alexaaa Posted January 31, 2012 Posted January 31, 2012 (edited) Есть обычный сервер c FreeBSD на нём настроен рекурсивный DNS с провайдером, сервер собирал старый админ с другого города, необходимо этот сервер перенести на другое железо с Linux, создали копию DNS на Linux, проверили домены работают, тут открылась просто мистика, оказывается клиенты через VPN получают внутренний локальный DNS, и у них работает интернет и сайты в локальной сети, но на копии DNS на Linux, такое не прокатывает, если же через VPN раздать внешний DNS, то интернет работает, но сайты в локальной сети при VPN перестают работають. В чём загвоздка? Мистика? Edited January 31, 2012 by alexaaa Вставить ник Quote
roysbike Posted January 31, 2012 Posted January 31, 2012 Есть обычный сервер c FreeBSD на нём настроен рекурсивный DNS с провайдером, сервер собирал старый админ с другого города, необходимо этот сервер перенести на другое железо с Linux, создали копию DNS на Linux, проверили домены работают, тут открылась просто мистика, оказывается клиенты через VPN получают внутренний локальный DNS, и у них работает интернет и сайты в локальной сети, но на копии DNS на Linux, такое не прокатывает, если же через VPN раздать внешний DNS, то интернет работает, но сайты в локальной сети при VPN перестают работають. В чём загвоздка? Мистика? а чем вас не устраивает BIND На Freebsd? Вставить ник Quote
alexaaa Posted January 31, 2012 Author Posted January 31, 2012 Есть обычный сервер c FreeBSD на нём настроен рекурсивный DNS с провайдером, сервер собирал старый админ с другого города, необходимо этот сервер перенести на другое железо с Linux, создали копию DNS на Linux, проверили домены работают, тут открылась просто мистика, оказывается клиенты через VPN получают внутренний локальный DNS, и у них работает интернет и сайты в локальной сети, но на копии DNS на Linux, такое не прокатывает, если же через VPN раздать внешний DNS, то интернет работает, но сайты в локальной сети при VPN перестают работають. В чём загвоздка? Мистика? а чем вас не устраивает BIND На Freebsd? Не специалист FreeBDS, DNS настроен один в один, главное выяснить причину. Вставить ник Quote
nuclearcat Posted January 31, 2012 Posted January 31, 2012 alexaaa, у вас аська/skype/jabber есть? могу попытаться помочь Вставить ник Quote
terrible Posted January 31, 2012 Posted January 31, 2012 если же через VPN раздать внешний DNS, то интернет работает, но сайты в локальной сети при VPN перестают работають. В чём загвоздка? В замене метрики гейта в следствии поднятия VPN тоннеля. Вставить ник Quote
alexaaa Posted January 31, 2012 Author Posted January 31, 2012 если же через VPN раздать внешний DNS, то интернет работает, но сайты в локальной сети при VPN перестают работають. В чём загвоздка? В замене метрики гейта в следствии поднятия VPN тоннеля. и как это исправить? alexaaa, у вас аська/skype/jabber есть? могу попытаться помочь конечно есть, смогу выйти посже, в личку аську напишу Вставить ник Quote
alexmern Posted January 31, 2012 Posted January 31, 2012 (edited) Рекурсию разрешите для ip что получают ваши юзеры по vpn. В новых версиях бинда по умолчанию она выключена. Edited January 31, 2012 by alexmern Вставить ник Quote
alexaaa Posted January 31, 2012 Author Posted January 31, 2012 (edited) Рекурсию разрешите для ip что получают ваши юзеры по vpn. В новых версиях бинда по умолчанию она выключена. и как это сделать? я понемаю что версия bind новая. в конфиге есть рекурсия и форвардинг. вот настройки named.conf acl intufans {dns-isp;localhost;}; acl lan {10.200.0.0/16;}; acl office {192.168.0.0/24;localhost;}; options { directory "/etc/namedb"; pid-file "/var/run/named/pid"; dump-file "/var/dump/named_dump.db"; statistics-file "/var/log/named.stats"; allow-query {any;}; allow-transfer {intufans;}; version "Master"; forward first; forwarders {dns-isp;} zone-statistics yes; }; view "internal-lan" { match-clients {"lan";}; allow-query {any; }; recursion yes; zone "." { type hint; file "/etc/bind/db.root"; }; zone "localhost" { type master; file "/etc/bind/localhost.for"; allow-update { none; }; }; zone "0.0.127.in-addr.arpa" { type master; file "/etc/bind/localhost.rev"; allow-update { none; }; }; zone "mydomen.ru" in { type master; file "/etc/bind/mydomen.lan.for"; }; zone "0.200.10.in-addr.arpa" in { type master; file "/etc/bind/mydomen.lan.rev"; }; }; view "internal-office" { match-clients {"office";}; allow-query {any; }; recursion yes; zone "." { type hint; file "/etc/bind/db.root"; }; zone "mydomen.ru" in{ type master; file "/etc/bind/mydomen.office.rev"; }; zone "0.168.192.in-addr.arpa" in{ type master; file "/etc/bind/mydomen.office.rev"; }; }; view "external" { match-clients {any;}; recursion yes; allow-query {any; }; allow-transfer { intufans; }; zone "." { type hint; file "/etc/bind/db.root"; }; zone "mydomen.ru" in { type master; file "/etc/bind/mydomen.for"; }; zone "17.23.194.in-addr.arpa" in { type master; file "/etc/bind/mydomen.rev"; }; }; key "rndc-key" { algorithm hmac-md5; secret "mykey"; }; controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc-key"; }; }; Edited January 31, 2012 by alexaaa Вставить ник Quote
alexmern Posted January 31, 2012 Posted January 31, 2012 acl "trusted" { 10.0.0.0/8; localhost; }; options { allow-recursion { trusted; }; }; Вставить ник Quote
alexaaa Posted January 31, 2012 Author Posted January 31, 2012 acl "trusted" { 10.0.0.0/8; localhost; }; options { allow-recursion { trusted; }; }; разрешить рекурсию ip vpn юзеров (реальники) или ip локальные Вставить ник Quote
Ilya Evseev Posted February 2, 2012 Posted February 2, 2012 Не надо использовать BIND. Вставить ник Quote
Inoyat Posted February 2, 2012 Posted February 2, 2012 Не надо использовать BIND. Из вменяемых альтернатив (по функционалу) - только связка nsd/unbound Но отсутствие view приводит к фееричным костылям... Вставить ник Quote
Ilya Evseev Posted February 2, 2012 Posted February 2, 2012 Не надо использовать BIND. Из вменяемых альтернатив (по функционалу) - только связка nsd/unbound Для небольших сетей идеален dnsmasq. Единственный минус, из-за которого пришлось перейти на unbound - если dnsmasq теряет связь с родительскими серверами, имена из локальной таблицы он тоже почти перестаёт отдавать. Почему - так и не разобрались. Но отсутствие view приводит к фееричным костылям... В 99% случае view в bind сам используется либо как костыль для дефективно спланированной сети, либо просто на почве излишней зауми (imho). Вставить ник Quote
Ivan_83 Posted February 2, 2012 Posted February 2, 2012 Для небольших сетей идеален dnsmasq. Такой сорняк - фиг избавишься :) Там и дхцп и тфп, помимо днс. днс то я на анбоунд перенёс, а остальное так в нём и осталось :) Вставить ник Quote
Ilya Evseev Posted February 2, 2012 Posted February 2, 2012 Такой сорняк - фиг избавишься :) Там и дхцп и тфп, помимо днс. pxe забыли. Вставить ник Quote
alexaaa Posted February 3, 2012 Author Posted February 3, 2012 так и не кто дельным ничем не помог Вставить ник Quote
Ilya Evseev Posted February 3, 2012 Posted February 3, 2012 так и не кто дельным ничем не помог Ещё раз, прямым текстом: Для небольших сетей идеален dnsmasq. Заменить BIND на нормальный сервер проще, чем заставить BIND работать без глюков. Вставить ник Quote
taf_321 Posted February 3, 2012 Posted February 3, 2012 dnsmasq умеет держать свои зоны? В доках встречается только редирект для локальных зон на определенные ДНС и не более. А в приведенных конфигах 5 зон, и 2 из них должны отдаваться в мир. Вставить ник Quote
Ilya Evseev Posted February 3, 2012 Posted February 3, 2012 в приведенных конфигах 5 зон, и 2 из них должны отдаваться в мир. Тогда nsd для публичных зон, и dnsmasq или unbound для кэширующего форвардинга и локальных имён. Вставить ник Quote
alexaaa Posted February 4, 2012 Author Posted February 4, 2012 (edited) Тоесть Bind нормально не работает, и лучшё использовать dnsmasq или unbound, или можно совместно поставить bind и еще dnsmasq или unbound. Тоесть на старой версии Freebsd bind решает эту задачу, а на Linux новых версия есть баг. Может есть все таки рабочее решение на Linux хотя бы, зоны loclhost, локальная сеть и интернет. А задача стоит чтобы была одина DNS зона и для локалки и для внешки. Edited February 4, 2012 by alexaaa Вставить ник Quote
s.lobanov Posted February 4, 2012 Posted February 4, 2012 alexaaa Дело не в ОС, а в конфиге бинда(или различных настройках по умолчанию в разных версиях), но вы так сумбурно и мутно описываете свою проблему, что разбираться и помогать нет никакого желания. Вставить ник Quote
Ilya Evseev Posted February 4, 2012 Posted February 4, 2012 Тоесть на старой версии Freebsd bind решает эту задачу, а на Linux новых версия есть баг. BIND везде кривой. К тому же, как продемонстрировал Ваш опыт, недостаточно совместимый для разных версий и платформ. Может есть все таки рабочее решение на Linux хотя бы, зоны loclhost, локальная сеть и интернет. А задача стоит чтобы была одина DNS зона и для локалки и для внешки. nsd умеет читать описания зон в формате bind. dnsmasq позволяет описывать в /etc/hosts одиночные локальные DNS-имена. Что ещё нужно? Вставить ник Quote
agr Posted February 4, 2012 Posted February 4, 2012 (edited) так и не кто дельным ничем не помог Описание проблемы у вас сумбурное. В конфиге у вас есть две сети acl lan {10.200.0.0/16;}; acl office {192.168.0.0/24;localhost;}; непонятной для какой сети какие зоны должны отдаваться. Зона localhost у вас в текущем конфиге разрешена только для сети 10.200.0.0/16. Если нужно, чтобы для этой сети были доступны рекурсивные запросы зон из Интернета, то нужно добавить код allow-recursion { lan; }; внутрь секции view "internal-lan" {...}; ну и зарелоадить bind. Edited February 4, 2012 by agr Вставить ник Quote
alexaaa Posted February 6, 2012 Author Posted February 6, 2012 Дело сдвинулось с места, bind заработал, дело было в метрике, сетевая была настроена вручную, и нужно было добавить маршрут на подсеть. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.