Страница 1 из 2
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-05 18:12:45
Reken
Здравствуйте
Помогите пожалуйста разобраться в следующей проблеме:
Есть FreeBSD 9.3 . Она была подключена к ИНЕТУ через вышестоящий шлюз (ПРОКСИ-СЕРВЕР). Настройки для ИНЕТА на FreeBSD выглядели следующим образом:
/etc/rc.conf
Код: Выделить всё
ifconfig_sis0="inet 192.168.99.37 netmask 255.255.255.0" # внешняя сетевая карта
ifconfig_rl0="inet 192.168.0.4 netmask 255.255.255.0" # внутрення сетевая карта
defaultrouter="192.168.99.4" # шлюз
sshd_enable="YES"
ntpd_enable="YES"
named_enable="YES"
Код: Выделить всё
nameserver 192.168.99.5 # DNS Сервер
nameserver 127.0.0.1 # Стандартный DNS
nameserver 8.8.8.8 # DNS от google
Код: Выделить всё
listen-on { 127.0.0.1; 192.168.0.4; };
forwarders {
127.0.0.1; 192.168.99.5; 8.8.8.8;
};
Ну и собственно настройки для ПРОКСИ:
/.cshrc
Код: Выделить всё
setenv HTTP_PROXY http://192.168.99.4:3128
setenv http_proxy http://192.168.99.4:3128
setenv FTP_PROXY http://192.168.99.4:3128
setenv ftp_proxy http://192.168.99.4:3128
setenv FETCH_CMD "/usr/bin/fetch -ARrvp -T 10"
/etc/make.conf
Код: Выделить всё
FETCH_ENV=HTTP_PROXY=http://192.168.99.4:3128
FETCH_ENV=http_proxy=http://192.168.99.4:3128
FETCH_ENV=FTP_PROXY=http://192.168.99.4:3128
FETCH_ENV=ftp_proxy=http://192.168.99.4:3128
FETCH_CMD=/usr/bin/fetch -ARrvp -T 10
Так же хочу отметить, что FreeBSD работала как маршрутизатор, одной сетевухой смотрела в вышестоящий прокси, другой сетевухой смотрела в локальную сеть. По такой схеме, на компах в локалке, для которых FreeBSD 9.3 является маршрутизатором, всё было хорошо, ИНЕТ работал.
Теперь, когда я вывел FreeBSD 9.3 из под вышестоящего ПРОКСИ-СЕРВЕРА, и подключил её на прямую к ИНЕТУ, то на компах в локальной сети перестал работать ИНЕТ (скрин прилагается). На самой FreeBSD ping до google проходит, и google преобразовывается в IP адрес. А на компах в локалке, пинг до гугла не проходит, и гугл при пинге не преобразовывается в IP адрес.
Вот такие изменения внес в конфиги FreeBSD 9.3, когда подключил ИНЕТ напрямую…
/etc/rc.conf
Код: Выделить всё
ifconfig_sis0="inet XX.XX.XX.XX netmask 255.255.255.0" # внешняя сетевая карта # XX.XX.XX.XX- IP выделенный провайдером
ifconfig_rl0="inet 192.168.0.4 netmask 255.255.255.0" # внутрення сетевая карта
defaultrouter=" XX.XX.XX.XX " # шлюз провайдера
sshd_enable="YES"
ntpd_enable="YES"
named_enable="YES"
Код: Выделить всё
nameserver XX.XX.XX.XX # DNS провайдера
nameserver XX.XX.XX.XX # DNS провайдера
nameserver 8.8.8.8 # DNS от google
Код: Выделить всё
listen-on { 127.0.0.1; 192.168.0.4; };
forwarders {
127.0.0.1; XX.XX.XX.XX; XX.XX.XX.XX; 8.8.8.8; # XX.XX.XX.XX=DNS провайдера
};
В конфигах
/.cshrc и
/etc/make.conf закомментировал строки относящиеся к ПРОКСИ (ВЫШЕ Я ИХ УКАЗЫВАЛ)
Помогите пожалуйста разобраться, заранее спасибо…
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-05 20:09:06
sansa
У тебя походу клиенты все еще пытаются к старому прокси пытаются приконнектиться. Убери в настройках хрома прокси.
ЗЫ. И надо бы pf еще настроить. Негоже всеми портами в инет смотреть.
Отправлено спустя 1 минуту 25 секунд:
Сори, пропустил про пинг на клиенте. Смотри так же, какие IP, шлюзы и DNS раздаются клиентам по DHCP/настроены вручную
ЗЫ. В конфиге named убери 127.0.0.1 из forwarders
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-05 20:42:02
Neus
Так же хочу отметить, что FreeBSD работала как маршрутизатор, одной сетевухой смотрела в вышестоящий прокси, другой сетевухой смотрела в локальную сеть. По такой схеме, на компах в локалке, для которых FreeBSD 9.3 является маршрутизатором, всё было хорошо, ИНЕТ работал.
Не вижу в твоём rc.conf включения маршрутизации.
На скрине ответ от проксисервера, но его включения в rc.conf тоже нет.
Как в этой семерке настроен выход в инет?
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-05 20:48:11
sansa
И еще по named...
в resolv.conf нужен только 127.0.0.1
Остальные DNS у тебя как форвардеры прописаны.
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-05 23:45:57
snorlov
Поднять файер с натом забыл, хотя можно файер и не поднимать, но нат точно нужен
rc.conf
Код: Выделить всё
gateway_enable="YES"
firewall_enable="YES"
firewal_nat_enable="YES"
firewall_nat_interface="rl0"
firewall_type="OPEN"
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-06 9:41:39
Reken
Я не полностью показал rc.conf
Вот так выглядит:
Код: Выделить всё
gateway_enable="YES"
ifconfig_sis0="inet XX.XX.XX.XX netmask 255.255.255.0" # внешняя сетевая карта # XX.XX.XX.XX- IP выделенный провайдером
ifconfig_rl0="inet 192.168.0.4 netmask 255.255.255.0" # внутрення сетевая карта
defaultrouter=" XX.XX.XX.XX " # шлюз провайдера
firewall_nat_enable="YES"
firewall_enable="YES"
ntpd_enable="YES"
named_enable="YES"
firewall_script="/etc/rc.firewall.my"
Строки из rc.firewall.my отвечающие за нат:
Код: Выделить всё
${fwcmd} nat 1 config log if $WIF reset same_ports deny_in redirect_port tcp 192
.168.0.6:1723 1723 redirect_proto gre 192.168.0.6 # что бы VPN шел к компу 192.168.0.6
${fwcmd} add 10000 nat 1 all from any to any via $WIF #WIF=внешняя локалка
Я вот думаю, может мне нужно в файле named.conf добавить вот это:
Код: Выделить всё
# Корневая зона
zone "." {
type hint;
file "named.root";
};
# Прямая локальная зона
zone "localhost" {
type master;
file "master/localhost-forward.db";
};
# Обратная локальная зона
zone "127.in-addr.arpa" {
type master;
file "master/localhost-reverse.db";
};
# Моя зона
zone "mydomain.local" {
type master;
file "master/mydomain.local";
};
Другими словами сделать как советуют в статье
http://www.lissyara.su/articles/freebsd ... med_9.7.0/
Как думаете?
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-07 21:42:49
sansa
Ответьте, пожалуйста на мой первый вопрос.
Интересует вывод ipconfig виндовых клиентов, и настройка их proxy
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-08 16:30:05
Reken
Всё получилось
Вышеуказанная статейка помогла
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-08 22:19:52
Neus
А в чем дело то было?
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 8:40:10
Reken
Для того что бы на компах в домене заработал ИНЕТ, я сделал следующее:
в файл named.conf добавил
Код: Выделить всё
# Моя зона
zone "mydomain.local" {
type master;
file "master/mydomain.local";
};
В файле mydomain.local по адресу /etc/namedb/master/ написал следующее:
Код: Выделить всё
$TTL 3600
@ IN SOA ns.mydomain.local. адрес.yandex.ru (
2010021701; Serial
3600; Refresh
900; Retry
360000; Expire
3600; Minimum
)
IN NS ns.mydomain.local.
localhost IN A 127.0.0.1
mydomain.local[b]БЕЗ ТОЧКИ НА КОНЦЕ[/b] IN A 192.168.0.4 (внутренний IP FreeBSD)
ns IN A 192.168.0.5 (контроллер домена)
ns IN A XX.XX.XX.XX (DNS провайдера)
ns IN A XX.XX.XX.XX (DNS провайдера)
ns IN A 8.8.8.8
jabber IN A 192.168.0.4
#squid IN A 192.168.0.4
После этих действий ИНЕТ на компах в домене появился, но настораживает ошибка при старте NAMED
Код: Выделить всё
freebsd named: /etc/namedb/master/mydomain.local:19: #squid.mydomain.local: bad owner name (check-names)
freebsd named: zone mydomain.local/IN: loading from master file /etc/namedb/master/mydomain.local failed: bad owner name (check-names)
freebsd: zone kostomfo.local/IN: not loaded due to errors
Подскажите пожалуйста, какой смысл содержит в себе ошибка? Ей не нравится что я не поставил
точку после mydomain.local ?
Надеюсь на Вашу помощь, заранее спасибо...
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 9:35:43
snorlov
Если я правильно понимаю, у вас есть виндовый домен mydomain.local с контроллером домена на 192.168.0.5, на котором должна быть поднята зона mydomain.local, надеюсь обратная зона (192.168.0) на нем тоже есть, и вы ходите через фрю(192.168.0.4) в инет...
Я правильно понимаю или нет?
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 9:40:57
Reken
snorlov писал(а):Если я правильно понимаю, у вас есть виндовый домен mydomain.local с контроллером домена на 192.168.0.5, на котором должна быть поднята зона mydomain.local, надеюсь обратная зона (192.168.0) на нем тоже есть, и вы ходите через фрю(192.168.0.4) в инет...
Я правильно понимаю или нет?
Да, Вы полностью правильно поняли
P.S. Обратная зона на контроллере есть, и соответственно зона mydomain.local поднята (Active Directory, DNS, DHCP все эти роли есть на контроллере и настроены)
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 10:09:12
snorlov
Ну тогда, пустите dns контроллера домена в инет, при этом на вашем контроллере домена можно в настройках указать, что все запросы, не относящиеся к mydomain.local отправляются на dns провайдеру или в dns гугола, а можно и не указывать, тогда он сам будет разрешать все dns запросы, на всех машинах пропишите его в качестве главного dns'а через настройку dhcp, а на фре named тогда можно убить, в принципе он не нужен, а можно и оставить, сделав его вторичником по отношению к контроллеру AD, на всякий случай...
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 10:26:38
Reken
snorlov писал(а):Ну тогда, пустите dns контроллера домена в инет, при этом на вашем контроллере домена можно в настройках указать, что все запросы, не относящиеся к mydomain.local отправляются на dns провайдеру или в dns гугола, а можно и не указывать, тогда он сам будет разрешать все dns запросы, на всех машинах пропишите его в качестве главного dns'а через настройку dhcp, а на фре named тогда можно убить, в принципе он не нужен, а можно и оставить, сделав его вторичником по отношению к контроллеру AD, на всякий случай...
Спасибо большое за советы.
Но я немножко запутался...
В данный момент у меня так в сетке:
У всех компов в домене, в качестве DNS указан контроллер домена (192.168.0.5). У самого контроллера домена в качестве DNS, тоже указан 192.168.0.5
Если на FreeBSD убить named, тогда компы в домене не смогут выйти в ИНЕТ.
А смысл ошибки всё таки в чем заключается? сможете подсказать на что именно она ругается?
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 11:00:13
dekloper
Reken писал(а): DNS, DHCP все эти роли есть на контроллере и настроены
всё не так, всё не правильно))
сносить к херам все эти
"роли", вкорячить всё на фряху (ddns+dhcp)!
Reken писал(а): А смысл ошибки всё таки в чем заключается?
Reken писал(а): freebsd named: /etc/namedb/master/mydomain.local:19: #squid.mydomain.local: bad owner name (check-names)
и чо там в 19-й строке?
в разделе опций включить игнорирование, если вы уж так хочите жить совместно с бляцким днс-ом))
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 11:08:10
Reken
dekloper писал(а):всё не так, всё не правильно))
Почему? Всё работает, ip компов преобразуются в имена...
dekloper писал(а):сносить к херам все эти "роли", вкорячить всё на фряху (ddns+dhcp)
Зачем? Всё же и на Windows контроллере работает...
dekloper писал(а):и чо там в 19-й строке?
Меня больше заинтересовала ошибка:
freebsd named: zone mydomain.local/IN: loading from master file /etc/namedb/master/mydomain.local failed: bad owner name (check-names)
freebsd: zone kostomfo.local/IN: not loaded due to errors
Но как я понял, это решаемо через:
dekloper писал(а):в разделе опций включить игнорирование
Другими словами просто проигнорировать эту ошибку...
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 11:21:25
snorlov
Та ошибка из-за того, что владелец файла является root, а по умолчанию named хочет иметь bind:bind...
Почему вы считаете, что компы не смогут выходить в инет? Разрешение имен на станциях работает, нат на фре тоже работает, что еще надо, другое дело, если вы хотите иметь инет на фре, но тут или указывать dns провайдера или dns контроллера АД или действительно локально поднимать dns и настраивать на него. И вообще, выход в инет никак не связан со службой dns, эта служба создана для людей, поскольку переводит символическое имя в последовательность чисел, которые мы, в большинстве своем, запомнить естественно не можем...
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 11:42:50
dekloper
Reken писал(а): заинтересовала ошибка
не по rfc чета..
че в логах (включите канал debug)? и в 19-й строке?
Reken писал(а): Зачем? Всё же и на Windows контроллере работает...
не правильно, что врагов спонсируете..
лучше бы
людям помогли, на пиццу не хватает)
Nowadays, the Samba Team needs a dollar instead of pizza
Отправлено спустя 3 минуты 49 секунд:
snorlov писал(а): named хочет иметь bind:bind
ясен хрен, первым делом проверять надо..
и вобще странно, что намед в етц..
шас уже в /usr/local/etc/ из портов ставится..
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 11:53:23
Reken
snorlov писал(а):Почему вы считаете, что компы не смогут выходить в инет?
Изначально, без настройки файла зоны mydomain.local у меня компы даже гугл не могли пропинговать, следовательно named не отрабатывал. Или я заблуждаюсь? Поэтому и сделал вывод что если убрать named, то опять компы в ИНЕТ не выйдут...
snorlov писал(а):если вы хотите иметь инет на фре
Мне он просто необходим на FreeBSD, у меня фряха как почтовый сервер ещё работает...
snorlov писал(а):Та ошибка из-за того, что владелец файла является root, а по умолчанию named хочет иметь bind:bind...
Получается она не несет в себе, ничего "серьезного", получается её можно проигнорировать...
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 12:12:35
dekloper
права на файлики намеда проверьте.. чо сложного то
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 12:30:06
Reken
root@freebsd:~ # ls -l /etc/namedb/master/mydomain.local
-rw-r--r-- 1 root wheel 1040 Feb 16 10:39 /etc/namedb/master/mydomain.local
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 12:37:39
snorlov
Reken писал(а):snorlov писал(а):Почему вы считаете, что компы не смогут выходить в инет?
Изначально, без настройки файла зоны mydomain.local у меня компы даже гугл не могли пропинговать, следовательно named не отрабатывал. Или я заблуждаюсь? Поэтому и сделал вывод что если убрать named, то опять компы в ИНЕТ не выйдут...
snorlov писал(а):если вы хотите иметь инет на фре
Мне он просто необходим на FreeBSD, у меня фряха как почтовый сервер ещё работает...
snorlov писал(а):Та ошибка из-за того, что владелец файла является root, а по умолчанию named хочет иметь bind:bind...
Получается она не несет в себе, ничего "серьезного", получается её можно проигнорировать...
Пинг и днс это разные вещи, запуская пинг по имени вы проверяете как разрешается имя в ip, а если он не идет, но разрешение есть, то проблема в маршрутизации, а если у вас еще и приватные адреса, то добавляется проблемы в работе ната, файера ну и т.д....
Еще раз повторюсь, если у вас правильно настроен dns на АД, а именно, взята ваша локальная зона с потолка, которой вообще нет в инте и она не является рутовой, и загружены рутовые зоны или сделана пересылка запросов к не вашей зоны на действующие днс сервера, то разрешение будет работать, если есть доступ контроллера ад в инет...
На почтовом сервере эта служба тоже не нужна, особенно, если у вас есть только один действительный ip, нужны соответствующие записи MX у днс сервера, где зарегистрирован ваш почтовик и соответсвующая запись в обратной зоне того, кто вам выдал действительный ip, почтовик тупо смотрит, что у вас записано в resolv.conf, берет первый ip и к нему идет за поиском соответсвующей записи MX в требуемом ему домене...
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 12:53:39
dekloper
Reken писал(а): -rw-r--r-- 1 root wheel 1040 Feb 16 10:39 /etc/namedb/master/mydomain.local
и..?
какие выводы (на ваш взгляд)?
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 14:14:52
Reken
snorlov писал(а):
Пинг и днс это разные вещи, запуская пинг по имени вы проверяете как разрешается имя в ip, а если он не идет, но разрешение есть, то проблема в маршрутизации, а если у вас еще и приватные адреса, то добавляется проблемы в работе ната, файера ну и т.д....
Еще раз повторюсь, если у вас правильно настроен dns на АД, а именно, взята ваша локальная зона с потолка, которой вообще нет в инте и она не является рутовой, и загружены рутовые зоны или сделана пересылка запросов к не вашей зоны на действующие днс сервера, то разрешение будет работать, если есть доступ контроллера ад в инет...
На почтовом сервере эта служба тоже не нужна, особенно, если у вас есть только один действительный ip, нужны соответствующие записи MX у днс сервера, где зарегистрирован ваш почтовик и соответсвующая запись в обратной зоне того, кто вам выдал действительный ip, почтовик тупо смотрит, что у вас записано в resolv.conf, берет первый ip и к нему идет за поиском соответсвующей записи MX в требуемом ему домене...
Спасибо...
Но зачем мне что то переделывать, если всё работает... NAT работает, имена компов в сетке распознаются, почта ходит, ИНЕТ на компах есть и т.д...
Моя задача была понять ошибку, которую я привел выше. Я её понял, она связана с правами
Snorlov спасибо.
dekloper, мои выводы, что с правами на файл нужно крутить...
FreeBSD подключение к ИНЕТУ
Добавлено: 2016-02-17 14:22:22
dekloper
неправильные выводы, крутить не надо
Код: Выделить всё
chown -R bind:bind /etc/namedb && service named restart
всё.