| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Zorro
МегаГуру
Репутация:
Зарегистрирован: 21.04.2005
Сообщения: 1985
Откуда: Орел-Москва
|
 Добавлено: 19 Июль, 2005 - 22:42 Заголовок сообщения: ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!! |
 |
|
В последнее время на форуме часто встречаются вопросы, связанные с неправильной настройкой DNS (почта по IP -адресу работает, а по имени сервера - нет, и т.п.). В общем народ ленится, доки не читает, поэтому решил сделать краткую инструкцию по настройке DNS на компьютере с Kerio Winroute Firewall и клиентских компьютерах.
Рассматриваем три самых распространеных общих случая:
1. Одноранговая сеть, без домена (по определению тов. Naliman-а ;), точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.
Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет :)
Имеется в любом случае компьютер с двумя сетевыми картами (одна внутренняя - смотрит в локальную сеть, другая внешняя - в Интернет соответственно), через который мы и будем выходить в Интернет, и на который естественно :) будет установлен Kerio Winroute Firewall.
Не забывайте, что адреса на этих сетевых картах должны быть из разных подсетей, т.е. например так:
| Цитата: |
192.168. 0.1
192.168. 1.1
|
почему-то новички очень часто на этом попадаются, если у них например ADSL-модем стоит.
1. Настройка DNS в одноранговой сети.
Настройки внутренней сетевой
| Цитата: |
192.168.0.1 - IP-адрес компьютера с Winroute
255.255.255.0 - маска.
192.168.0.1 - в качестве DNS-сервера указываем IP-адрес этой же сетевой |
Шлюз НЕ указываем!
Дальше, берем настройки, данные нам провайдером, допустим такие:
| Цитата: |
ip 80.237.0.99 - реальный IP
mask 255.255.255.240 - маска
gate 80.237.0.97 - шлюз
dns 80.237.0.97 - DNS провайдера |
Но! Не забиваем их втупую во внешнюю сетевую, а делаем немного по-своему:
| Цитата: |
ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой;
80.237.0.97 - в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера |
Жмем Advanced. В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, Fail and Printer Sharing Microsoft Networks.
Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.
Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке "Адаптеры и привязки" передвигаем "Local Area Connection" ("Подключение по локальной сети") на самую верхнюю позицию.
На клиентском компьютере настройки сетевой карты будут примерно такие:
| Цитата: |
ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 - в качестве шлюза указываем IP-адрес компа с Winroute
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес компа с Winroute |
В Winroute, Configuration -> DNS Forwarder ставим галку "Enable DNS Forwarding", указываем DNS-серверы провайдера.
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
Настройки не очень отличаются от предыдущего варианта, в принципе все тоже самое, только:
2.1 В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".
2.2 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера). Форвардинг в винроуте тогда нужно выключить.
2.3 Настройки внутренней сетевой
| Цитата: |
192.168.0.1 - IP-адрес компьютера с Winroute
255.255.255.0 - маска.
192.168.0.100 - в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC) |
Шлюз НЕ указываем!
Настройки внешней сетевой:
| Цитата: |
ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97 - в качестве шлюза указываем IP-адрес шлюза, данный провайдером
dns 192.168.0.100 - в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC) |
2.4 Настройки клиента:
| Цитата: |
ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 - в качестве шлюза указываем IP-адрес компа с Winroute
dns 192.168.0.100 - в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC)
|
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.
Все настройки идентичны первому случаю, за исключением некоторых очень важных моментов:
3.1 В сети, которая подключена к Интернету через шлюз, являющийся контроллером домена с запущенной службой DNS-сервер, на этом контроллере в конфигурации внутреннего и внешнего интерфейса DNS-сервер должен быть настроен сам на себя.
В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".
В свойствах DNS-сервера на закладке "Пересылка" (Forwarding) следует разрешить пересылку на DNS-сервер провайдера. Перезапустить службу "DNS-сервер"
3.2 Необходимо создать зону обратного просмотра (у правильных админов она наверняка создана еще при поднятии DNS :) ), так как без нее DNS-сервер не может определить свое имя. В качестве кода сети указываем первые 3 группы цифр своего IP-адреса.
Для проверки заходим в свойства зоны и убеждаемся там в наличии нашего DNS-сервера (или серверов, если их несколько) на закладке "Серверы имен". Если серверов не хватает, добавляем их туда. Желательно делать это с помощью "Обзора". Всё. Осталось разрешить динамическое обновление, чтобы клиентские машины регистрировались в этой зоне, хотя можно обойтись и без этого.
3.3 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера, в данном случае 80.237.0.97;
3.4 DNS Forwarder в Winroute выключаем (убираем галку "Enable DNS Forwarding");
3.5 Настройки внешнего интерфейса на сервере:
| Цитата: |
ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой;
|
Альтернативный DNS-сервер не указываем! Он у нас имеется в пересылке.
3.6 Настройки клиента:
| Цитата: |
ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 - в качестве шлюза указываем IP-адрес DC с Winroute
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес DC с Winroute |
Для проверки на клиенте следует выполнить команды:
| Код: |
nslookup {GateWayName}
nslookup {GateWayIP}
nslookup yandex.ru
nslookup 213.180.204.11 |
Если в результате выполнения всех вышеперечисленных команд нет сообщений об ошибках - значит все у вас получилось.
P.S. Если у вас что-то не работает, пожалуйста не задавайте ваш вопрос в этой теме, а создайте отдельную (не забыв подробно описать проблему, телепатов тут нет. Также укажите результат работы команды ipconfig /all с компьютера с winroute и клиентского компьютера).
Список использованных источников :) :
1.[открыть ссылку]
2.[открыть ссылку]
3. Всем известный сайт с переводами и инструкциями, который здесь публиковать нельзя :)
4. Немножко собственный опыт ;)
Исправления и дополнения принимаются.
_________________
ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!
ПРАВИЛЬНЫЕ Traffic Policy!!!
FAQ по Kerio MailServer
Последний раз редактировалось: Zorro (05 Февраль, 2009 - 20:39), всего редактировалось 20 раз(а) |
|
| Вернуться к началу |
|
 Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
The1st
МегаГуру
Репутация:
Зарегистрирован: 14.04.2005
Сообщения: 1229
Откуда: 2:5030
|
| Добавлено: 19 Июль, 2005 - 22:54 Заголовок сообщения: |
|
|
| Zorro писал(а): |
nslookup 212.119.35.238
Если в результате выполнения всех вышеперечисленных команд нет сообщений об ошибках - значит все у вас получилось. |
Этот пример давно следует скорректировать. Данный ИПшник не имеет ДНС-имени и к микрософту не принадлежит (судя по замыслу примера планировалось проверить прямое/обратное разрешение имен).
Ковыряние и изменение порядка привязки сервисов к сетевому интерфейсу (первая красивая картинка) на 2003 может послужить причиной неизлечимого глюка, ведущего к невозможности автоматического подключения созданного Керио ВПН-туннеля. РАС цепляет удаленный ИП на интерфейс КериоВПН-адаптера как еще один ИП, и КВФ обламывается создать туннель между одинаковыми сетями. Проявилось на 6.0.11
_________________
/Vladislav
Последний раз редактировалось: The1st (19 Июль, 2005 - 23:02), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Zorro
МегаГуру
Репутация:
Зарегистрирован: 21.04.2005
Сообщения: 1985
Откуда: Орел-Москва
|
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Zorro
МегаГуру
Репутация:
Зарегистрирован: 21.04.2005
Сообщения: 1985
Откуда: Орел-Москва
|
| Добавлено: 19 Июль, 2005 - 23:05 Заголовок сообщения: |
|
|
| The1st писал(а): |
| Ковыряние и изменение порядка привязки сервисов к сетевому интерфейсу (первая красивая картинка) на 2003 может послужить причиной неизлечимого глюка, ведущего к невозможности автоматического подключения созданного Керио ВПН-туннеля. РАС цепляет удаленный ИП на интерфейс КериоВПН-адаптера как еще один ИП, и КВФ обламывается создать туннель между одинаковыми сетями. Проявилось на 6.0.11 |
Вот тут ничего сказать не могу, с ВПН не работал.
_________________
ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!
ПРАВИЛЬНЫЕ Traffic Policy!!!
FAQ по Kerio MailServer |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
The1st
МегаГуру
Репутация:
Зарегистрирован: 14.04.2005
Сообщения: 1229
Откуда: 2:5030
|
| Добавлено: 19 Июль, 2005 - 23:18 Заголовок сообщения: |
|
|
Еще до кучи. Обалденная ссылка на ответ первоисточника ПОЧЕМУ нельзя иметь несколько шлюзов по умолчанию и как это вообще работает:
----------------
Default Gateway Configuration for Multihomed Computers
[открыть ссылку]
-----------------
Expected Behavior of Multiple Adapters on Same Network
[открыть ссылку]
-----------------
Распечатать и на стенку.
_________________
/Vladislav |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Al
МегаГуру
Репутация:
Зарегистрирован: 21.04.2005
Сообщения: 1996
Откуда: Ижевск
|
| Добавлено: 20 Июль, 2005 - 09:51 Заголовок сообщения: |
|
|
Отличное добавление к FAQ... С Вашего разрешения я его запостю на альтернативный форум .gif) |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Zorro
МегаГуру
Репутация:
Зарегистрирован: 21.04.2005
Сообщения: 1985
Откуда: Орел-Москва
|
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
lamer:(
Гость
Репутация:
|
| Добавлено: 29 Июль, 2005 - 20:22 Заголовок сообщения: Re: ПРАВИЛЬНАЯ настройка DNS!!! |
|
|
| Zorro писал(а): |
2.1 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес компьютера с Winroute:
|
у меня эта закладка не активна .gif) Что делать?! |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
badydoc
Новичок
Репутация:
Зарегистрирован: 01.08.2005
Сообщения: 2
Откуда: Moscow
|
| Добавлено: 02 Август, 2005 - 16:32 Заголовок сообщения: Re: ПРАВИЛЬНАЯ настройка DNS!!! |
|
|
| lamer:( писал(а): |
| Zorro писал(а): |
2.1 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес компьютера с Winroute:
|
у меня эта закладка не активна Что делать?! |
Удалить из DNS зону "." |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Hank
Профессионал
Репутация:
Зарегистрирован: 05.05.2005
Сообщения: 114
|
| Добавлено: 21 Октябрь, 2005 - 12:47 Заголовок сообщения: Re: ПРАВИЛЬНАЯ настройка DNS!!! |
|
|
Привествую, коллеги.
Извинения модератору за то, что пишу сюда, но по-моему вопрос, который хочу задать, как раз в тему. Если нужно в др. место, просьба перенести.
Уточнение требуется к 1-му варианту настройки (в здешней терминологии -- "одноранговая сеть").
Внешний интерфейс должен быть настроен так, как:
| Zorro писал(а): |
ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой;
80.237.0.97 - в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера |
Что делать в случае, если есть более одного альтернативного DNS-сервера ? Весь список указывать в настройках внешнего интерфейса ?
Или во внешнем интерфейсе указать только основной (192.168.0.1) и альтернативный (80.237.0.97, на самом деле, он то и является основным). А весь список через точку с запятой уже дать в настройках WinRoute DNS-forwarding (начиная с 80.237.0.97) ?
Вопрос не праздный. Система c KWF 6.1.1 настроена по преложенной в настоящей теме методике. Но вот на клиентских компьютерах пошли сообщения DNS lookup faled и минут 15-20 не открывались проверенные сайты. Потом все вернулось к нормальной работе. Собственно, это и вызвало уточняющий вопрос. Поскольку ошибиться, вроде, как больше негде. |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Zorro
МегаГуру
Репутация:
Зарегистрирован: 21.04.2005
Сообщения: 1985
Откуда: Орел-Москва
|
| Добавлено: 21 Октябрь, 2005 - 13:02 Заголовок сообщения: |
|
|
Hank,
| Zorro писал(а): |
| P.S. Если у вас что-то не работает, пожалуйста не задавайте ваш вопрос в этой теме, а создайте отдельную (не забыв подробно описать проблему, телепатов тут нет. Также укажите результат работы команды ipconfig /all с компьютера с winroute и клиентского компьютера). |
Читай внимательно!
По твоему вопросу:
| Hank писал(а): |
| Весь список указывать в настройках внешнего интерфейса ? |
Да. И еще + это:
| Hank писал(а): |
| А весь список через точку с запятой уже дать в настройках WinRoute DNS-forwarding (начиная с 80.237.0.97) ? |
Можно просто поставить селектор на:
"Forward DNS queries to the server automatically... "
_________________
ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!
ПРАВИЛЬНЫЕ Traffic Policy!!!
FAQ по Kerio MailServer |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Hank
Профессионал
Репутация:
Зарегистрирован: 05.05.2005
Сообщения: 114
|
| Добавлено: 21 Октябрь, 2005 - 14:52 Заголовок сообщения: |
|
|
Очень странно, какой смысл в дубляже ?
Т.е. зачем Kerio допустил альтернативу "Forward DNS queries to the server automatically... " перечислению DNS-серверов списком, вводящую в заблуждение ? У меня весь список DNS-серверов как раз перечислен в "Forward DNS queries to the specified DNS servers".
Что касается разговора "не по теме", модератор волен удалить мои вопросы или отредактировать их. Главное, чтобы форумчане на мои грабли повторно не наступили.
Спасибо. |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Ник
Пользователь
Репутация:
Зарегистрирован: 18.08.2005
Сообщения: 19
|
| Добавлено: 25 Октябрь, 2005 - 13:56 Заголовок сообщения: |
|
|
| The1st писал(а): |
Ковыряние и изменение порядка привязки сервисов к сетевому интерфейсу (первая красивая картинка) на 2003 может послужить причиной неизлечимого глюка, ведущего к невозможности автоматического подключения созданного Керио ВПН-туннеля. РАС цепляет удаленный ИП на интерфейс КериоВПН-адаптера как еще один ИП, и КВФ обламывается создать туннель между одинаковыми сетями. Проявилось на 6.0.11 |
Имеется в виду именно порядок привязки сервисов, а не порядок самих интерфейсов?
Я наступил на эти грабли (по-моему, еще на 6.0.6)!! Много времени провел, пытаясь настроить туннель, и вот причина. Как с этим бороться? Помогает ли удаление/установка kwf, или нужно еще и адаптеры удалить/добавить заново? |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
The1st
МегаГуру
Репутация:
Зарегистрирован: 14.04.2005
Сообщения: 1229
Откуда: 2:5030
|
| Добавлено: 25 Октябрь, 2005 - 15:46 Заголовок сообщения: |
|
|
Ник,
1. Выключаем ВПН сервер. перегружаемся - видим что в РАСе нет того злосчастного IP из диапазноа удаленного ВПН-сервера
2. включаем ВПН, создаем тоннель.
можно после перезагрузки поотключать тоннели/ВПН-сервера, потушить "свихнувшийся" KWF а на другом поменять сеть ВПН-сервера. Потом все потихоньку включать/донастраивать.
_________________
/Vladislav |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
Ник
Пользователь
Репутация:
Зарегистрирован: 18.08.2005
Сообщения: 19
|
| Добавлено: 25 Октябрь, 2005 - 20:26 Заголовок сообщения: |
|
|
спасибо... буду пробовать. у меня вообще была такая мистика: при попытке настроить vpn-туннель с двумя kwf-ами, ведущий сервер уходил в синий экран .gif) |
|
| Вернуться к началу |
|
| Внимание! Вы просматриваете архив форума. Актуальная версия форума - www.avsoft.ru/forum/ |
|
|
|
.gif)
