Настроить BIND
Модератор: Модераторы разделов
-
- Сообщения: 24
Настроить BIND
Добрый день, Уважаемые! Вся надежда на ВАС!
В организации есть 2 сервера: 1й настроен как пограничный шлюз (2 сетевые, 2008R2+TMG2010), 2й как контролер домена с DNS/DHCP (1 сетевая). Поставлена задача организовать прокси-сервер на базе Suse (прозрачный squid/sarg). Подразумеваю, что на Сюсе будет 2 сетевые (одна в сторону пограничного шлюза, 2 я в локалку). Произвожу следующие настройки: ставлю Сьюсю, конфиг статик адресов (ДНС на 1й сетевой смотрит на КД, шлюз соответственно пишу IP пограничного серва), ставлю BIND из Yast, он автоматом цепляет DNS контролера домена и выставляет автоматическое слияние + ставлю галку трансляции адресов в брендмауэре Сьюс. Пишу на сетевой клиента: статик адрес, шлюзом IP Сьюс сетевой смотрящей на локалку, DNS контролера домена. ИТОГ: интернета нет.
Помогите решить проблему! Уверен, что решение лежит где-то на поверхности, загвоздка думаю в ДНС...
P.S. просьба не лить воду, что в ТМГ есть прокси с блокировкой, нужен сквид.
В организации есть 2 сервера: 1й настроен как пограничный шлюз (2 сетевые, 2008R2+TMG2010), 2й как контролер домена с DNS/DHCP (1 сетевая). Поставлена задача организовать прокси-сервер на базе Suse (прозрачный squid/sarg). Подразумеваю, что на Сюсе будет 2 сетевые (одна в сторону пограничного шлюза, 2 я в локалку). Произвожу следующие настройки: ставлю Сьюсю, конфиг статик адресов (ДНС на 1й сетевой смотрит на КД, шлюз соответственно пишу IP пограничного серва), ставлю BIND из Yast, он автоматом цепляет DNS контролера домена и выставляет автоматическое слияние + ставлю галку трансляции адресов в брендмауэре Сьюс. Пишу на сетевой клиента: статик адрес, шлюзом IP Сьюс сетевой смотрящей на локалку, DNS контролера домена. ИТОГ: интернета нет.
Помогите решить проблему! Уверен, что решение лежит где-то на поверхности, загвоздка думаю в ДНС...
P.S. просьба не лить воду, что в ТМГ есть прокси с блокировкой, нужен сквид.
-
- Модератор
- Сообщения: 20975
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Настроить BIND
Видишь суслика? А он есть. ©
Это я к тому, что Интернет есть, только Вы его не видите. Отсюда вопрос: как (и главное — на что) смотрите? host разрешает имена? По IP-адресам наружу достучаться получается?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 24
Re: Настроить BIND
Bizdelnick писал(а): ↑09.06.2015 13:40
Видишь суслика? А он есть. ©
Это я к тому, что Интернет есть, только Вы его не видите. Отсюда вопрос: как (и главное — на что) смотрите? host разрешает имена? По IP-адресам наружу достучаться получается?
Как проверить?
-
- Сообщения: 24
Re: Настроить BIND
MityaevMaxim писал(а): ↑09.06.2015 13:58Bizdelnick писал(а): ↑09.06.2015 13:40
Видишь суслика? А он есть. ©
Это я к тому, что Интернет есть, только Вы его не видите. Отсюда вопрос: как (и главное — на что) смотрите? host разрешает имена? По IP-адресам наружу достучаться получается?
Как проверить?
NSLOOKUP с клиентской машины:
nslookup mail.ru
sever-ad.test.local
Adresses: 192.168.100.1
Не заслуживающий доверия ответ:
mail.ru
Addresses: 94.100.180.200
217.69.139.200
94.100.180.202
217.69.139.202
-
- Модератор
- Сообщения: 20975
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Настроить BIND
Например так:
host ya.ru
ping 93.158.134.3
wget -O /dev/null http://93.158.134.3/
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 24
Re: Настроить BIND
Bizdelnick писал(а): ↑09.06.2015 14:36
Например так:
host ya.ru
ping 93.158.134.3
wget -O /dev/null http://93.158.134.3/
Для команды ping "Превышен интервал ожидания для запроса"
MityaevMaxim писал(а): ↑09.06.2015 14:42Bizdelnick писал(а): ↑09.06.2015 14:36
Например так:
host ya.ru
ping 93.158.134.3
wget -O /dev/null http://93.158.134.3/
Для команды ping "Превышен интервал ожидания для запроса"
Команды с серва проходят, на нем инет есть...Инета нет на клиентах
-
- Модератор
- Сообщения: 20975
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Настроить BIND
А для первой и третьей?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 24
Re: Настроить BIND
Да, с серва все команды отработали.
Возможно ли, что фаервол Сюси не работает толком или БИНД не правильно настроен (хотя nslookup работает)?
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
Не понял зачем поднимать DNS на SUSE, если он поднят на контроллере AD? Для работы Интернета на клиентах надо правильно настроить NAT на шлюзе (SUSE), как вы это делали (скриншоты покажите)? Или использовать прокси, например squid. Про его настройку мы тоже ничего не услышали.
-
- Сообщения: 24
Re: Настроить BIND
Дмитрий Н. писал(а): ↑09.06.2015 14:53Не понял зачем поднимать DNS на SUSE, если он поднят на контроллере AD? Для работы Интернета на клиентах надо правильно настроить NAT на шлюзе (SUSE), как вы это делали (скриншоты покажите)? Или использовать прокси, например squid. Про его настройку мы тоже ничего не услышали.
Скажите, какие скрины нужны - сделаю.
-
- Модератор
- Сообщения: 20975
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Настроить BIND
Это хорошо, а на клиенте-то что?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 24
Re: Настроить BIND
Дмитрий Н. писал(а): ↑09.06.2015 14:53Не понял зачем поднимать DNS на SUSE, если он поднят на контроллере AD? Для работы Интернета на клиентах надо правильно настроить NAT на шлюзе (SUSE), как вы это делали (скриншоты покажите)? Или использовать прокси, например squid. Про его настройку мы тоже ничего не услышали.
Сквид пока не ставил.
Превышен интервал ожидания для запроса. NSLOOKUP работает, а пинги наружу не ходят.
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
Нужны скриншоты настроек брандмауэра.
-
- Сообщения: 24
Re: Настроить BIND
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
Вот немного старая, но полезная инструкция по настройке SUSE firewall http://informatic.org.ua/_fr/13/Internet_sharin.pdf
-
- Сообщения: 24
Re: Настроить BIND
Дмитрий Н. писал(а): ↑09.06.2015 15:11Вот немного старая, но полезная инструкция по настройке SUSE firewall http://informatic.org.ua/_fr/13/Internet_sharin.pdf
По ней и настраивал, добавление правил ситуацию не изменило.
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
На скринах правил трансляции нет, по умолчанию всё запрещено. Разреши хотя бы ping для начала. Дальше будем смотреть.
-
- Сообщения: 24
Re: Настроить BIND
Дмитрий Н. писал(а): ↑09.06.2015 15:16На скринах правил трансляции нет, по умолчанию всё запрещено. Разреши хотя бы ping для начала. Дальше будем смотреть.
Пинги внутри сети ходят.
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
На SUSE firewall запрещены пинги из локальной сети в Интернет.
-
- Сообщения: 24
Re: Настроить BIND
Дмитрий Н. писал(а): ↑09.06.2015 15:23На SUSE firewall запрещены пинги из локальной сети в Интернет.
Какое правило создать для пинга?
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
В инструкции на 5-й странице. ))
-
- Сообщения: 24
Re: Настроить BIND
Не помогло(
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
Покажи, что ты прописал, с адресом локальной сети не напутал?
-
- Сообщения: 24
Re: Настроить BIND
192.168.100.4 интерфейс смотрящий в локалку, 192.168.100.3 - смотрит на шлюз с TMG
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
Что за ерунда... У тебя внешний интерфейс находится в той же подсети, что и внутренний? Почему сеть источника и сеть назначения одинаковые 192.168.100.0/24 ?
-
- Сообщения: 24
Re: Настроить BIND
Дмитрий Н. писал(а): ↑09.06.2015 15:47Что за ерунда... У тебя внешний интерфейс находится в той же подсети, что и внутренний? Почему сеть источника и сеть назначения одинаковые 192.168.100.0/24 ?
С этим может быть проблема? Кому нужно - указываем прямой шлюз на ТМГ, остальные через прокси.
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
На SUSE оба интерфейса воткнуты в один коммутатор? Тогда незачем настраивать трансляцию адресов... Забей на это дело оставь один сетевой интерфейс и переходи к настройке squid.
-
- Сообщения: 24
Re: Настроить BIND
Дмитрий Н. писал(а): ↑09.06.2015 16:05На SUSE оба интерфейса воткнуты в один коммутатор? Тогда незачем настраивать трансляцию адресов... Забей на это дело оставь один сетевой интерфейс и переходи к настройке squid.
Смысл настраивать сквид, если интернета нет? Сквид я настраивал раньше, с ним у меня проблем не будет.
-
- Сообщения: 174
- ОС: openSUSE Leap 15.0
Re: Настроить BIND
Тебе нужно добиться от SUSE, чтобы он http запросы от клиентов посылал на TMG2010, для этого на SUSE не требуется 2 сетевых интерфейса. Нужен правильно настроенный squid и firewall. Трансляция сетевых адресов не нужна (она нужна на TMG2010).
-
- Сообщения: 24
Re: Настроить BIND
Дмитрий Н. писал(а): ↑09.06.2015 16:14Тебе нужно добиться от SUSE, чтобы он http запросы от клиентов посылал на TMG2010, для этого на SUSE не требуется 2 сетевых интерфейса. Нужен правильно настроенный squid и firewall. Трансляция сетевых адресов не нужна (она нужна на TMG2010).
Получается: сконфигурировать на SUSE статик интерфейс (IP+ DNS от AD+ шлюз от TMG), Bind не поднимать. Какие настройки нужны для трансляции трафика с SUSE в локалку?