BIND. trunk или slave ?

[omnus]

Добрый день.
Имеется сеть из нескольких отделов разделенных территориально. В каждом таком отделе стоит пограничный сервер под управлением FreeBSD.
Между собой сети объединяются по OpenVPN.
В головном отделение имя домена например 111.ru В остальных идут дочерние домены 222.111.ru 333.111.ru и так далее.
На контроллерах домена в родительских доменах, в настройках ДНС, указал форвардинг на пограничный сервер с FreeBSD (у каждого свой).
Далее на пограничном сервере развернул BIND и в нем добавил зоны из родительского домена как SLAVE
Теперь собсна вопрос. Для корректной работы контроллеров домена, в BIND лучше настроить как вторичный или как зона заглушка?

Код: Выделить всё

В родительском домене:
 >>uname -a
FreeBSD 9.0-RELEASE FreeBSD 9.0-RELEASE #5
 >>named -v
BIND 9.8.1-P1

Код: Выделить всё

В дочерних доменах:
# uname -a
FreeBSD 9.1-RELEASE FreeBSD 9.1-RELEASE #0
# named -v
BIND 9.8.3-P4

Нюанс работы. В родительском домене зоны AD находятся на DNS сервере с FreeBSD (не спрашивайте почему, наверно предыдущий начальник очень сильно любил такой изврат)
По поводу заглушек и вторичных, хотелось бы реализовать так чтобы при падении open vpn днс пытался ломиться сперва по внутренней зоне, и если по ней связи нету то идти через интернет и запрашивать например теже MX записи через внешку.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

Настраивайте как slave. На master настройте notyfy и передачу зоны:

[omnus]

это уже сделано, но интересует, если неожиданно прервется связь по vpn и он не сможет забрать зону, пойдет ли он через интернет за данными о зоне?

[mak_v_]

Нет, не пойдет, поскольку он авторитарный, вторичный. Не найдя записи у себя - никуда не пойдет.
Если надо такая релизация, то только кеширующаяя затычка.
Ну можно сделать костыль, проверящий "обновленность записей" или "оборванность канала" и подменяющий конфиг+рестартящий сервер. Но помоему это костыляка. Плюс ко всему - не думаю что у вас данные зон меняются каждые 20 секунд и нужны всегда актуальные. Имхо, вторичный r\o- самое оно

[omnus]

Ну можно сделать костыль, проверящий "обновленность записей" или "оборванность канала" и подменяющий конфиг+рестартящий сервер. Но помоему это костыляка. Плюс ко всему - не думаю что у вас данные зон меняются каждые 20 секунд и нужны всегда актуальные.

нет конечно, но если сделать вторичным для главной зоны родительского домена, то при падении VPN канала, он не сможет обратиться к ресурсом родительской зоны, например те же записи об MX.
я забыл указать что в ДНС настроены виды, и разные данные для локальной сети и внешней. Так вот при падении канала получается он будет знать только записи для внутренней сети, и не сможет получить другие записи.
а если в зону для локальной сети добавить для серверов также их записи о белых IP-адресах это может помочь?

[mak_v_]

Вы хотите такое?:
1) Впн есть - MX на серый адрес
2) Впн нет - MX на белый
Если так, то никак....предложу сделать ход конем:
При наличнии тунея : Настраивайте MX на белый, а на пограничном роутере в фаерволе прописывайте редирект на серый
При отсутствии тунеля: Настраивайте MX на белый, а на пограничном роутере в фаерволе УБИРАЕТЕ редирект на серый
Все это через организуем через скрипт "up\down" при поднятии\падении тунеля. Вроде так изящно и правильно. ИМХО

[omnus]

спасибо, попробую