Retifff's Blog

Мой ИТ блог

ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!

Posted by retifff на 05.12.2009

В последнее время часто встречаются вопросы, связанные с неправильной настройкой DNS (почта по IP -адресу работает, а по имени сервера — нет, и т.п.). В общем народ ленится, доки не читает, поэтому решил сделать краткую инструкцию по настройке DNS на компьютере с Kerio Winroute Firewall и клиентских компьютерах.

Рассматриваем три самых распространеных общих случая:

1. Одноранговая сеть, без домена (по определению тов. Naliman-а), точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет 🙂 В любом случае это вариант рассматирать не будем, потому что его настройки ничем не отличаются от второго варианта, кроме того, что имя и адрес DNS-сервера совпадают с именем и адресом компьютера с Winroute соответственно.

Имеется в любом случае компьютер с двумя сетевыми картами (одна внутренняя — смотрит в локальную сеть, другая внешняя — в Интернет соответственно), играющий роль шлюза,  через который мы и будем выходить в Интернет, и на который естественно 🙂 будет установлен Kerio Winroute Firewall.
Не забывайте, что адреса на этих сетевых картах должны быть из разных подсетей, т.е. например так:

192.168. 0.1/24
192.168. 1.1/24

почему-то новички очень часто на этом попадаются, если у них например ADSL-модем стоит.

1. Настройка DNS в одноранговой сети.

Настройки внутренней сетевой:

192.168.0.1 — IP-адрес компьютера с Winroute
255.255.255.0 — маска.
192.168.0.1 — в качестве DNS-сервера указываем IP-адрес этой же сетевой

Шлюз НЕ указываем!

Дальше, берем настройки, данные нам провайдером, допустим такие:

ip 80.237.0.99 — реальный IP
mask 255.255.255.240 — маска
gate 80.237.0.97 — шлюз
dns 80.237.0.97 — DNS провайдера

Но! Не забиваем их втупую во внешнюю сетевую, а делаем немного по-своему:

ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97
dns 192.168.0.1 — в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой;
80.237.0.97 — в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера

Жмем Advanced. В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, Fail and Printer Sharing Microsoft Networks.

Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.

Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке «Адаптеры и привязки» передвигаем «Local Area Connection» («Подключение по локальной сети») на самую верхнюю позицию:

Привязки сетевых интерфейсов

На клиентском компьютере настройки сетевой карты будут примерно такие:

ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 — в качестве шлюза указываем IP-адрес компьютера с Winroute
dns 192.168.0.1 — в качестве основного DNS-сервера указываем IP-адрес компьютера с Winroute

В Winroute, Configuration -> DNS Forwarder ставим галку «Enable DNS Forwarding», указываем DNS-серверы провайдера.

2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute

Настройки не очень отличаются от предыдущего варианта, в принципе все тоже самое, только:

2.1 В зонах прямого просмотра DNS следует убрать зону «.», если она там есть. После этого перезапустить службу «DNS-сервер».

2.2 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера, в данном случае 80.237.0.97 (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера):

Пересылка DNS

2.3 DNS Forwarder в Winroute выключаем (убираем галку «Enable DNS Forwarding»), так как он у нас есть уже в на нашем DNS-сервере.

2.4 На контроллере домена в DNS необходимо создать зону обратного просмотра (у правильных админов она наверняка создана еще при поднятии DNS 🙂 ), так как без нее невозможно по IP-адресу определить имя компьютера. В качестве кода сети указываем первые 3 группы цифр своего IP-адреса.
Для проверки заходим в свойства зоны и убеждаемся там в наличии нашего DNS-сервера (или серверов, если их несколько) на закладке «Серверы имен». Если серверов не хватает, добавляем их туда. Желательно делать это с помощью «Обзора». Все. Осталось разрешить динамическое обновление, чтобы клиентские машины регистрировались в этой зоне, хотя можно обойтись и без этого.

2.5 Настройки внутренней сетевой компьютера с Winroute:

ip 192.168.0.1 — IP-адрес компьютера с Winroute
mask 255.255.255.0 — маска
dns 192.168.0.100 — в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC)

Шлюз НЕ указываем!

Настройки внешней сетевой:

ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97 — в качестве шлюза указываем IP-адрес шлюза, данный провайдером
dns 192.168.0.100 — в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC)

Альтернативный DNS-сервер не указываем! Он у нас имеется в пересылке.

2.6 Настройки клиента:

ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 — в качестве шлюза указываем IP-адрес компьютера с Winroute
dns 192.168.0.100 — в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC)

2.7 Для проверки на клиенте следует выполнить команды:

nslookup {GateWayName}
nslookup {GateWayIP}
nslookup yandex.ru
nslookup 213.180.204.11

Если в результате выполнения всех вышеперечисленных команд нет сообщений об ошибках — значит все у вас получилось.

Исправления и дополнения принимаются.

Реклама

комментариев 14 to “ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!”

  1. Buzz said

    Большое спасибо за тему, можно пару вопросов только:
    в пунтке 2.2
    ВЫ говорите (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера) Где это находится? Я не нашел, это в программе winroute надо ставить?
    пункт 2.3
    тоже подскажите пожалуйста где именно это галочка обычно? У меня другая версия просто
    пункт 2.4
    В качестве кода сети указываем первые 3 группы цифр своего IP-адреса — это к чему? Это если не создана обратная зона вы имеете в виду? У меня есть обр зона, значит мне ничего указывать не надо?
    Спасибо большое, если поможете

  2. klin11 said

    Прошу прощения за тупой вопрос

    2.1 В зонах прямого просмотра DNS следует убрать зону «.», если она там есть. После этого перезапустить службу «DNS-сервер».

    -Это к контролеру домена относится ?

    По логике да, но всё же решил перестраховаться 🙂

  3. Zero said

    у меня server 2008 r2 не могу реализовать пункт 2.2, при добавлении IP адреса DNS сервера провайдера, пишет «идет проверка», затем «невозможно разрешить»

    • retifff said

      Ничего страшного, это значит что DNS-сервер провайдера не разрешается в имя по каким-то причинам (у провайдера отсутствует обратная зона, как вариант), на функционирование это не должно повлиять, если они живые конечно 🙂 . Для проверки можете туда прописать публичные DNS-серверы, например гугловкие:
      8.8.8.8
      8.8.4.4
      или opendns:
      208.67.222.222
      208.67.220.220

  4. Zero said

    и еще вопрос…какие настройки сетевой карты у машины с серваком кроме IP адреса 192.168.0.100, здесь юольше не указанно ничего….и как компьютер с сервером будет определять на какой именно компьютер пересылать клиентские машины…где есть интернет……спасибо…Winroute у меня пока нет…..хочу пока просто чтоб интернет заработал на других компьютерах..но что то никак

  5. макс said

    А как же настроить маршрут от внешней инетовской карточки во внутреннюю и в масы? И по чему начинаятс 2 -5 пункта айпишник у днс основной зоны 0.100?

  6. Виктор said

    Вопрос такой, а если DHCP уже настроен и у меня изменился основной шлюз, что мне делать и что менять?

  7. 4g said

    Все бы это хорошо:
    «dns 192.168.0.1 — в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой;
    80.237.0.97 — в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера»
    НО! пример: шлюз на Freebsd 10.0 (+squid авторизация через AD), Домен на Windows 2012 R2. авторизация пользователей в squid через доменные учетки.
    Провайдер выдает «реальный»/»белый» IP-адрес по DHCP, но фиксированный для меня.
    При этом когда мой шлюз получает адрес на стороне провайдера строятся динамические маршруты (как мне объяснил провайдер чтобы при смене маршрутов на их стороне по причине сбоев у меня доступ к интернет не отваливался). Если же я ставил адрес вручную маршруты не строились на стороне провайдера и у меня интернет не взлетал. также от провайдера я получал подключение к его доменной зоне ( т.е. в конфигурационных файлах динамически прописывались domain search clients.provider.ru вместо моего my.local.domain).
    Проблема: авторизация в локальном домене не проходила по причине того что domain search был некорректный.
    Решение: написал скрипт при получении адреса от провайдера заменять файл конфигурации эталонным, в котором настройки содержат корректные записи.
    +: все работает, интернет раздается
    -: в скрипте не учтена была ситуация смены DNS у провайдера, соответственно если у них поменяются DNS, разрешение интернет адресов в имена работать не будет.

    • Alexey said

      Укажите в пересылке внутренний адрес шлюза. Если все настроено верно на шлюзе, этого обычно достаточно. А шлюз в случае смены днс сам поймет куда слать запросы

  8. kerusr said

    «В Winroute, Configuration -> DNS Forwarder ставим галку «Enable DNS Forwarding», указываем DNS-серверы провайдера.» В версии 6,7 на вкладке DNS нельзя указать dns провайдера. Что делать? Где их прописать?

    • retifff said

      Я уже давно не использую Winroute, но ответ простой, не использовать DNS-форвардинг от винроута, а просто использовать DNS своего DNS-сервера. А уже ему разрешить выход в интернет по 53 UDP, это более правильный путь.

      • retifff said

        А если нет своего DNS-сервера, то просто всем компьютерам сети разрешить выход в интернет по 53 UDP и у них уже прописывать какой-то DNS-сервер, либо провайдера, либо какие-то публичные DNS-серверы.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: