SonicWall e DNS

c3n2o · 17-11-2016, 12:21

Buongiorno a tutti,
in ufficio abbiamo un SonicWall SRA 1600. Nella rete dell'ufficio abbiamo dei server con nome host.
Quindi se dalla rete interna faccio un ping nomehost, funziona (penso grazie anche al netbios, giusto?)

Invece quando qualcuno si collega da fuori, questo meccanismo non funziona.
Come faccio a fare passare la corrispondenza del nomehost con ip del server?

Io sul sonicwall ho provato ad andare su Network > Host Resolution ed inserire alcuni server per fare la prova. Ma nulla. Stamattina ho anche provato a riavviare il sonicwall, ma ancora nulla.

A sto punto volevo o inserire uno script di post connessione (che andasse a modificare il file hosts di windows), o creare un piccolo DNS su qualche server ubuntu che abbiamo in ufficio (purtroppo il DHCP interno è gestito da un altra persona che per qualche settimana è assente e irraggiungibile).

Qualche consiglio?
Cosa è meglio fare?

Grazie mille

mmiat · 17-11-2016, 13:25

immagino tu ti riferisca agli utenti collegati in vpn
questi utenti hanno una sottorete a parte o ottengono un ip della stessa subnet dei server?

c3n2o · 17-11-2016, 13:42

Quote:

Originariamente inviato da mmiat

immagino tu ti riferisca agli utenti collegati in vpn
questi utenti hanno una sottorete a parte o ottengono un ip della stessa subnet dei server?

Sì sì, mi riferivo agli utenti della VPN.. allora i server che dicevo sono sulla rete 192.168.x.x/16

Mentre gli utenti VPN sono di 2 tipi:
- quelli collegati a una seconda rete (10.x.x.x/8), con DHCP e altri servizi dedicati e potetti
- quelli collegati da internet con IP a caso.

Entrambi x collegarsi alla VPN però passano dal medesimo ip pubblico..

(spero di non aver spiegato male)

Grazie

mmiat · 17-11-2016, 14:05

Quote:

Originariamente inviato da c3n2o

- quelli collegati a una seconda rete (10.x.x.x/8), con DHCP e altri servizi dedicati e potetti
- quelli collegati da internet con IP a caso.

cioè avete 2 diversi dispositivi con 2 diversi indirizzi ip pubblici per collegare gli utenti in vpn? qual è la sottorete degli utenti del secondo gruppo?

c3n2o · 17-11-2016, 14:38

Quote:

Originariamente inviato da mmiat

cioè avete 2 diversi dispositivi con 2 diversi indirizzi ip pubblici per collegare gli utenti in vpn? qual è la sottorete degli utenti del secondo gruppo?

Vedi che mi sono spiegato male..

In ufficio abbiamo 2 reti:
- la prima dove lavorano i gestionali, il server di posta elettronica, LotusNotes, stampanti condivise, ecc..
- la seconda dove ci sono i server di prova per lo sviluppo e la ricerca guasti (oltre che alcuni PC usati dagli utenti)

Entrambe le reti sono collegate ad internet.

Il SonicWall serve solo alla seconda rete (dove ci sono i server).

Quindi gli utenti che lavorano sulla prima rete (10.x.x.x/8), ma anche gli utenti che lavorano da casa (ip a seconda del gestore che usano), possono collegarsi alla rete dei server via un unico VPN..

Kaya · 17-11-2016, 16:11

Gli utenti che si collegano via VPN, riescono a vedere il vostro DNS interno (pingandolo) oppure non avete alcun server DNS/Dominio?

c3n2o · 17-11-2016, 22:28

Quote:

Originariamente inviato da Kaya

Gli utenti che si collegano via VPN, riescono a vedere il vostro DNS interno (pingandolo) oppure non avete alcun server DNS/Dominio?

Non abbiamo nessun dns interno nella seconda rete locale.. quindi mi stavo domandato se è il caso di implementarlo (tramite una mia vm ubuntu)

Kaya · 18-11-2016, 10:47

Quote:

Originariamente inviato da c3n2o

Non abbiamo nessun dns interno nella seconda rete locale.. quindi mi stavo domandato se è il caso di implementarlo (tramite una mia vm ubuntu)

Eh allora direi che è banalmen quail problema.
Ti direi di tirare su un dnsmasq sulla VM, e far puntare lì.
Metti lì i dns fissi e attingi per il resto dall'altro dns (se ti serve)

c3n2o · 18-11-2016, 11:35

Quote:

Originariamente inviato da Kaya

Ti direi di tirare su un dnsmasq sulla VM

Fatto, ma non funziona..
Un altra domanda, sulla VPN c'è un impostazione nella sezione DNS
SRA Appliance Hostname:

Come dev'essere impostata?
è il suffisso del dns locale? tipo se ci scrivo "localdomain", poi devo pingare nomehost.localdomain?

O ci devo scrivere l'indirizzo internet esterno?

Grazie

EDIT
Ci dev'essere un errore nel file di configurazione dnsmasq.conf..

Kaya · 21-11-2016, 08:46

Non conosco sonicwall quindi non ti so dire.

Non funziona il dns in che senso?
usando dig per interrogarlo da un pc connesso in VPN, risponde?

c3n2o · 21-11-2016, 14:58

Quote:

Originariamente inviato da Kaya

Non funziona il dns in che senso?
usando dig per interrogarlo da un pc connesso in VPN, risponde?

Sono riuscito ad attivare il Log di dnsmasq..
In pratica il client connesso via VPN, quando invia la richiesta tipo ping hostname, o nslookup hostname aggiunge in automatico il suffisso DNS:

Quindi se io faccio: nslookup hostname
sul log trovo che la richiesta è per : hostname.dominioaziendale.com

Quindi ho risolto (vedremo se agli utenti va bene) dicendo a dnsmasq di aggiungere in automatico l'estensione dominiolocale, in questo modo:
expand-hosts
domain=dominiolocale,192.168.1.1/16

Così che adesso nslookup hostnale.dominiolocale da il risultato corretto.

Mi domando (non sono riuscito a trovarlo o ad impostarlo): come faccio a evitare che le richieste sul dns arrivino con un DNS suffix già preimpostato?
Devo settare qualcosa sul VPN server?

E cmq questa soluzione implica che ogni volta che aggiungo un server devo modificare sul DNS il file /etc/hosts.. c'è un modo per aggiornarlo usando il NetBIOS di windows o cmq conoscendo il nome dell'host sulla rete locale associato all'IP? (tipo l'applicazione fing trova anche il nome dell'host..)
O addirittura fare un passaggio delle richieste NetBIOS?

Grazie ancora (e scusate le confusione)

ericmarone · 21-11-2016, 15:43

Mi sembra un po' confuso.
Il suffisso DNS puoi impostarlo nelle schede di rete Windows, serve per fare qualcosa del tipo (impostando miodominio.local)

ping pippo

invece di

ping pippo.miodominio.local

la risoluzione dei nomi (per inciso esiste dig per windows, ti consiglio di installarlo, attenzione alle 1000 dll necessarie nella stessa cartella) Windows parte con il file hosts, poi il DNS (Wins) e infine il broadcast netbios.
Questo è cambiato da quando non c'è più netbeui come protocollo predefinito per le LAN, quindi essenzialmente conviene far funzionare i DNS

per il resto scusa ma non ho capito benissimo i tuoi "contorcimenti mentali"

c3n2o · 23-11-2016, 15:28

Quote:

Originariamente inviato da ericmarone

Mi sembra un po' confuso.
Il suffisso DNS puoi impostarlo nelle schede di rete Windows, serve per fare qualcosa del tipo (impostando miodominio.local)

ping pippo

invece di

ping pippo.miodominio.local

la risoluzione dei nomi (per inciso esiste dig per windows, ti consiglio di installarlo, attenzione alle 1000 dll necessarie nella stessa cartella) Windows parte con il file hosts, poi il DNS (Wins) e infine il broadcast netbios.
Questo è cambiato da quando non c'è più netbeui come protocollo predefinito per le LAN, quindi essenzialmente conviene far funzionare i DNS

per il resto scusa ma non ho capito benissimo i tuoi "contorcimenti mentali"

Ciao, l'avevo detto che ero un pò confuso..

Allora ho provato a mettere dig su windows collegato via VPN e ho attivato il log su dnsmasq.

In pratica se faccio dig nomehost lo risolve correttamente, mentre se faccio ping nomehost mi pinga nomehost.dominioufficiale.com..
E cmq se uso dig, sul file di log del server dns compare qualcosa, se uso ping o vncviewer (per provare una connessione) usando il nome host sul file di log non compare nulla..

Sono sempre più confuso

Cmq ho provato a attivare il wins (ma non funziona), ho installato winbind, e a fare altre prove.. ma nulla.

Mi sa che adesso faccio un revert del server dns (è una VM) così riparto da situazione pulita..

Kaya · 23-11-2016, 15:32

Quote:

Originariamente inviato da c3n2o

In pratica se faccio dig nomehost lo risolve correttamente, mentre se faccio ping nomehost mi pinga nomehost.dominioufficiale.com..
E cmq se uso dig, sul file di log del server dns compare qualcosa, se uso ping o vncviewer (per provare una connessione) usando il nome host sul file di log non compare nulla..

Se non dico eresie, dig fa SEMPRE una query sul dns (quindi vedi il log), PING lo fa solo se non ha in cache la risoluzione del nome, ma avendo fatto dig pochi momenti prima, è abbastanza ovvio che lo abbia ancora in cache.

ericmarone · 23-11-2016, 17:48

Quote:

Originariamente inviato da c3n2o

Ciao, l'avevo detto che ero un pò confuso..

Allora ho provato a mettere dig su windows collegato via VPN e ho attivato il log su dnsmasq.

In pratica se faccio dig nomehost lo risolve correttamente, mentre se faccio ping nomehost mi pinga nomehost.dominioufficiale.com..

E infatti è giusto che sia così.
Devi aggiungere il suffisso DNS nella scheda di rete Windows, se proprio vuoi fare ping nomehost e basta.
Attenzione anche al suggerimento del post prima di questo: è correttissimo, devi fare un flushdns prima di fare le tue prove, altrimenti ti risponde la cache

17-11-2016, 12:21	#1
c3n2o Member Iscritto dal: Jul 2015 Messaggi: 275	SonicWall e DNS Buongiorno a tutti, in ufficio abbiamo un SonicWall SRA 1600. Nella rete dell'ufficio abbiamo dei server con nome host. Quindi se dalla rete interna faccio un ping nomehost, funziona (penso grazie anche al netbios, giusto?) Invece quando qualcuno si collega da fuori, questo meccanismo non funziona. Come faccio a fare passare la corrispondenza del nomehost con ip del server? Io sul sonicwall ho provato ad andare su Network > Host Resolution ed inserire alcuni server per fare la prova. Ma nulla. Stamattina ho anche provato a riavviare il sonicwall, ma ancora nulla. A sto punto volevo o inserire uno script di post connessione (che andasse a modificare il file hosts di windows), o creare un piccolo DNS su qualche server ubuntu che abbiamo in ufficio (purtroppo il DHCP interno è gestito da un altra persona che per qualche settimana è assente e irraggiungibile). Qualche consiglio? Cosa è meglio fare? Grazie mille

17-11-2016, 13:25	#2
mmiat Senior Member Iscritto dal: May 2003 Città: Padova Messaggi: 1220	immagino tu ti riferisca agli utenti collegati in vpn questi utenti hanno una sottorete a parte o ottengono un ip della stessa subnet dei server?

17-11-2016, 16:11	#6
Kaya Senior Member Iscritto dal: Apr 2005 Messaggi: 3247	Gli utenti che si collegano via VPN, riescono a vedere il vostro DNS interno (pingandolo) oppure non avete alcun server DNS/Dominio?

21-11-2016, 08:46	#10
Kaya Senior Member Iscritto dal: Apr 2005 Messaggi: 3247	Non conosco sonicwall quindi non ti so dire. Non funziona il dns in che senso? usando dig per interrogarlo da un pc connesso in VPN, risponde?

21-11-2016, 15:43	#12
ericmarone Bannato Iscritto dal: Nov 2016 Messaggi: 160	Mi sembra un po' confuso. Il suffisso DNS puoi impostarlo nelle schede di rete Windows, serve per fare qualcosa del tipo (impostando miodominio.local) ping pippo invece di ping pippo.miodominio.local la risoluzione dei nomi (per inciso esiste dig per windows, ti consiglio di installarlo, attenzione alle 1000 dll necessarie nella stessa cartella) Windows parte con il file hosts, poi il DNS (Wins) e infine il broadcast netbios. Questo è cambiato da quando non c'è più netbeui come protocollo predefinito per le LAN, quindi essenzialmente conviene far funzionare i DNS per il resto scusa ma non ho capito benissimo i tuoi "contorcimenti mentali"

Strumenti
Mostra una versione stampabile Invia questa pagina per email