Передача зон DNS между роутерами и WinServ
 

добрый день.
Есть несколько сетей.
Условно корневая NET0 (2.2.2.0), в который стоит WinServer, на котором подняты AD,DNS,DHCP. Шлюз 2.2.2.1 ведёт в интернет. На корневом роутере прописана маршрутизация в сети NET1/2/3
К корневой зоне подключаются несколько роутеров с адресами wan портов в 2.2.2.0.

Каждый роутер создаёт свою сетку (Net1\2\3), каждый роутер является своим dhcp/dns. Правилом на роутере разрешен трафик из 2.2.2.0 (Действие: Разрешить / протокол:IP / источник: сеть 2.2.2.0/24 /назначение: любое / порт: любой) :пинг/fileshare и прочее проходит, но только по IP. А хотелось бы по имени узла.

хотелось бы заставить роутеры выгружать информацию о DNS в своих подсетках на DNS сервер (т.е. я сидя в корневой зоне не парясь пишу, к примеру, ping PC2 и получаю ответ, а не то, что узел не найден).

Есть какой-то механизм, который может мне помочь с этим?

Я бы прописал все ДНС на всех роутерах и/или настроил форвардинг на рутерах (модель "угадай сам" :biggrin: )

Lan порты роутеров имеют DNS первичный LAN-IP, DNS вторичный 2.2.2.2 (IP сервера в корневой сети)
WAN порты получают по DHCP DNS первичный: 2.2.2.2, DNS вторичный 77.88.8.8
Но что-то не работает.

Ну так самая распростроненная)))
несколько Keenetic air и пара ASUS RT-AC53.

Port forwarding?
Пересылать UDP 53? Не совсем понимаю от кого и куда. И как это заставит регистрировать записи на DNS в корневой зоне.

Возможно дело в том, что используются адреса, маршрутизируемые в интернет. Для локальной сети надо использовать частные адреса 10.*.*.*, 192.168.*.*.

По идее, к следующему ДНС, если они вписаны и авторизованы.
ну да. Эти ваши "2.2.2.2" для примера или реально такие?

Между серверами DNS трафик передаётся по TCP 53, а не UDP 53.

Учтем. Попробуем.

Каскадом от верхних ссылка на корневой. Т.е. роутеры у себя раздают адрес моего ДНС сервера только, на wan портах тоже прописан только он. Правильно понял?

Для примера. Корневая 192.168.0.0, сети роутеров 20.20.20\30.30.30 и т.д.

ну так это ж опять публичные! Надо 10.20.20.20/16 и 10.30.30.30/16, например.
Для начала, на рутере "свой" ДНС должен быть первым, далее все остальные. Но лучше - сделать всё на одном сервере, DHCP, DNS. И не разбивать по подсетям, а по VLAN-ам. Или вам критично, чтобы именно по подсетям было разбито?

Да, уже понял. Вечером немножно переделаю на 10.10.20.0/25 (мелкие сети нужны) и т.д.

Ок. Значит на "разделяющий роутерах" поставлю в настройках дхцп первичный днс на Lan порт, вторичный на мой сервер.

помещения сдаются в аренду с разделяющим роутером и мной как хэлпдеском. Так что пока от этого не уйти.

Кстати, вопрос: А зоны прямого\обратного просмотра прописывать не надо для подсетей?

вторичные - от остальных рутеров вам инфа не нужна? Если нет, то и нет. А если нужна, то прописавать нужно всех. Если я ошибаюсь, коллеги поправят.

Итак было сделано следующее.
Была переделана адресация на сегменте подсети.
Схема приведена в следующий вид (см. вложение)

Теперь по тестам и пингам:
пинг с ADMIN и с DC на TV : не удалось обнаружить узел TV
пинг с ADMIN на 10.10.31.2: проходит
пинг с TV на ADMIN: не удалось обнаружить узел ADMIN
пинг с TV на admin.skld.local: проходит.


настройки DNS на DC.skld.local
Зоны прямого просмотра:
основная skld.local
Зоны обратного просмотра:
0.168.192.in-addr.arpa

У меня по прежнему стойкое ощущение что я что-то делаю не так.



UP:
Поставил в сегмент skld.local еще один комп PC2, не вводил его в домен (оставил в WORKGROUP). Дал ему следующие настройки:
IP 192.168.0.19
Gate 192.168.0.1
DNS1: 192.168.0.254
DNS2: 192.168.0.1

Результаты пингов у него
пинг с DC.skld.local на PC2 : проходит
пинг с PC2 на TV : не удалось обнаружить узел TV
пинг с PC2 на 10.10.31.2: проходит
пинг с TV на PC2: не удалось обнаружить узел PC2
пинг с TV на PC2.skld.local: не удалось обнаружить узел PC2

В командной строке введите
оба сервера должны "знать" ваш ТВ

Вводил на dc

server 192.168.0.254
TV
Не удалось найти TV: Non-existent domain

server 192.168.0.1
TV
Не удалось найти TV: Non-existent domain

Получается, что разделяющий роутер не регистрирует записи в DNS на DC.skld.local?

А должен?

P.S. команда ping не говорит ничего о работоспособности Вашей сети как класса. Используйте nslookup с параметрами, вот это будет правильная диагностика.

ну так он же не авторизован вносить записи в корневую зону домена! А вот как авторизовать - я не знаю, коллеги подскажут.
собственно, да, но 254й, например, почему-то не видит хост TV, хотя, вроде бы и должет, нет?

Не знаю, я не понял Вашу сеть от слова совсем. Не понятно зачем столько граничных зон натыкано в роутингом и зачем Вам DNS записи хостов на роутерах, для меня это выглядит как бред... Так банально не делают.

P.S. У Вас или не верное представление о сети и взаимодействии узлов или не верно поставлена задача.

Anton04, сеть не моя, а ТС-а :yes:
Я бы так не делал - чем проще сеть, тем лучше.

Вот тоже смотрю на этот ужас и даже не хочется встревать, всё очень стрёмно. Для учебной лабы вводные дебильные, для практического применения тоже нах никому не нужно... Не, я канеш могу рассказать про рекурсию и форвардинг, но ТС строит, нет, не строит, а порет сетевую чушь как-то уж очень затейливо.

Лично я бы для решения его задачи, безотносительно сетевых дел ака маршрутизация и/или трансляция сетевых адресов, допустив, что есть сервер, к которому все клиенты могут достучаться по UDP/53, воткнул бы на него просто unbound в качестве кэширующего DNS сервера и настроил там локальные оверрайды, где и прописал бы всё, что ему нужно.