Титла: DNS ACL VIEW
Публикувано от: justme в Dec 05, 2005, 16:25
Здравейте,
има мрежа в която потребителите за да ползват
интернет се свързват към VPN сървър. на потребителите
се конфигурират адреси от 10./16 мрежа, а след като
се свържат към сървъра 192.168./16. има и потребители
които са изключение - директно през LAN са от 192.168
мрежа (стари компютри който не могат да работят с VPN).
има пуснат файлов сървър, който е с конфигуриран мрежов
интерфейс с IP-та от нужните мрежи - 10., 192.168.1.
192.168.2. и т.н.
идеяата е трафика към/от този файлов сървър да минава
през LAN връзката (а не през VPN-a)
това което "измислих" е да го "насочвам" към
подходящата мрежа чрез DNS-a по следният начин:
като в зоновите файлове, файловият сървър е описан
с IP адрес-а който е от неговата мрежа
обаче когато се стартира с този конфигурационен фаил
зарежда зоните според лога, но никой от потребителите
не може да resolv-е... имате ли идея каква може да е
причината... грешна конфигурация/идея ?
ако някой има идея как може да се "оправи"...
ако е невъзможно да се реализира така (съмнявам)
да предложите някоя идея как може да се направи.
Благодаря на всички който ще обърнат внимание на
проблема и помогнат
има мрежа в която потребителите за да ползват
интернет се свързват към VPN сървър. на потребителите
се конфигурират адреси от 10./16 мрежа, а след като
се свържат към сървъра 192.168./16. има и потребители
които са изключение - директно през LAN са от 192.168
мрежа (стари компютри който не могат да работят с VPN).
има пуснат файлов сървър, който е с конфигуриран мрежов
интерфейс с IP-та от нужните мрежи - 10., 192.168.1.
192.168.2. и т.н.
идеяата е трафика към/от този файлов сървър да минава
през LAN връзката (а не през VPN-a)
това което "измислих" е да го "насочвам" към
подходящата мрежа чрез DNS-a по следният начин:
| Примерен код |
... acl "lan1" { 192.168.1.12; 192.168.1.15; 192.168.1.24; 192.168.1.41; 192.168.1.46; 192.168.1.63; }; acl "lan2" { 192.168.2.3; 192.168.2.4; 192.168.2.15; 192.168.2.20; }; acl "vpn" { !lan1; 192.168.1.0/24; !lan2; 192.168.2.0/24; }; view "internal_vpn" { match-clients { vpn; }; zone "." in { type hint; file "root.hint"; }; zone "my.dom" in { type master; notify yes; file "zone/internal/my.dom-vpn"; allow-transfer {none; }; allow-query { vpn; }; }; }; view "internal_lan1" { match-clients { lan1; }; zone "." in { type hint; file "root.hint"; }; zone "my.dom" in { type master; notify yes; file "zone/internal/my.dom-lan1"; allow-transfer {none; }; allow-query { lan1; }; }; }; ... view "external" { match-clients { "any"; }; zone "." in { type hint; file "root.hint"; }; zone "XX.XX.XX.in-addr.arpa" in { type master; file "zone/master/XX.XX.XX.in-addr.arpa"; allow-transfer { XX.XX.XX.XX; localhost; }; allow-query { any; }; }; zone "my.dom" in { type master; notify yes; file "zone/master/my.dom"; allow-transfer { XX.XX.XX.XX; localhost; }; allow-query { any; }; }; }; |
като в зоновите файлове, файловият сървър е описан
с IP адрес-а който е от неговата мрежа
обаче когато се стартира с този конфигурационен фаил
зарежда зоните според лога, но никой от потребителите
не може да resolv-е... имате ли идея каква може да е
причината... грешна конфигурация/идея ?
ако някой има идея как може да се "оправи"...
ако е невъзможно да се реализира така (съмнявам)
да предложите някоя идея как може да се направи.
Благодаря на всички който ще обърнат внимание на
проблема и помогнат
Титла: DNS ACL VIEW
Публикувано от: justme в Dec 07, 2005, 12:34
сериозно ли никой няма идея ?
?Титла: DNS ACL VIEW
Публикувано от: n_antonov в Dec 07, 2005, 12:40
Тъй като нямам време да ти анализирам конфигурацията, най-добре е да вдигнеш нивото на протоколиране и да следиш какви грешки връща BIND, когато някой клиент направи запитване както за достоверен, така и за рекурсивен отговор към него. BIND ще си каже защо не отгаваря.
, най-добре е да вдигнеш нивото на протоколиране и да следиш какви грешки връща BIND, когато някой клиент направи запитване както за достоверен, така и за рекурсивен отговор към него. BIND ще си каже защо не отгаваря.Титла: DNS ACL VIEW
Публикувано от: justme в Dec 07, 2005, 18:24
това и правя (debug като "замаян")... но въпроса ми е
повече дали по този начин може да се реализира това
и ако не - то по какъв начин
повече дали по този начин може да се реализира това
и ако не - то по какъв начин
Титла: DNS ACL VIEW
Публикувано от: в Dec 07, 2005, 20:40
"директно през LAN са от 192.168
мрежа (стари компютри който не могат да работят с VPN).
има пуснат файлов сървър, който е с конфигуриран мрежов
интерфейс с IP-та от нужните мрежи - 10., 192.168.1.
192.168.2. и т.н.
идеяата е трафика към/от този файлов сървър да минава
през LAN връзката (а не през VPN-a)"
1. Така или иначе този трафик, пак минава през LAN връзката, доколкото физически имаме един интерфейс/сегмент в случая.
2.Искаш трафика от този сървър да "не минава през VPN", което с други думи означава, че искаш трафика между потребителите и специално този сървър да не се криптира - да няма VPN тунелиране на пакетите, нали така?
3. За т.нар. "стари" компютри т.2 е изпълнена, остава как да накараш останалите "по-нови PC-ta" да теглят трафик от този сървър без съответното PPTP, L2TP и т.н. криптиране , нали?
Решението според мен е много лесно , разучи как по-подробно пронципа на VPN-a, рутиранетео на пакетите и пр. Това дето си трагнал да отделяш мрежите чрез DNS-a не мисля че е най-разумния и логичен вариант.
мрежа (стари компютри който не могат да работят с VPN).
има пуснат файлов сървър, който е с конфигуриран мрежов
интерфейс с IP-та от нужните мрежи - 10., 192.168.1.
192.168.2. и т.н.
идеяата е трафика към/от този файлов сървър да минава
през LAN връзката (а не през VPN-a)"
1. Така или иначе този трафик, пак минава през LAN връзката, доколкото физически имаме един интерфейс/сегмент в случая.
2.Искаш трафика от този сървър да "не минава през VPN", което с други думи означава, че искаш трафика между потребителите и специално този сървър да не се криптира - да няма VPN тунелиране на пакетите, нали така?
3. За т.нар. "стари" компютри т.2 е изпълнена, остава как да накараш останалите "по-нови PC-ta" да теглят трафик от този сървър без съответното PPTP, L2TP и т.н. криптиране , нали?
Решението според мен е много лесно , разучи как по-подробно пронципа на VPN-a, рутиранетео на пакетите и пр. Това дето си трагнал да отделяш мрежите чрез DNS-a не мисля че е най-разумния и логичен вариант.
Титла: DNS ACL VIEW
Публикувано от: justme в Dec 08, 2005, 10:19
явно не съм обяснил както трябва. значи PC-то е с
10.0.XX.100, след като се свърже към VPN-а става
192.168.XX.100 и като иска да тегли от файловият сървър
се обръща към IP например 111.111.111.111 (публично -
според DNS-a) и тряфика минава през VPN сървъра - vpn
връзката и така товари излишно машината. файловият сървър
е в мрежовият сегмент на потребителите. идеята е да се
"каже" да се "свързват" към него по 10-та мрежа !
10.0.XX.100, след като се свърже към VPN-а става
192.168.XX.100 и като иска да тегли от файловият сървър
се обръща към IP например 111.111.111.111 (публично -
според DNS-a) и тряфика минава през VPN сървъра - vpn
връзката и така товари излишно машината. файловият сървър
е в мрежовият сегмент на потребителите. идеята е да се
"каже" да се "свързват" към него по 10-та мрежа !
Титла: DNS ACL VIEW
Публикувано от: vlad73 в Dec 08, 2005, 20:03
Добре де, дай да започнем от там какво се случва при опит за resolve. Аз поне не разбрах какво се случва - намира ли сървъра, сървъра намира ли отговор...
Дай изхода от
dig hostname.my.dom
И друг интересен въпрос ми се завъртя из вакуума в главата - сигурно ли е, че порта е отворен през firewall-a?
Успех!
Дай изхода от
dig hostname.my.dom
И друг интересен въпрос ми се завъртя из вакуума в главата - сигурно ли е, че порта е отворен през firewall-a?
Успех!
Титла: DNS ACL VIEW
Публикувано от: в Dec 09, 2005, 00:00
| Цитат (Guest @ Дек. 07 2005,21:40) |
| 1. Така или иначе този трафик, пак минава през LAN връзката, доколкото физически имаме един интерфейс/сегмент в случая. 2.Искаш трафика от този сървър да "не минава през VPN", което с други думи означава, че искаш трафика между потребителите и специално този сървър да не се криптира - да няма VPN тунелиране на пакетите, нали така? 3. За т.нар. "стари" компютри т.2 е изпълнена, остава как да накараш останалите "по-нови PC-ta" да теглят трафик от този сървър без съответното PPTP, L2TP и т.н. криптиране , нали? Решението според мен е много лесно , разучи как по-подробно пронципа на VPN-a, рутиранетео на пакетите и пр. Това дето си трагнал да отделяш мрежите чрез DNS-a не мисля че е най-разумния и логичен вариант. |
Како каза 1010101010:
Титла: DNS ACL VIEW
Публикувано от: в Dec 09, 2005, 00:05
Та както каза 10101010:
разучи VPN-a!
Проблема не е в сървара, а е в клиентите.
Уин-а е идиотска работа и си прави някакви глупости с мрежите и рутирането.
Титла: DNS ACL VIEW
Публикувано от: justme в Dec 09, 2005, 14:22
към 10101010,
значи като се закачи потребителя става с 2 мрежи -
една 10.-та и енда 192.168.X.-ва, когато не е закачен
VPN-a т.е. има само 10-та мража той не може да resolv-е.
сега в DNS е описан, файловият сървър като XX.XX.XX.XX
(pub ip) и когато потребителя достъпва файловият сървър
минава през VPN канала до VPN сървъра и оттам през eth
интерфейса го достъпва (файловият сървър си е във
вътрешната мрежа). така че идеята е да се "накара"
определиени потребители (групите които се описват с acl)
да се resolv-e с IP от техният локален сегмент - например
10.0.0.250 и самият трансфер да "върви" по 10-та мрежа.
така когато потребител, който е на ЛАН от 192.168.1 мрежа
ще resolv като (например) 192.168.1.250 и ще се закачи
направо през вътрешната мрежа без да минава през VPN
сървъра, а потребител който е с 10.0.5.55 се закача към
VPN-a и си става 192.168.5.55, но когато resolv файловият
сървър да го resolv като 10.0.0.250 и трафика отново да
мннава през ЛАН-а, а не да го resolv като XX.XX.XX.XX
и да се рутира и да минава през VPN връзката.
значи като се закачи потребителя става с 2 мрежи -
една 10.-та и енда 192.168.X.-ва, когато не е закачен
VPN-a т.е. има само 10-та мража той не може да resolv-е.
сега в DNS е описан, файловият сървър като XX.XX.XX.XX
(pub ip) и когато потребителя достъпва файловият сървър
минава през VPN канала до VPN сървъра и оттам през eth
интерфейса го достъпва (файловият сървър си е във
вътрешната мрежа). така че идеята е да се "накара"
определиени потребители (групите които се описват с acl)
да се resolv-e с IP от техният локален сегмент - например
10.0.0.250 и самият трансфер да "върви" по 10-та мрежа.
така когато потребител, който е на ЛАН от 192.168.1 мрежа
ще resolv като (например) 192.168.1.250 и ще се закачи
направо през вътрешната мрежа без да минава през VPN
сървъра, а потребител който е с 10.0.5.55 се закача към
VPN-a и си става 192.168.5.55, но когато resolv файловият
сървър да го resolv като 10.0.0.250 и трафика отново да
мннава през ЛАН-а, а не да го resolv като XX.XX.XX.XX
и да се рутира и да минава през VPN връзката.