Настроить BIND

[MityaevMaxim]

Добрый день, Уважаемые! Вся надежда на ВАС!
В организации есть 2 сервера: 1й настроен как пограничный шлюз (2 сетевые, 2008R2+TMG2010), 2й как контролер домена с DNS/DHCP (1 сетевая). Поставлена задача организовать прокси-сервер на базе Suse (прозрачный squid/sarg). Подразумеваю, что на Сюсе будет 2 сетевые (одна в сторону пограничного шлюза, 2 я в локалку). Произвожу следующие настройки: ставлю Сьюсю, конфиг статик адресов (ДНС на 1й сетевой смотрит на КД, шлюз соответственно пишу IP пограничного серва), ставлю BIND из Yast, он автоматом цепляет DNS контролера домена и выставляет автоматическое слияние + ставлю галку трансляции адресов в брендмауэре Сьюс. Пишу на сетевой клиента: статик адрес, шлюзом IP Сьюс сетевой смотрящей на локалку, DNS контролера домена. ИТОГ: интернета нет.

Помогите решить проблему! Уверен, что решение лежит где-то на поверхности, загвоздка думаю в ДНС...
P.S. просьба не лить воду, что в ТМГ есть прокси с блокировкой, нужен сквид.

[Bizdelnick]

ИТОГ: интернета нет.

Видишь суслика? А он есть. ©

Это я к тому, что Интернет есть, только Вы его не видите. Отсюда вопрос: как (и главное — на что) смотрите? host разрешает имена? По IP-адресам наружу достучаться получается?

[MityaevMaxim]

ИТОГ: интернета нет.

Видишь суслика? А он есть. ©

Это я к тому, что Интернет есть, только Вы его не видите. Отсюда вопрос: как (и главное — на что) смотрите? host разрешает имена? По IP-адресам наружу достучаться получается?

Как проверить?

[MityaevMaxim]

ИТОГ: интернета нет.

Видишь суслика? А он есть. ©

Это я к тому, что Интернет есть, только Вы его не видите. Отсюда вопрос: как (и главное — на что) смотрите? host разрешает имена? По IP-адресам наружу достучаться получается?

Как проверить?

NSLOOKUP с клиентской машины:
nslookup mail.ru
sever-ad.test.local
Adresses: 192.168.100.1
Не заслуживающий доверия ответ:
mail.ru
Addresses: 94.100.180.200
217.69.139.200
94.100.180.202
217.69.139.202

[Bizdelnick]

Как проверить?

Например так:
host ya.ru
ping 93.158.134.3
wget -O /dev/null http://93.158.134.3/

[MityaevMaxim]

Как проверить?

Например так:
host ya.ru
ping 93.158.134.3
wget -O /dev/null http://93.158.134.3/

Для команды ping "Превышен интервал ожидания для запроса"

Как проверить?

Например так:
host ya.ru
ping 93.158.134.3
wget -O /dev/null http://93.158.134.3/

Для команды ping "Превышен интервал ожидания для запроса"

Команды с серва проходят, на нем инет есть...Инета нет на клиентах

[Bizdelnick]

Для команды ping "Превышен интервал ожидания для запроса"

А для первой и третьей?

[MityaevMaxim]

Для команды ping "Превышен интервал ожидания для запроса"

А для первой и третьей?

Да, с серва все команды отработали.

Возможно ли, что фаервол Сюси не работает толком или БИНД не правильно настроен (хотя nslookup работает)?

[Дмитрий Н.]

Не понял зачем поднимать DNS на SUSE, если он поднят на контроллере AD? Для работы Интернета на клиентах надо правильно настроить NAT на шлюзе (SUSE), как вы это делали (скриншоты покажите)? Или использовать прокси, например squid. Про его настройку мы тоже ничего не услышали.

[MityaevMaxim]

Не понял зачем поднимать DNS на SUSE, если он поднят на контроллере AD? Для работы Интернета на клиентах надо правильно настроить NAT на шлюзе (SUSE), как вы это делали (скриншоты покажите)? Или использовать прокси, например squid. Про его настройку мы тоже ничего не услышали.

Скажите, какие скрины нужны - сделаю.

[Bizdelnick]

Да, с серва все команды отработали.

Это хорошо, а на клиенте-то что?

[MityaevMaxim]

Не понял зачем поднимать DNS на SUSE, если он поднят на контроллере AD? Для работы Интернета на клиентах надо правильно настроить NAT на шлюзе (SUSE), как вы это делали (скриншоты покажите)? Или использовать прокси, например squid. Про его настройку мы тоже ничего не услышали.

Сквид пока не ставил.

Да, с серва все команды отработали.

Это хорошо, а на клиенте-то что?

Превышен интервал ожидания для запроса. NSLOOKUP работает, а пинги наружу не ходят.

[Дмитрий Н.]

Нужны скриншоты настроек брандмауэра.

[MityaevMaxim]

Нужны скриншоты настроек брандмауэра.

[Дмитрий Н.]

Вот немного старая, но полезная инструкция по настройке SUSE firewall http://informatic.org.ua/_fr/13/Internet_sharin.pdf

[MityaevMaxim]

Вот немного старая, но полезная инструкция по настройке SUSE firewall http://informatic.org.ua/_fr/13/Internet_sharin.pdf

По ней и настраивал, добавление правил ситуацию не изменило.

[Дмитрий Н.]

На скринах правил трансляции нет, по умолчанию всё запрещено. Разреши хотя бы ping для начала. Дальше будем смотреть.

[MityaevMaxim]

На скринах правил трансляции нет, по умолчанию всё запрещено. Разреши хотя бы ping для начала. Дальше будем смотреть.

Пинги внутри сети ходят.

[Дмитрий Н.]

На SUSE firewall запрещены пинги из локальной сети в Интернет.

[MityaevMaxim]

На SUSE firewall запрещены пинги из локальной сети в Интернет.

Какое правило создать для пинга?

[Дмитрий Н.]

В инструкции на 5-й странице. ))

[MityaevMaxim]

В инструкции на 5-й странице. ))

Не помогло(

[Дмитрий Н.]

Покажи, что ты прописал, с адресом локальной сети не напутал?

[MityaevMaxim]

Покажи, что ты прописал, с адресом локальной сети не напутал?

Покажи, что ты прописал, с адресом локальной сети не напутал?

192.168.100.4 интерфейс смотрящий в локалку, 192.168.100.3 - смотрит на шлюз с TMG

[Дмитрий Н.]

Что за ерунда... У тебя внешний интерфейс находится в той же подсети, что и внутренний? Почему сеть источника и сеть назначения одинаковые 192.168.100.0/24 ?

[MityaevMaxim]

Что за ерунда... У тебя внешний интерфейс находится в той же подсети, что и внутренний? Почему сеть источника и сеть назначения одинаковые 192.168.100.0/24 ?

С этим может быть проблема? Кому нужно - указываем прямой шлюз на ТМГ, остальные через прокси.

[Дмитрий Н.]

На SUSE оба интерфейса воткнуты в один коммутатор? Тогда незачем настраивать трансляцию адресов... Забей на это дело оставь один сетевой интерфейс и переходи к настройке squid.

[MityaevMaxim]

На SUSE оба интерфейса воткнуты в один коммутатор? Тогда незачем настраивать трансляцию адресов... Забей на это дело оставь один сетевой интерфейс и переходи к настройке squid.

Смысл настраивать сквид, если интернета нет? Сквид я настраивал раньше, с ним у меня проблем не будет.

[Дмитрий Н.]

Тебе нужно добиться от SUSE, чтобы он http запросы от клиентов посылал на TMG2010, для этого на SUSE не требуется 2 сетевых интерфейса. Нужен правильно настроенный squid и firewall. Трансляция сетевых адресов не нужна (она нужна на TMG2010).

[MityaevMaxim]

Тебе нужно добиться от SUSE, чтобы он http запросы от клиентов посылал на TMG2010, для этого на SUSE не требуется 2 сетевых интерфейса. Нужен правильно настроенный squid и firewall. Трансляция сетевых адресов не нужна (она нужна на TMG2010).

Получается: сконфигурировать на SUSE статик интерфейс (IP+ DNS от AD+ шлюз от TMG), Bind не поднимать. Какие настройки нужны для трансляции трафика с SUSE в локалку?