iT邦幫忙

0

總部用DNS server與分店用DNS server架設問題

現況描述:總部有台DNS server D1,專門給總部電腦用來作內部解析(例如:192.168.1.100對應eip.test.com.tw)與上網際網路時DNS用。DNS server D1的轉寄站有設定8.8.8.8與168.95.1.1。
總部電腦的DNS就是設定那台DNS server D1的IP。

問題:目前有好幾家分店,總部政策規定分店皆無法上外網。若一樣要用DNS server作內部解析,是否需要再架設一台DNS server,然後不需要設定轉寄站。

感恩各位前輩的不吝賜教。

看更多先前的討論...收起先前的討論...
slime iT邦大師 1 級 ‧ 2016-09-05 13:26:40 檢舉
先確定幾個狀況:
1. 分店是透過 VPN 連回總部?
2. 總部是否有防火牆?
3. DNS Server 使用的 OS ?

可能組合:
1. DNS 只有一台, 防火牆端設定禁止分店對外.
2. DNS 主機設定 view , 分公司查詢時只回應內部資料.
marx1976 iT邦新手 5 級 ‧ 2016-09-05 13:29:05 檢舉
請問,各分店與總部之間的連線,是否為 site to site VPN 呢?還有各自的網段是否相同?或是各自獨立呢?
如果各店對總部是 site to site vpn 建置,只要連線通透,各主機又都有像DNS報到紀錄,那內部解析就沒有問題。
不能上網,反而只要在防火牆上阻擋 http or https 即可,不是嗎?
如果有理解錯誤的地方,請指正,謝謝。
eric00170 iT邦新手 4 級 ‧ 2016-09-05 14:58:41 檢舉
一般人講的不能上外網也不用這麼麻煩只擋HTTP及HTTPS
乾脆就分店的source IP對外全擋就好,除非有特殊需求再做開放

另外就像上面講的,先把你內部環境先提供清楚
總部跟分店的連線是什麼?總部跟分店有沒有防火牆?
基本上只要有防火牆就好辦事,不管簡單或複雜
總部(Zyxel 1100)與分店(Zyxel 40)是用 site to site VPN(雙向40M)架設。而總部有台Fortigate 100D防火牆專門上外網用(另外一條線路)。
DNS Server 用的是Server 2012 R2。

1 個回答

1
做工仔人!
iT邦大師 1 級 ‧ 2016-09-05 13:23:51
最佳解答

答案是:原則上不是另外架DNS FOR 門市用.

  1. "總部政策規定分店皆無法上外網" : 這是門市防火牆的設定.(只要全部封包DENY 掉.就無法連外線,只留VPN )
  2. 門市與總公司間應該會有VPN . 否則門市不能上網又沒有VPN .那門市的網路要做什麼? 門市電腦的DNS 只要指到總公司的DNS SERVER D1 .就可以了.(原則上D1 這台DNS是屬於內部用的DNS)
看更多先前的回應...收起先前的回應...

沒錯,門市與總公司有串VPN,是利用防火牆對防火牆串接VPN。
目前門市無法上網際網路的方式是門市的防火牆與電腦都沒有設DNS,以致無法解析,但ping外部IP(ex:8.8.8.8)仍是可行的。
若將門市的DNS設為DNS server D1,但DNS server D1的轉寄站有設定8.8.8.8與168.95.1.1,門市是不是就可以上網了。倘若要門市無法上網,是否要在哪裡進行設定,例如總部防火牆。
另外,全部門市與總部都指向同一台DNS server,Loading會不會過大,感恩前輩的回答。

先清一下觀念:

  1. 防火牆的功能 : 決定內部電腦可不可以上網或可不可以上那個網?
  2. DNS的功能:做 domain 與 IP 的對照翻譯.

您目前沒有設定DNS ,不代表門市就不能上網. 只是門市要上網不可以用: www.104.com.tw 的方式. 但是可以用:http://122.147.53.67 的方式上網.

所以 您可以在門市防火牆管理畫面上:"防火牆"->過濾器設定中設定一條過濾器規則.將門市內部要到 internet 的連線設定為"主刻封鎖" . 這樣門市才真的不能上網.
再來就是門市電腦設定 DNS 指到總公司的DNS SERVER 就好了.

加碼一下:
電腦在做DNS解析有二層(順序):

  1. 本機的"hosts" 檔
  2. DNS SERVER

本機hosts 的使用時機: 就是某的domain 要做特別解析時.
如公司的內部網站為: bbs.domain.com.tw ->192.168.1.20 ,
給門市看的內部網站也是 bbs.domain.com>tw -> 192.168.1.25
門市的設定就可以放在 hosts 中.

感恩前輩的回覆,非常清楚。
只是您提及的HOSTS使用方式,
您舉的例子我還是不是很明嘹,
意思是我不用把門市電腦設定 DNS 指到總公司的DNS SERVER,
一樣可以達到 bbs.domain.com.tw 對應內部IP的效果嗎?
因為之前自己在電腦上測試過,結果無法。
是否可以煩請您再說明,感恩。

所以 您可以在門市防火牆管理畫面上:"防火牆"->過濾器設定中設定一條過濾器規則.將門市內部要到 internet 的連線設定為"主刻封鎖" . 這樣門市才真的不能上網.

另外,您說的這個方式是否可以直接在總部防火牆設定,感恩。

  1. 我的系統是win 7
  2. 2.路徑: C:\Windows\System32\drivers\etc
  3. 檔名: hosts (不可有副案名)
  4. 設定方式: (前面不可有#)

For example:

  102.54.94.97     rhino.acme.com          # source server  
   38.25.63.10     x.acme.com              # x client host  

建議:
如果可以設用dns server 處理.儘量用dns server 來處理.
真的不行才用hosts
這是為了以後著想.(不管是年久忘了或是後續接手的人)

總公司也可以 !!
防火牆的功能就是:
判斷:
**誰可以上網? **

可以將董事長/總經理/副總/經理放固定 IP ,並設為一個群組 . 讓他們可以上網. 其他的人就不行.(MIS當然可以上網)

** 可以上那個網:**
如不可以上求職網站或色情網站 . (這個要參考防火牆的功能,不同廠商的防火牆,在設定及功能上會有差異.)

另外:門市與總公司的USER 能不能上網的問題:原則上彼此間是各自獨立的.
也就是門市的防火牆設定USER 不能上網.只有在這個門市的電腦不能上網.
在總公司的電腦不會受影響.

至於門市電腦可不可以透過總公司的網路上網?
基本上是看門市防火牆上有沒有 routing : 將0.0.0.0 指到 VPN . 而且總公司的網路也同意門市來的封包可以出 internet.
(一般不會這樣設.除非是在中國大陸.考慮封網問題.才會這樣繞路.)

瞭解。門市原本就是不能上網的(透過不設定電腦DNS的方式),所以確實打IP還是可以上網的。
只是門市的網段是192.168.XXX.XXX,總部是10.10.XXX.XXX,
目前門市是透過(Zyxel 40)與總部(Zyxel 1100)作ipsec vpn串接,
因門市是浮動IP,所以連上總公司時,是沒有給10.10.XXX.XXX總公司內部IP的,也就是輸入ipconfig還是只有原本192.168.XXX.XXX門市自己的IP。若我要指派DNS server的IP給門市,要如何設定呢?

一般在設定DHCP SERVER 的頁面就可以指定DNS SERVER (門市 Zyxel 40 上的DHCP設定中).
另外一個建議:幫門市的ADSL 申請變為 固1 浮7 的方式. 固1:設定在門市的Zyxel 40上(xxxxxxxx@ip.hinet.net)

感恩大頭前輩的說明,非常清楚,今日進行測試,也可正常運作。
只是小弟無知,對於Ipsec vpn的認知還是很淺,僅知道可利用雙方有固定IP去架構site to site。不知道還有浮動式IP(分店)連結總部固定式IP的方式,問廠商原理與是否僅有zyxel這樣做,廠商回答不出所以然。

我要發表回答

立即登入回答