Harici DNS ve yönlendirme için pfSense çözümleyicisini kullanan, Active Domain / Windows DNS’de yeni misiniz?


0

PfSense ile Active Domain kurulumu hakkında bazı sorularım var. Bu konuda oldukça yeniyim ve bu sorularla özel olarak ilgilenen bir yazı bulamadım ve saatlerce uğraşıyorum.

İşte kurulumumun basit bir şeması:

istemci makineleri <--> Dahili DNS için ADDC / DNS / DHCP sunucusu <-->, harici DNS (çözümleyici) için pfSense’e iletilir ve trafiği iç ağ IP’yi temel alarak VPN / VPN’ye bölmez

Active Directory Etki Alanı denetleyicisi olan Windows Server 2016 çekirdeği, yerel ağ için DNS sunucusudur ve DHCP kiraları verir.

Windows’un DNS’i, DNS çözümleyici servisi olan bir adı (örn. Harici DNS) çözemezse, pfSense güvenlik duvarıma DNS istekleri iletmek üzere ayarlanmış durumda.

pfSense, ADDC / DNS / DHCP kutusunu kurmadan önce, belirli IP'lerden internete VPN'li veya VPN'siz trafiği yönlendirmek için zaten kurulmuştu. VPN, OpenVPN kullanılarak pfSense üzerinden bağlanır ve her biri için farklı harici özyinelemeli DNS sunucuları vardır (sırasıyla PIA ve Google DNS kullanıyorum).

Windows ADDC / DNS / DHCP sunucusunu ayarladıktan sonra, pfSense’te değiştirdiğim tek şey DHCP sunucusunu kapatmak.

Şimdiye kadar her şey iyi çalışıyor gibi görünüyor, ancak Windows Server'ı ağ oluşturmak için kullanmaya yeni başladığımda, bazı kişilerin bu ayarı analiz etmeme yardımcı olabileceğini umuyordum. İşte özel sorularım:

1) Bu işleri böyle mi yapacağım? Nasıl yapıldığına dair yanlış bir şey var mı, yoksa yapmanın daha iyi bir yolu var mı?

2) ADDC / Dahili DNS, yalnızca DNS girişlerini gösterir (örn. 127.0.0.1). Bu uygun mu?

Technet'te bazı makalelerin, işaret etmek için başka bir DNS kullanmanın en iyisi olduğunu belirttiğini gördüm - ağımda başka bir DNS yok (pfSense Resolver'ı saymazsanız). Bunun yerine çalışma veya paylaşılan iş yüküne bir referans olduğunu varsaymıştım (örn. 80/20 kuralı) ama gerçekten emin değilim.

3) Dahili ağ pfSense'ten kaldırılır - pfSense temel olarak harici herhangi bir şeyle ve başka hiçbir şeyle ilgilenmez. Fakat hala oldukça fazla rol dolduruyor. Bu, işleri ayarlamak için iyi bir yol mu yoksa dış DNS'i işaret etmek için Windows'u kullanmanın yararları var mı?

Bind veya Windows kullanarak bir DNS önbelleği ayarlamak ve sadece bir güvenlik duvarı olarak pfSense kullanmak yararlı olur mu?

Yanıtlar:


0

Yalnızca bir DC'niz varsa, evet, birincil DNS olarak kendisine işaret et - bu Microsoft tarafından önerilen uygulamadır.

İdeal olarak, "harici DNS" için ileticileri bu ServerFault.com sorusunda belirtildiği gibi (sorunuza çok benzeyen) yapılandırmanız gerekir: https://serverfault.com/questions/601003/how-to-have- your-dns-sunucular ileri-sorguları-için-internet-adlarıyla

DNS sunucunuzun özelliklerini düzenleyin> İleticiler sekmesi> ISS / harici DNS sunucularınızın ip adresini girin. İsterseniz veya ileticiler uygun değilse kök ipuçlarını kullanabilirsiniz. Ayrıca Gelişmiş sekmesi> Özyinlemeyi devre dışı bırak kutusunun işaretli olmadığını onaylamalısınız.

Kök ipuçlarını kullanmak istiyorsanız:

DNS Sunucusu Kök İpuçları sekmesi doldurulmazsa, bunları dosyadan tekrar girebilirsiniz:% systemroot% \ system32 \ dns \ cache.dns. DNS sunucunuzun sorguları tekrar tekrar çözmesini sağlamak için, DNS sunucunuz bir kök (. Nokta) bölgesini barındıramaz.


PfSense güvenlik duvarı, trafiğin doğrudan ISS'ye mi yoksa VPN üzerinden mi yönlendirildiğine bağlı olarak harici DNS - Google ve PIA'yı gösterecek şekilde ayarlanmıştır. Bunu Windows üzerinden yapmanın bir yolundan emin değilim, bu yüzden onu olduğu gibi bıraktım ve pfSense DNS çözümleyicisine ilettim ... bu işlevi bırakacak kadar avantajlı bir dış DNS'ye mi işaret ediyor? Özgün sorumun cevaplandırılması durumunda özür dilerim.
AveryFreeman

Windows istemcilerinize DNS ayarlarına DC DHCP tarafından verilecek, böylece istemciler başlangıçta DNS için DC'yi gösterecek ve daha sonra isteğini (hemen yerine getiremezse) pfSense'inize iletecektir. ISP /
VPN'iniz

Güzel, o kısmın işe yaramasına sevindim ... Bunu yapmanın daha iyi bir yolunu düşünemedim ama geribildirimi takdir ediyorum.
AveryFreeman
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.