Изпечатай

[justme]

Здравейте,

 има мрежа в която потребителите за да ползват
 интернет се свързват към VPN сървър. на потребителите
 се конфигурират адреси от 10./16 мрежа, а след като
 се свържат към сървъра 192.168./16. има и потребители
 които са изключение - директно през LAN са от 192.168
 мрежа (стари компютри който не могат да работят с VPN).
 има пуснат файлов сървър, който е с конфигуриран мрежов
 интерфейс с IP-та от нужните мрежи - 10., 192.168.1.
 192.168.2. и т.н.

 идеяата е трафика към/от този файлов сървър да минава
 през LAN връзката (а не през VPN-a)

 това което "измислих" е да го "насочвам" към
 подходящата мрежа чрез DNS-a по следният начин:

Примерен код

...  acl "lan1" {         192.168.1.12;         192.168.1.15;         192.168.1.24;         192.168.1.41;         192.168.1.46;         192.168.1.63;  };  acl "lan2" {         192.168.2.3;         192.168.2.4;         192.168.2.15;         192.168.2.20;  };  acl "vpn" {         !lan1;   192.168.1.0/24;         !lan2;   192.168.2.0/24;  };  view "internal_vpn" {         match-clients { vpn; };         zone "." in {                 type hint;                 file "root.hint";         };         zone "my.dom" in {                 type master;                 notify yes;                 file "zone/internal/my.dom-vpn";                 allow-transfer {none; };                 allow-query { vpn; };         };  };  view "internal_lan1" {         match-clients { lan1; };         zone "." in {                 type hint;                 file "root.hint";         };         zone "my.dom" in {                 type master;                 notify yes;                 file "zone/internal/my.dom-lan1";                 allow-transfer {none; };                 allow-query { lan1; };         };  }; ... view "external" {         match-clients { "any"; };         zone "." in {                 type hint;                 file "root.hint";         };         zone "XX.XX.XX.in-addr.arpa" in {                 type master;                 file "zone/master/XX.XX.XX.in-addr.arpa";                 allow-transfer { XX.XX.XX.XX; localhost; };                 allow-query { any; };         };         zone "my.dom" in {                 type master;                 notify yes;                 file "zone/master/my.dom";                 allow-transfer { XX.XX.XX.XX; localhost; };                 allow-query { any; };         }; };

 като в зоновите файлове, файловият сървър е описан
 с IP адрес-а който е от неговата мрежа

 обаче когато се стартира с този конфигурационен фаил
 зарежда зоните според лога, но никой от потребителите
 не може да resolv-е... имате ли идея каква може да е
 причината... грешна конфигурация/идея ?

 ако някой има идея как може да се "оправи"...
 ако е невъзможно да се реализира така (съмнявам)
 да предложите някоя идея как може да се направи.

 Благодаря на всички който ще обърнат внимание на
 проблема и помогнат '>

[justme]

сериозно ли никой няма идея '> ?

[n_antonov]

Тъй като нямам време да ти анализирам конфигурацията'>, най-добре е да вдигнеш нивото на протоколиране и да следиш какви грешки връща BIND, когато някой клиент направи запитване както за достоверен, така и за рекурсивен отговор към него. BIND ще си каже защо не отгаваря.

[justme]

това и правя (debug като "замаян")... но въпроса ми е
 повече дали по този начин може да се реализира това
 и ако не - то по какъв начин '>

"директно през LAN са от 192.168
мрежа (стари компютри който не могат да работят с VPN).
има пуснат файлов сървър, който е с конфигуриран мрежов
интерфейс с IP-та от нужните мрежи - 10., 192.168.1.
192.168.2. и т.н.

идеяата е трафика към/от този файлов сървър да минава
през LAN връзката (а не през VPN-a)"

1. Така или иначе този трафик, пак минава през LAN връзката, доколкото физически имаме един интерфейс/сегмент в случая.
2.Искаш трафика от този сървър да "не минава през VPN", което с други думи означава, че искаш трафика между потребителите и специално този сървър да не се криптира - да няма VPN тунелиране на пакетите, нали така?
3. За т.нар. "стари" компютри т.2 е изпълнена, остава как да накараш останалите "по-нови PC-ta" да теглят трафик от този сървър без съответното PPTP, L2TP и т.н. криптиране , нали?
Решението според мен е много лесно , разучи как по-подробно пронципа на VPN-a, рутиранетео на пакетите  и пр. Това дето си трагнал да отделяш мрежите чрез DNS-a не мисля че е най-разумния и логичен вариант.

[justme]

явно не съм обяснил както трябва. значи PC-то е с
 10.0.XX.100, след като се свърже към VPN-а става
 192.168.XX.100 и като иска да тегли от файловият сървър
 се обръща към IP например 111.111.111.111 (публично -
 според DNS-a) и тряфика минава през VPN сървъра - vpn
 връзката и така товари излишно машината. файловият сървър
 е в мрежовият сегмент на потребителите. идеята е да се
 "каже" да се "свързват" към него по 10-та мрежа !

[vlad73]

Добре де, дай да започнем от там какво се случва при опит за resolve. Аз поне не разбрах какво се случва - намира ли сървъра, сървъра намира ли отговор...
Дай изхода от
dig hostname.my.dom

И друг интересен въпрос ми се завъртя из вакуума в главата - сигурно ли е, че порта е отворен през firewall-a? '>

Успех!

Цитат (Guest @ Дек. 07 2005,21:40)

1. Така или иначе този трафик, пак минава през LAN връзката, доколкото физически имаме един интерфейс/сегмент в случая. 2.Искаш трафика от този сървър да "не минава през VPN", което с други думи означава, че искаш трафика между потребителите и специално този сървър да не се криптира - да няма VPN тунелиране на пакетите, нали така? 3. За т.нар. "стари" компютри т.2 е изпълнена, остава как да накараш останалите "по-нови PC-ta" да теглят трафик от този сървър без съответното PPTP, L2TP и т.н. криптиране , нали? Решението според мен е много лесно , разучи как по-подробно пронципа на VPN-a, рутиранетео на пакетите  и пр. Това дето си трагнал да отделяш мрежите чрез DNS-a не мисля че е най-разумния и логичен вариант.

Како каза 1010101010:

'>
Та както каза 10101010:
разучи VPN-a!
Проблема не е в сървара, а е в клиентите.
Уин-а е идиотска работа и си прави някакви глупости с мрежите и рутирането.

[justme]

към 10101010,

значи като се закачи потребителя става с 2 мрежи -
една 10.-та и енда 192.168.X.-ва, когато не е закачен
VPN-a т.е. има само 10-та мража той не може да resolv-е.
сега в DNS е описан, файловият сървър като XX.XX.XX.XX
(pub ip) и когато потребителя достъпва файловият сървър
минава през VPN канала до VPN сървъра и оттам през eth
интерфейса го достъпва (файловият сървър си е във
вътрешната мрежа). така че идеята е да се "накара"
определиени потребители (групите които се описват с acl)
да се resolv-e с IP от техният локален сегмент - например
10.0.0.250 и самият трансфер да "върви" по 10-та мрежа.

така когато потребител, който е на ЛАН от 192.168.1 мрежа
ще resolv като (например) 192.168.1.250 и ще се закачи
направо през вътрешната мрежа без да минава през VPN
сървъра, а потребител който е с 10.0.5.55 се закача към
VPN-a и си става 192.168.5.55, но когато resolv файловият
сървър да го resolv като 10.0.0.250 и трафика отново да
мннава през ЛАН-а, а не да го resolv като XX.XX.XX.XX
и да се рутира и да минава през VPN връзката.