Автор Тема: DNS ACL VIEW  (Прочетена 5140 пъти)

justme

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
DNS ACL VIEW
« -: Dec 05, 2005, 16:25 »
Здравейте,

 има мрежа в която потребителите за да ползват
 интернет се свързват към VPN сървър. на потребителите
 се конфигурират адреси от 10./16 мрежа, а след като
 се свържат към сървъра 192.168./16. има и потребители
 които са изключение - директно през LAN са от 192.168
 мрежа (стари компютри който не могат да работят с VPN).
 има пуснат файлов сървър, който е с конфигуриран мрежов
 интерфейс с IP-та от нужните мрежи - 10., 192.168.1.
 192.168.2. и т.н.

 идеяата е трафика към/от този файлов сървър да минава
 през LAN връзката (а не през VPN-a)

 това което "измислих" е да го "насочвам" към
 подходящата мрежа чрез DNS-a по следният начин:

Примерен код

 ...
 acl "lan1" {
        192.168.1.12;
        192.168.1.15;
        192.168.1.24;
        192.168.1.41;
        192.168.1.46;
        192.168.1.63;
 };
 acl "lan2" {
        192.168.2.3;
        192.168.2.4;
        192.168.2.15;
        192.168.2.20;
 };
 acl "vpn" {
        !lan1;   192.168.1.0/24;
        !lan2;   192.168.2.0/24;
 };

 view "internal_vpn" {
        match-clients { vpn; };
        zone "." in {
                type hint;
                file "root.hint";
        };
        zone "my.dom" in {
                type master;
                notify yes;
                file "zone/internal/my.dom-vpn";
                allow-transfer {none; };
                allow-query { vpn; };
        };
 };

 view "internal_lan1" {
        match-clients { lan1; };
        zone "." in {
                type hint;
                file "root.hint";
        };
        zone "my.dom" in {
                type master;
                notify yes;
                file "zone/internal/my.dom-lan1";
                allow-transfer {none; };
                allow-query { lan1; };
        };
 };
...
view "external" {
        match-clients { "any"; };
        zone "." in {
                type hint;
                file "root.hint";
        };
        zone "XX.XX.XX.in-addr.arpa" in {
                type master;
                file "zone/master/XX.XX.XX.in-addr.arpa";
                allow-transfer { XX.XX.XX.XX; localhost; };
                allow-query { any; };
        };
        zone "my.dom" in {
                type master;
                notify yes;
                file "zone/master/my.dom";
                allow-transfer { XX.XX.XX.XX; localhost; };
                allow-query { any; };
        };
};


 като в зоновите файлове, файловият сървър е описан
 с IP адрес-а който е от неговата мрежа

 обаче когато се стартира с този конфигурационен фаил
 зарежда зоните според лога, но никой от потребителите
 не може да resolv-е... имате ли идея каква може да е
 причината... грешна конфигурация/идея ?

 ако някой има идея как може да се "оправи"...
 ако е невъзможно да се реализира така (съмнявам)
 да предложите някоя идея как може да се направи.

 Благодаря на всички който ще обърнат внимание на
 проблема и помогнат '<img'>
Активен

justme

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
DNS ACL VIEW
« Отговор #1 -: Dec 07, 2005, 12:34 »
сериозно ли никой няма идея '<img'> ?
Активен

n_antonov

  • Напреднали
  • *****
  • Публикации: 1185
    • Профил
    • WWW
DNS ACL VIEW
« Отговор #2 -: Dec 07, 2005, 12:40 »
Тъй като нямам време да ти анализирам конфигурацията'<img'>, най-добре е да вдигнеш нивото на протоколиране и да следиш какви грешки връща BIND, когато някой клиент направи запитване както за достоверен, така и за рекурсивен отговор към него. BIND ще си каже защо не отгаваря.
Активен

-------------------------------------------------------------------------
./debian/rules

justme

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
DNS ACL VIEW
« Отговор #3 -: Dec 07, 2005, 18:24 »
това и правя (debug като "замаян")... но въпроса ми е
 повече дали по този начин може да се реализира това
 и ако не - то по какъв начин '<img'>
Активен

  • Гост
DNS ACL VIEW
« Отговор #4 -: Dec 07, 2005, 20:40 »
"директно през LAN са от 192.168
мрежа (стари компютри който не могат да работят с VPN).
има пуснат файлов сървър, който е с конфигуриран мрежов
интерфейс с IP-та от нужните мрежи - 10., 192.168.1.
192.168.2. и т.н.

идеяата е трафика към/от този файлов сървър да минава
през LAN връзката (а не през VPN-a)"

1. Така или иначе този трафик, пак минава през LAN връзката, доколкото физически имаме един интерфейс/сегмент в случая.
2.Искаш трафика от този сървър да "не минава през VPN", което с други думи означава, че искаш трафика между потребителите и специално този сървър да не се криптира - да няма VPN тунелиране на пакетите, нали така?
3. За т.нар. "стари" компютри т.2 е изпълнена, остава как да накараш останалите "по-нови PC-ta" да теглят трафик от този сървър без съответното PPTP, L2TP и т.н. криптиране , нали?
Решението според мен е много лесно , разучи как по-подробно пронципа на VPN-a, рутиранетео на пакетите  и пр. Това дето си трагнал да отделяш мрежите чрез DNS-a не мисля че е най-разумния и логичен вариант.
Активен

justme

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
DNS ACL VIEW
« Отговор #5 -: Dec 08, 2005, 10:19 »
явно не съм обяснил както трябва. значи PC-то е с
 10.0.XX.100, след като се свърже към VPN-а става
 192.168.XX.100 и като иска да тегли от файловият сървър
 се обръща към IP например 111.111.111.111 (публично -
 според DNS-a) и тряфика минава през VPN сървъра - vpn
 връзката и така товари излишно машината. файловият сървър
 е в мрежовият сегмент на потребителите. идеята е да се
 "каже" да се "свързват" към него по 10-та мрежа !
Активен

vlad73

  • Напреднали
  • *****
  • Публикации: 130
    • Профил
DNS ACL VIEW
« Отговор #6 -: Dec 08, 2005, 20:03 »
Добре де, дай да започнем от там какво се случва при опит за resolve. Аз поне не разбрах какво се случва - намира ли сървъра, сървъра намира ли отговор...
Дай изхода от
dig hostname.my.dom

И друг интересен въпрос ми се завъртя из вакуума в главата - сигурно ли е, че порта е отворен през firewall-a? '<img'>

Успех!
Активен

  • Гост
DNS ACL VIEW
« Отговор #7 -: Dec 09, 2005, 00:00 »
Цитат (Guest @ Дек. 07 2005,21:40)
1. Така или иначе този трафик, пак минава през LAN връзката, доколкото физически имаме един интерфейс/сегмент в случая.
2.Искаш трафика от този сървър да "не минава през VPN", което с други думи означава, че искаш трафика между потребителите и специално този сървър да не се криптира - да няма VPN тунелиране на пакетите, нали така?
3. За т.нар. "стари" компютри т.2 е изпълнена, остава как да накараш останалите "по-нови PC-ta" да теглят трафик от този сървър без съответното PPTP, L2TP и т.н. криптиране , нали?
Решението според мен е много лесно , разучи как по-подробно пронципа на VPN-a, рутиранетео на пакетите  и пр. Това дето си трагнал да отделяш мрежите чрез DNS-a не мисля че е най-разумния и логичен вариант.

Како каза 1010101010:
Активен

  • Гост
DNS ACL VIEW
« Отговор #8 -: Dec 09, 2005, 00:05 »
'<img'>
Та както каза 10101010:
разучи VPN-a!
Проблема не е в сървара, а е в клиентите.
Уин-а е идиотска работа и си прави някакви глупости с мрежите и рутирането.
Активен

justme

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
DNS ACL VIEW
« Отговор #9 -: Dec 09, 2005, 14:22 »
към 10101010,

значи като се закачи потребителя става с 2 мрежи -
една 10.-та и енда 192.168.X.-ва, когато не е закачен
VPN-a т.е. има само 10-та мража той не може да resolv-е.
сега в DNS е описан, файловият сървър като XX.XX.XX.XX
(pub ip) и когато потребителя достъпва файловият сървър
минава през VPN канала до VPN сървъра и оттам през eth
интерфейса го достъпва (файловият сървър си е във
вътрешната мрежа). така че идеята е да се "накара"
определиени потребители (групите които се описват с acl)
да се resolv-e с IP от техният локален сегмент - например
10.0.0.250 и самият трансфер да "върви" по 10-та мрежа.

така когато потребител, който е на ЛАН от 192.168.1 мрежа
ще resolv като (например) 192.168.1.250 и ще се закачи
направо през вътрешната мрежа без да минава през VPN
сървъра, а потребител който е с 10.0.5.55 се закача към
VPN-a и си става 192.168.5.55, но когато resolv файловият
сървър да го resolv като 10.0.0.250 и трафика отново да
мннава през ЛАН-а, а не да го resolv като XX.XX.XX.XX
и да се рутира и да минава през VPN връзката.
Активен