Как правильно настроить доменную зону внутри локальной сети?

Question

[Артём Н]

Что есть: роутер (192.168.1.1), к которому подключено несколько машин (192.168.1.0/24). Изменить конфигурацию сети нет возможности.

Что нужно: поднять доменную зону внутри сети.

Я установил BIND на одну из машин (192.168.1.4) и добавил такие таблицы для зоны "dev":
Прямая:

$TTL    3600
dev.      IN      SOA     ns.dev. company.domain (
                                2010021701;     Serial
                                3600;           Refresh
                                900;            Retry
                                360000;         Expire
                                3600;           Minimum
                                )
                IN      NS      ns.dev.

ns			IN		A			192.168.1.4
test			IN		A			192.168.1.7
test2			IN		A			192.168.1.7

Обратная:

$TTL    3600

@       IN      SOA     ns.dev. (
                        2009121102
                        3600
                        900
                        3600000
                        3600 )
        IN      NS      ns.dev.

7 IN PTR test.dev.
7 IN PTR test2.dev.

В роутере прописал primary DNS: 192.168.1.4 и secondary от провайдера.

BIND настроен правильно и работает, nslookup находит IP по домену с машины 192.168.1.4 (на которой он собственно и установлен). Через браузер с использованием домена открывается веб-интерфейс службы, запущенной на 192.168.1.7. На других компьютерах не получается найти домен.

Результат nslookup с 192.168.1.3 (Ubuntu 14.04):

> test.dev
Server: 127.0.1.1
Address: 127.0.1.1#53

** server can't find test.dev: NXDOMAIN

Результат nslookup с 192.168.1.5 (Win7):

> test.dev
Сервер: UnKnown
Address: 192.168.1.4

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** превышено время ожидания запроса UnKnown

Кажется я что-то делаю неправильно, но не знаю, что именно. Подскажите, пожалуйста, можно ли заставить все компьютеры обращаться к BIND’у по адресу 192.168.1.4, не прописывая DNS вручную на каждой?

UPD: Результат "nslookup test.dev 192.168.1.4":

;; connection timed out; no servers could be reached

Конфиг named:

options {
	directory "D:\Program Files\ISC BIND 9\etc";

	forwarders {
		85.21.192.5; #dns провайдера
		8.8.8.8;
		8.8.4.4;
	};
	
	listen-on { any; };
	listen-on-v6 { any; };
	
	allow-recursion {
		127.0.0.1;	
		192.168.1.0/24;
	};
};

# Прямая локальная зона
zone "dev" {
        type master;
        file "..\zones\dev.db";
};

# Обратная локальная зона
zone "1.168.192.in-addr.arpa" {
        type master;
        file "..\zones\dev-reverse.db";
};

UPD2: Проблема решена — фаервол блокировал доступ к серверу.

Answer 1

[brutal_lobster]

1. Некорректно указывать локальный и внешний одновременно - будут проблемы с резолвом внутренней зоны. Провайдер же не знает о ней ничего.
2. Раз уж бинд работает локально - проблема скорее всего в фаерволе (или он вообще не слушает на внешнем интерфейсе)
3. При проверке с 1.3 видно, что машина обращается на свой локальный рекурсер. Этот рекурсер тоже ничего не знает о вашей внутренней зоне

Comments

[Сергей]

Что попало написали. У него ошибка в зоне, а вы тут и про файрвол и про провайдера....

[brutal_lobster]

Какая ошибка в зоне, если

BIND настроен правильно и работает, nslookup находит IP по домену с машины 192.168.1.4 (на которой он собственно и установлен).

[Артём Н]

1. Мне нужно, чтобы работал доступ в интернет с каждого компьютера. Я подумал, раз первичный днс не будет отдавать домены внешнего интернета, будет опрашиваться вторичный.
2. Я тоже об этом подумал, сейчас посмотрю конфиги бинда.
3. Вроде бы в этом случае нужно обратиться по вышестоящему ДНС (т. е. роутера)?

[brutal_lobster]

Порядок опроса зависит от конкретной имплементации. Но обычно это не так) Особенно на винде:)

Всё зависит от конфигурации рекурсера. По-умолчанию он будет обращаться к корневым серверам. Но можно настроить и тупой форвард до роутера.

[Артём Н]

По поводу п. 2:

listen-on {
	127.0.0.1;
	192.168.1.0/24;
};

Так что думаю здесь всё в порядке.

[brutal_lobster]

Ну по поводу п.2 остался еще фаервол.
DNS request timed out.
как бы намекает

[Артём Н]

@brutal_lobster: фаервола нет. Точнее есть, встроенный в винду, но он никогда ничего не блокировал. Как это можно проверить?

[brutal_lobster]

Я про фаервол там, где стоит бинд) На что вы его ставите?
iptables -S

[Артём Н]

@brutal_lobster: он у меня на винде 8.1. Насколько я знаю, так просто до фаервола тут не добраться :)

[brutal_lobster]

Почему же - настраивается же точно также как и на других. Через панель управления - безопасность - брандмауэр/фаервол

[Артём Н]

@brutal_lobster: ого, получилось. Не думал, что это фаервол. Спасибо за советы!

Answer 2

[Сергей]

в прямой зоне, вторая строка. уберите точку после dev

Далее IN то зачем?
Вот так надо:

ns				A			192.168.1.4
test				A			192.168.1.7
test2			A			192.168.1.7

Вы же хосты описываете

Comments

[Артём Н]

Без точки не работает даже с того сервера, где установлен BIND. Если убрать IN, то никаких изменений. Домены не находятся.

[Сергей]

@nobr: А так:

$ORIGIN .
$TTL 3600	; 1 hour
dev			IN SOA	ns.dev. blabla.test.dev (
				2014090603 ; serial
				3600       ; refresh (1 hour)
				900        ; retry (15 minutes)
				1209600    ; expire (2 weeks)
				86400      ; minimum (1 day)
				)
			NS	ns.dev.
			A	192.168.1.7
$ORIGIN dev.
test			A	192.168.1.7

[Сергей]

Во всяком случае, у меня:

# nslookup dev
Server:		127.0.0.1
Address:	127.0.0.1#53

Name:	dev
Address: 192.168.1.7

[brutal_lobster]

А чем вам не угодили IN и точка?)

[Артём Н]

@Сергей: ничего не изменилось. Да и таблица, насколько я понимаю, в принципе такая же.

[brutal_lobster]

Это я к тому, что IN - дефолтное и единственное (почти) значение - что плохого может сделать?:)
А точка в данном случае была ох-как важна - без неё полное имя ресурсной записи превращается в кашу:)
В вашем примере полное имя ресурсной записи также с точкой -
dev.
Но уже благодаря насильному указанию ORIGIN

[Сергей]

Изменилось Там перед хостами А - идет запись $ORIGIN dev.
Это важно
К сожалению тут все коды коверкаются... Так бы приложил полный конфиг

[Сергей]

@brutal_lobster: Потому что это ошибка. Потому и не угодила. Читайте мануалы почаще

[brutal_lobster]

охтыж :) Вы можете процитировать rfc или биндовый ман, в котором указано, что нельзя указывать полное имя ресурсной записи?)
А заодно, что нельзя указывать класс записи!

Да и как же так - есть же утилита named-checkzone.
Удивительно - но:

zone dev/IN: loaded serial 2010021701
OK

[Сергей]

@brutal_lobster:
Вот на такой конфиг:

$ORIGIN .
$TTL 3600	; 1 hour
dev			IN SOA	ns.dev. it.test.dev. (
				2014090603 ; serial
				3600       ; refresh (1 hour)
				900        ; retry (15 minutes)
				1209600    ; expire (2 weeks)
				86400      ; minimum (1 day)
				)
			NS	ns.dev.
			NS	ns2.di-house.ru.
			A	192.168.1.7
$ORIGIN dev.
ns			A	192.168.103.6
test			A	192.168.1.7

Я вас тоже удивлю:

# named-checkzone dev dev
zone dev/IN: loaded serial 2014090603
OK

Далее:

# nslookup dev
Server:		127.0.0.1
Address:	127.0.0.1#53

Name:	dev
Address: 192.168.1.7

2# nslookup ns.dev
Server:		127.0.0.1
Address:	127.0.0.1#53

Name:	ns.dev
Address: 192.168.103.6

# nslookup test.dev
Server:		127.0.0.1
Address:	127.0.0.1#53

Name:	test.dev
Address: 192.168.1.7

PS. Учите матчасть. Хватит уже

[brutal_lobster]

Я не говорю, что ваш конфиг не правильный :) Они же одинаковые :)
О какой матчасти вы говорите?)

Разницы же между:
dev. class type value
и

$ORIGIN .
dev class type value

Ну вообще нет:)

Answer 3

[microphone]

1) почему на убунте запрос идет на 127.0.1.1 ???
2) есть параметр который будет указывать для нслукапа сервер

Например "nslookup ya.ru 8.8.8.8" сделает запрос на днс гугла и спросит кто есть ya.ru

3) bind можно настроить в качестве кэширующего DNSа, он будет принимать запросы от всех пользователей локалки, и если в кэше сервера нет адреса он запрашивает дальше у ДНС вашего провайдера.

4) и зону укажите тогда конкретно test.dev
zone "test.dev" {...
Почему? да чтобы хосты которые ваш сервер в зоне дев мог отдать тот сервер который о них знает. А то будите получать ответ что нет имен в этой зоне, кроме тест.дев

Comments

[Артём Н]

1. Не знаю, скорее всего запрос должен быть перенаправлен дальше по цепочке днс. Внешние сети (провайдер и интернет) работают.

2. Результат "nslookup test.dev 192.168.1.4":

;; connection timed out; no servers could be reached

Похоже всё-таки не получается достучаться до сервера, верно?

4. Не понял, если честно. Зачем указывать каждый домен в зоне? Я же настраиваю зону целиком.

[microphone]

+еще кстати так повелось что во внутренней сети обычно делают зону локал, даже не знаю как давно это так было заведено, но понятно что это все от мелкомягких
dc1.local
ns1.local