему:

1. Просто убрал DNS со внешней карты на внутреннюю.

2. Ввёл на клиенте ipconfig /registerdns

И в DNS сервере появилась А запись с адресом 192.168.30.1

А вот белый адрес из DNS пришлось убирать вручную.

Большое вам спасибо, коллеги, вопрос решён!

Вверх