[SeymchanNet]

Есть сеть 10.10.10.0/255.255.255.0 - просто локалка на неуправляемых мыльницах.

Сервер 10.10.10.1 - WinXP Pro + Traffic Inspector 2.0 + Billing Operator + шейпер, так-же GlobaX с TAP-адаптером и ADSL (модем в режиме router).

Интернет TI берет с TAP GlobaX'а, и раздает через прокси на шейпер, а он уже в сеть. Авторизация - User Agent (login + pass).

Сервер 10.10.10.2 - внутрисетевой DHCP/DNS сервер + Web-сервер с локальными сайтами. Раздаёт юзерам адреса диапазона 10.10.10.х + обрабатывает DNS-запросы юзеров для доступа к локальным ресурсам по имени. DNS-форвардинг на вышестоящий сервер прова не используется.

 

В общем юзеры спокойно обращаются к внутренним ресурсам сети по именам, и ходят в интернет через прокси. Всё ОК.

 

Захотел поднять NAT. Сделал форвардинг с локального DNS на сервер с ТИ. Всё прекрасно работает, локальные ресурсы доступны по своим адресам, другие запросы ходят в инет.

Проблема в том, что внешний трафик в инет помегабайтный. Т.е DNS-запросы всей сети свободно лезут в инет, соответственно капает денюжка.

 

Сделал фильтры в ТИ на запрет 53 порта для неавторизованных - но в таком случае и сам DNS-сервер 10.10.10.2 выступает в роли клиента...

Если прописать у юзера DNS 10.10.10.1, всё работает - авторизовался, и DNS-запросы твои в инет разрешены. Неавторизован - режутся фильтрами.

А локальные ресурсы то теперь по именам недоступны, т.к внутрисетевой домен обслуживает то сервер 10.10.10.2...

 

В общем необходимо сделать так, чтобы неавторизованные юзеры имели доступ только к локальному DNS, а запросы авторизованных ходили помимо локального ещё и в инет.

В техподдержке ТИ ума дать не смогли :(

 

 

 

[Voronok]

А что за DNS сервер? Может в его настройках разграничить, что всем можно отдавать локальную зону, а запросы от определенного списка айпишников можно форвардить наружу? Тогда в ТИ (или где там у Вас юзеры авторизуются) по факту авторизации (разавторизации) динамически менять второй список айпишников на DNS сервере.

[ilia_2s]

или просто выдать по 2 ДНС

[SeymchanNet]

По 2 ДНС пробовал - толку нет :(

Ну например прописал DNS1 - 10.10.10.1, DNS2 - 10.10.10.2. Вроде как если первый недоступен, обращения должны идти на второй...

Самый простой вариант - локальный форвардит в интернет, но тогда вся сеть будет ДНСить в инет, авторизованные и неавторизованные, что не есть хорошо с точки зрения безопасности и оплаты за трафик (добрых самаритян наверно уже не осталось, особенно если 1Мб внешки стоит 2р....). Временно решил проблему прогой NetSetMan - там одним кликом меняются профили сетевого подключения. Создал 2, с разными DNS. Под одним локальный ДНС работает + Инет через прокси (ему ДНС не нужен вообще), под другим прямой Инет, но локалка не работает, т.к нет доступа к локальному ДНС.

[martin74]

Объясните мне глупому, зачем разделять днс для локалки и инета?

[Nickuz]

Объясните мне глупому, зачем разделять днс для локалки и инета?

потому что топикстартера душит жаба платить за пару МБ с юзера ДНС запросов из своего кармана.

[martin74]

на кеширующем DNS? а за входящий скан портов от соседнего бота не душит?

[Ilya Evseev]

Можно завести одинаковую таблицу имён в DNS-форвардере на .1 и в автономном DNS на .2.

У клиента должны быть указаны оба.

Клиент будет циклически опрашивать то первый, то второй.

Если он не заблокирован на .1, то всегда будет получать ответ с первой попытки.

Если заблокирован и обратится к .1, то не получит ответа и автоматически обратится к .2

 

Также можно не заводить копию локальных зон на .1, а настроить их форвардинг к .2