Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: predus 04 Dubna 2016, 14:26:05
-
Ahoj,
potřeboval bych poradit jak nastavit Bind9 pro klienta openVPN.
Mám funkční openVPN na 10.8.0.1
mám nastaveno v /etc/openvpn/server.conf: push "dhcp-option DNS 192.168.1.1"
dále jsem na /etc/bind/named.conf.options nastavil:
options {
directory "/var/cache/bind";
allow-recursion { 192.168.1.0/24;10.8.0.0/24; };
allow-query { 192.168.1.0/24;10.8.0.0/24; };
allow-transfer { none; };
forward only;
forwarders { 217.31.204.130; 193.29.206.206; };
dnssec-enable yes;
dnssec-validation yes;
auth-nxdomain no;
listen-on { 192.168.1.1;10.8.0.1; };
listen-on-v6 { any; };
};
stále mi ale pokud se připojím přes openvpn (10.8.0.1) odmítá směrovat vnitřní pc, pouze když jsem připojený přímo přes 192.168.1.0/24 tak vše chodí jak má.
-
resim podobny problem s virtualboxem ... potrebuju, aby muj lokalni named poslouchal na rozhrani vboxdrv, ale tam se "nenabinduje" pokud se named nastartuje pozdeji nez vpn .. tzn pro me funguje workaround restartovat named ..
eg, pokud se nastartuje nejdriv named a neni up ta adresa 10.8.0.1, tak se tam po startu vpn nenabinduje ...
ozkousej nejdriv pomoci ``netstat -tulnp'' ze to tak je ... dale si zkontroluj, ze ty adresy jsou spravne ... ja teda pro jednoduchost delam:
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
allow-query { localhost; 192.168.255.0/24; 172.16.31.0/24; };
allow-query-cache { localhost; 192.168.255.0/24; 172.16.31.0/24; };
... ty dva rozsahy co vidis je jeden pro tun interfejsy z kvm a druhej pro vbox ... myslim, ze resim stejny problem ...
zaroven Ti doporucuju dat **listenovat on *any a osetrit ten pristup na urovni ACL v named.conf a iptables ..
btw, to Tvoje allow recursion mi pripada docela divoke .... ani radsi nechci vedet, proc davas +axfr takhle volne k dispozici ...
-
Mohu se zeptat, proč tam máš
push "dhcp-option DNS 192.168.1.1"
Neměla by tam být IP 10.8.0.1, coby VPN serveru, kde běží ten bind?
Tím myslím, že když nemáš push routu na 192.168.1.1, tak na IP do tohohle rozsahu klient nevidí - netuší, že se skrývá za 10.8.0.1 a pushovat IP 192.168.1.1, vzhledem k tomu, že to je jedna z nejběžnějších bran nejběžnějšího rozsahu, je trochu cesta do pekel ... nebo jsem to jen nepochopil ...
-
Mohu se zeptat, proč tam máš
push "dhcp-option DNS 192.168.1.1"
Neměla by tam být IP 10.8.0.1, coby VPN serveru, kde běží ten bind?
Tím myslím, že když nemáš push routu na 192.168.1.1, tak na IP do tohohle rozsahu klient nevidí - netuší, že se skrývá za 10.8.0.1 a pushovat IP 192.168.1.1, vzhledem k tomu, že to je jedna z nejběžnějších bran nejběžnějšího rozsahu, je trochu cesta do pekel ... nebo jsem to jen nepochopil ...
JJ ... tohodle jsem si ani nevsiml ...
-
Mohu se zeptat, proč tam máš
push "dhcp-option DNS 192.168.1.1"
Neměla by tam být IP 10.8.0.1, coby VPN serveru, kde běží ten bind?
Tím myslím, že když nemáš push routu na 192.168.1.1, tak na IP do tohohle rozsahu klient nevidí - netuší, že se skrývá za 10.8.0.1 a pushovat IP 192.168.1.1, vzhledem k tomu, že to je jedna z nejběžnějších bran nejběžnějšího rozsahu, je trochu cesta do pekel ... nebo jsem to jen nepochopil ...
JJ ... tohodle jsem si ani nevsiml ...
No ono je ještě pořád možné, že se snaží mít klienta, který je komplet směrovaný přes VPN, ale to bez konfigu VPN serveru a klienta jen dohaduji. Pak by to mohlo dávat smysl. I když bych se toho asi stejně bál.
-
ten bind9 není zrovna moje "doména", rozchodil jsem to jen tak tak...
push "dhcp-option DNS 192.168.1.1" - pochopil jsem, že to je dns server, který převezme vzdálený klient openvpn. Proto jsem ho tam dal. Měl jsem potíže s tím, že pokud se klient vpn připojil, tak mu spadnul internet kvůli DNS, tohle nastavení to odstranilo.
-
ten bind9 není zrovna moje "doména", rozchodil jsem to jen tak tak...
push "dhcp-option DNS 192.168.1.1" - pochopil jsem, že to je dns server, který převezme vzdálený klient openvpn. Proto jsem ho tam dal. Měl jsem potíže s tím, že pokud se klient vpn připojil, tak mu spadnul internet kvůli DNS, tohle nastavení to odstranilo.
Ano, přesně tak to je, ale pokud se klient nachází v subnetu, ve kterém není na 192.168.1.1 DNS server, nebude to fungovat. Ten klient neví, že by měl za IP adresou 10.8.0.1 hledat adresu 192.168.1.1. Pokud tedy není v tom samém subnetu, kde by tuhle IP našel, snaží se ji najít za svou vlastní výchozí bránou a ne za bránou VPN.
Myslím, že celý problém bude právě v tomto. Jak jsem psal - jediná situace, kdy by toto dávalo smysl je jen ve chvíli, kdy by veškerý síťový provoz byl směrován skrz VPN.
-
ten bind9 není zrovna moje "doména", rozchodil jsem to jen tak tak...
push "dhcp-option DNS 192.168.1.1" - pochopil jsem, že to je dns server, který převezme vzdálený klient openvpn. Proto jsem ho tam dal. Měl jsem potíže s tím, že pokud se klient vpn připojil, tak mu spadnul internet kvůli DNS, tohle nastavení to odstranilo.
Ano, přesně tak to je, ale pokud se klient nachází v subnetu, ve kterém není na 192.168.1.1 DNS server, nebude to fungovat. Ten klient neví, že by měl za IP adresou 10.8.0.1 hledat adresu 192.168.1.1. Pokud tedy není v tom samém subnetu, kde by tuhle IP našel, snaží se ji najít za svou vlastní výchozí bránou a ne za bránou VPN.
Myslím, že celý problém bude právě v tomto. Jak jsem psal - jediná situace, kdy by toto dávalo smysl je jen ve chvíli, kdy by veškerý síťový provoz byl směrován skrz VPN.
zítra až budu zase na klientovi nastavím push "dhcp-option DNS 10.8.0.1" a uvidím :)
-
Tak když nastavím push "dhcp-option DNS 10.8.0.1" tak internet na klientovi nespadne, přes IP se dostanu kamkoli v rámci subnetu 192.168.1.0, ale DNS mi nesměruje na pc, musím používat IP. Jsem víceméně tam kde jsem byl. Připadá mi, že problém, je v nastavení bind9 na 192.168.1.1 a ne na openvpn (byť ten push asi blbě byl ale na funkci vliv neměl).
Máte někdo nějakou radu? Bind9 není můj šálek
-
znovu si precti moji prvni odpoved !!!
-
znovu si precti moji prvni odpoved !!!
četl jsem ji, ale nejsem si jistý jestli dobře rozumím :)
před připojením openvpn:
udp 0 0 10.8.0.1:53 0.0.0.0:* 30625/named
udp 0 0 192.168.1.1:53 0.0.0.0:* 30625/named
-
Poslouchá, to asi jo, spíš jde o to zda bind vůbec potřebné názvy přeložit umí.
Tj. co to vrátí, když se zeptáš:
dig -t A pepik @10.8.0.1
-
Poslouchá, to asi jo, spíš jde o to zda bind vůbec potřebné názvy přeložit umí.
Tj. co to vrátí, když se zeptáš:
dig -t A pepik @10.8.0.1
V tomhle celkem plavu a není mi úplně jasné co znamená pepik (předpokladam že vnitřní název nějakého pc se záznamem v DNS) a co @10.8.0.1 (asi rozhraní ze kterého se ptám), pokud ano tak tady je výpis (dig zadávám na terminálu serveru při nepřipojeném openvpn), ale chytrý z toho teda nejsem:
; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> -t A domat @10.8.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 21714
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;domat. IN A
;; AUTHORITY SECTION:
. 10326 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2016040501 1800 900 604800 86400
;; Query time: 0 msec
;; SERVER: 10.8.0.1#53(10.8.0.1)
;; WHEN: Wed Apr 06 07:42:55 CEST 2016
;; MSG SIZE rcvd: 109
-
vyhrabani "pepika" me samotneho docela prekvapilo .... spis nam povez, jestli funguje dig na nejakou normalni domenu, eg:
# dig ubuntu.cz @localhost
; <<>> DiG 9.9.4-rpz2.13269.14-P2 <<>> ubuntu.cz @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12086
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 6
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ubuntu.cz. IN A
;; ANSWER SECTION:
ubuntu.cz. 3600 IN A 217.31.202.60
;; AUTHORITY SECTION:
ubuntu.cz. 18000 IN NS yasha.ubuntu.cz.
ubuntu.cz. 18000 IN NS trubka.network.cz.
;; ADDITIONAL SECTION:
yasha.ubuntu.cz. 18000 IN A 217.31.202.60
yasha.ubuntu.cz. 18000 IN AAAA 2001:1488:ffff::60
trubka.network.cz. 18000 IN A 81.91.84.116
trubka.network.cz. 18000 IN AAAA 2001:1568:b::145
trubka.network.cz. 18000 IN AAAA 2001:1568:b:145::1
;; Query time: 9 msec
;; SERVER: ::1#53(::1)
;; WHEN: Wed Apr 06 10:14:53 CEST 2016
;; MSG SIZE rcvd: 219
-
vyhrabani "pepika" me samotneho docela prekvapilo .... spis nam povez, jestli funguje dig na nejakou normalni domenu, eg:
# dig ubuntu.cz @localhost
; <<>> DiG 9.9.4-rpz2.13269.14-P2 <<>> ubuntu.cz @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12086
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 6
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ubuntu.cz. IN A
;; ANSWER SECTION:
ubuntu.cz. 3600 IN A 217.31.202.60
;; AUTHORITY SECTION:
ubuntu.cz. 18000 IN NS yasha.ubuntu.cz.
ubuntu.cz. 18000 IN NS trubka.network.cz.
;; ADDITIONAL SECTION:
yasha.ubuntu.cz. 18000 IN A 217.31.202.60
yasha.ubuntu.cz. 18000 IN AAAA 2001:1488:ffff::60
trubka.network.cz. 18000 IN A 81.91.84.116
trubka.network.cz. 18000 IN AAAA 2001:1568:b::145
trubka.network.cz. 18000 IN AAAA 2001:1568:b:145::1
;; Query time: 9 msec
;; SERVER: ::1#53(::1)
;; WHEN: Wed Apr 06 10:14:53 CEST 2016
;; MSG SIZE rcvd: 219
dig ubuntu.cz @localhost
; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> ubuntu.cz @localhost
;; global options: +cmd
;; connection timed out; no servers could be reached
ale:
dig ubuntu.cz @192.168.1.1
; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> ubuntu.cz @192.168.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28391
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ubuntu.cz. IN A
;; ANSWER SECTION:
ubuntu.cz. 3600 IN A 217.31.202.60
;; AUTHORITY SECTION:
ubuntu.cz. 86400 IN NS yasha.ubuntu.cz.
ubuntu.cz. 86400 IN NS trubka.network.cz.
;; ADDITIONAL SECTION:
yasha.ubuntu.cz. 1338 IN A 217.31.202.60
yasha.ubuntu.cz. 1338 IN AAAA 2001:1488:ffff::60
;; Query time: 22 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Apr 06 10:22:48 CEST 2016
;; MSG SIZE rcvd: 147
-
A ještě:
dig ubuntu.cz @10.8.0.1
; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> ubuntu.cz @10.8.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60940
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ubuntu.cz. IN A
;; ANSWER SECTION:
ubuntu.cz. 3462 IN A 217.31.202.60
;; AUTHORITY SECTION:
ubuntu.cz. 86262 IN NS yasha.ubuntu.cz.
ubuntu.cz. 86262 IN NS trubka.network.cz.
;; ADDITIONAL SECTION:
yasha.ubuntu.cz. 1200 IN A 217.31.202.60
yasha.ubuntu.cz. 1200 IN AAAA 2001:1488:ffff::60
;; Query time: 0 msec
;; SERVER: 10.8.0.1#53(10.8.0.1)
;; WHEN: Wed Apr 06 10:25:06 CEST 2016
;; MSG SIZE rcvd: 147
-
dnsko ti zjevne jde ... ukaz nam prosim vystup z ``ip a; ip r; arp -an'' pri pripojenem klientovi ... schovej si tam prosim verejnou ip adresu, lokalni rozsahy jsou samozrejme jedno .. asi to ukaz jak ze serveru, tak z klienta ...
dalsi vec co to muze (as mozna i zpusobuje) je firewall ... tzn pridej vypis z iptables-save ze serveru
-
dnsko ti zjevne jde ... ukaz nam prosim vystup z ``ip a; ip r; arp -an'' pri pripojenem klientovi ... schovej si tam prosim verejnou ip adresu, lokalni rozsahy jsou samozrejme jedno .. asi to ukaz jak ze serveru, tak z klienta ...
dalsi vec co to muze (as mozna i zpusobuje) je firewall ... tzn pridej vypis z iptables-save ze serveru
ze serveru, klient je Win7
# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP group default qlen 1000
link/ether 00:13:3b:10:17:f7 brd ff:ff:ff:ff:ff:ff
3: p2p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether d0:50:99:53:b8:72 brd ff:ff:ff:ff:ff:ff
inet X.X.226.54/27 brd X.X.226.63 scope global p2p1
valid_lft forever preferred_lft forever
inet6 fe80::d250:99ff:fe53:b872/64 scope link
valid_lft forever preferred_lft forever
4: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP group default qlen 1000
link/ether 00:c2:c6:99:d7:cf brd ff:ff:ff:ff:ff:ff
5: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 00:13:3b:10:17:f7 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.1/24 brd 192.168.1.255 scope global br0
valid_lft forever preferred_lft forever
inet6 fe80::213:3bff:fe10:17f7/64 scope link
valid_lft forever preferred_lft forever
13: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
valid_lft forever preferred_lft forever
ip r
default via X.X.226.33 dev p2p1
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
X.X.226.32/27 dev p2p1 proto kernel scope link src X.X.226.54
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
ip r
default via X.X.226.33 dev p2p1
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
X.X.226.32/27 dev p2p1 proto kernel scope link src X.X.226.54
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
root@skynet:~# arp -an
? (192.168.1.30) na <nekompletní> na br0
? (192.168.1.75) na <nekompletní> na br0
? (192.168.1.12) na cc:af:78:2a:fe:f4 [ether] na br0
? (192.168.1.46) na <nekompletní> na br0
? (192.168.1.5) na 00:04:9f:00:27:5f [ether] na br0
? (192.168.1.21) na <nekompletní> na br0
? (192.168.1.11) na <nekompletní> na br0
? (10.153.226.33) na 00:0c:42:c5:ac:f3 [ether] na p2p1
? (192.168.1.74) na <nekompletní> na br0
? (192.168.1.15) na <nekompletní> na br0
? (192.168.1.47) na <nekompletní> na br0
? (192.168.1.10) na <nekompletní> na br0
? (192.168.1.26) na 8c:c1:21:9d:0a:e8 [ether] na br0
++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++
# Generated by iptables-save v1.4.21 on Wed Apr 6 12:17:35 2016
*nat
:PREROUTING ACCEPT [45773:3616875]
:INPUT ACCEPT [20850:1647773]
:OUTPUT ACCEPT [13306:1102514]
:POSTROUTING ACCEPT [13585:1136285]
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o p2p1 -j MASQUERADE
COMMIT
# Completed on Wed Apr 6 12:17:35 2016
# Generated by iptables-save v1.4.21 on Wed Apr 6 12:17:35 2016
*filter
:INPUT DROP [11788:980592]
:FORWARD ACCEPT [865:48180]
:OUTPUT ACCEPT [7:336]
:fail2ban-apache - [0:0]
:fail2ban-apache-multiport - [0:0]
:fail2ban-apache-noscript - [0:0]
:fail2ban-apache-overflows - [0:0]
:fail2ban-dovecot-pop3imap - [0:0]
:fail2ban-owncloud - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -p tcp -j fail2ban-dovecot-pop3imap
-A INPUT -p tcp -j fail2ban-apache-overflows
-A INPUT -p tcp -j fail2ban-apache-noscript
-A INPUT -p tcp -j fail2ban-apache-multiport
-A INPUT -p tcp -j fail2ban-apache
-A INPUT -p tcp -j fail2ban-owncloud
-A INPUT -p tcp -j fail2ban-ssh-ddos
-A INPUT -p tcp -j fail2ban-ssh
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A fail2ban-apache -j RETURN
-A fail2ban-apache-multiport -j RETURN
-A fail2ban-apache-noscript -j RETURN
-A fail2ban-apache-overflows -j RETURN
-A fail2ban-dovecot-pop3imap -j RETURN
-A fail2ban-owncloud -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -i br0 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j ACCEPT
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 993 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 25 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 587 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 587 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 2234 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed Apr 6 12:17:35 2016
-
je to jasny ... podle me to reze firewall, mozna blbe koukam, ale povoleny udp/53 tam nevidim ...
-
je to jasny ... podle me to reze firewall, mozna blbe koukam, ale povoleny udp/53 tam nevidim ...
porty jsou povolené v rámci vnitřní sítě všechny, fw blokuje jen p2p1
teď jsem povolil i 53 a stejně to nesměruje
-
muzes mi ukazat, kterej radek na tom firewallu povoluje pristup na udp/53 z tun interfejsu ?? :D
napovim, ``-A ufw-before-input -i br0 -j ACCEPT'' to opravdu neni ...
-
muzes mi ukazat, kterej radek na tom firewallu povoluje pristup na udp/53 z tun interfejsu ?? :D
napovim, ``-A ufw-before-input -i br0 -j ACCEPT'' to opravdu neni ...
:) no já teda myslel, že je
každopádně teď:
# Generated by iptables-save v1.4.21 on Wed Apr 6 13:59:57 2016
*nat
:PREROUTING ACCEPT [50667:3949807]
:INPUT ACCEPT [21338:1679440]
:OUTPUT ACCEPT [13748:1135813]
:POSTROUTING ACCEPT [14027:1169584]
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o p2p1 -j MASQUERADE
COMMIT
# Completed on Wed Apr 6 13:59:57 2016
# Generated by iptables-save v1.4.21 on Wed Apr 6 13:59:57 2016
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-apache - [0:0]
:fail2ban-apache-multiport - [0:0]
:fail2ban-apache-noscript - [0:0]
:fail2ban-apache-overflows - [0:0]
:fail2ban-dovecot-pop3imap - [0:0]
:fail2ban-owncloud - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -p tcp -j fail2ban-dovecot-pop3imap
-A INPUT -p tcp -j fail2ban-apache-overflows
-A INPUT -p tcp -j fail2ban-apache-noscript
-A INPUT -p tcp -j fail2ban-apache-multiport
-A INPUT -p tcp -j fail2ban-apache
-A INPUT -p tcp -j fail2ban-owncloud
-A INPUT -p tcp -j fail2ban-ssh-ddos
-A INPUT -p tcp -j fail2ban-ssh
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A fail2ban-apache -j RETURN
-A fail2ban-apache-multiport -j RETURN
-A fail2ban-apache-noscript -j RETURN
-A fail2ban-apache-overflows -j RETURN
-A fail2ban-dovecot-pop3imap -j RETURN
-A fail2ban-owncloud -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -i br0 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j ACCEPT
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 993 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 25 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 587 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 587 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 2234 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 53 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 53 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed Apr 6 13:59:57 2016
a stále nic
-
ukaz nam jeste jednou prosim ta acl v named.conf
ps ... ja mam taky na svem serveru lokalni named a openvpn ... akorat to resim takhle:
-A INPUT -i xenbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i xenbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 172.16.255.0/29 -j ACCEPT
# ip a s dev tun0
27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/[65534]
inet 172.16.255.1 peer 172.16.255.2/32 scope global tun0
^^ eg xenbr0 je moje lan a tam povoluju selektivne 53, z tun0 (aka pres rozsah -s 172.16.255.0/29) povoluju vsechno ... samozrejme mi to chodi ... v named.conf mam
allow-query { localhost; 192.168.0.0/16; 172.16.255.0/24; };
allow-query-cache { localhost; 192.168.0.0/16; 172.16.255.0/24; };
^^ povsimni si, jake prasarny tam mam s tou maskou v named.conf :) ... eg jak jsem prodlouzil puvodnich 29bitu na 24 a ze mam 192.168.0.0/16 (asi to odstranim)
-
ukaz nam jeste jednou prosim ta acl v named.conf
ps ... ja mam taky na svem serveru lokalni named a openvpn ... akorat to resim takhle:
-A INPUT -i xenbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i xenbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 172.16.255.0/29 -j ACCEPT
# ip a s dev tun0
27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/[65534]
inet 172.16.255.1 peer 172.16.255.2/32 scope global tun0
^^ eg xenbr0 je moje lan a tam povoluju selektivne 53, z tun0 (aka pres rozsah -s 172.16.255.0/29) povoluju vsechno ... samozrejme mi to chodi ... v named.conf mam
allow-query { localhost; 192.168.0.0/16; 172.16.255.0/24; };
allow-query-cache { localhost; 192.168.0.0/16; 172.16.255.0/24; };
^^ povsimni si, jake prasarny tam mam s tou maskou v named.conf :) ... eg jak jsem prodlouzil puvodnich 29bitu na 24 a ze mam 192.168.0.0/16 (asi to odstranim)
/etc/bind/named.conf.options
options {
directory "/var/cache/bind";
allow-recursion { 192.168.1.0/24;10.8.0.0/24; };
allow-query { 192.168.1.0/24;10.8.0.0/24; };
allow-transfer { none; };
forward only;
forwarders { 217.31.204.130; 193.29.206.206; };
dnssec-enable yes;
dnssec-validation yes;
auth-nxdomain no;
listen-on { 192.168.1.1;10.8.0.1; };
listen-on-v6 { any; };
};
nevím, procházel jsem kdejaké weby a nic jsem nevykoumal. Jako jede to ale musím zadat ip abych se dostal tam kam chci. Když už mi tam běží ten bind, tak proč ho nevyužít ...
-
1) proc vytrvale nepouzivas tag code ?
2) tohle tam vidim poprvy, mozna jsem si toho nevsiml driv:
forward only;
forwarders { 217.31.204.130; 193.29.206.206; };
^^ takze v podstate tam zadnej bind nebezi (jen zbytecnej proces navic) ... to rovnou muzes pushovat jako nameservery `` 217.31.204.130; 193.29.206.206;''
takze znovu, pouzij utility tcpdump a dig, abys zjistil, kde mas problem ... ``tcpdump -i tun0 port 53'' ti presne ukaze jakej je provoz na tom serveru ... jake IPs na to lezou, etc .... dale se koukni do logu bindu ..
Abych se priznal, tak timto jsem ztratil veskery zbytek zajmu o tenhle thread protoze lapidarne receno: tobe nikde zadnej lokalni named nebezi (forward only je pseudorun), jedine co doufam je, ze to nedelas za penize ....
-
je to můj domácí "server" na kterém mi běží owncloud a další blbosti, potřebuju se na něj dostat zvenku a přes http rozhraní ovládat některá zařízení v síti. Vzhledem k tomu že nemají https nemůžu je vystavit před firewall a jít na ně přímo, proto ten openvpn. bind víceméně používám abych nemusel furt dokola psát ip.
Díky za pomoc, mám pocit že už jsem vyčerpal tvou ochotu se tím zabývat
-
pouzij ten tcpdump .... tohle se opravdu blbe radi na dalku ... tvuj nameserver vypada ze funguje, openvpn ti funguje take .... bude tam nejakej trivialni problem .. dulezite je postupovat logicky a systematicky, eg:
1) overis ze named funguje [done]
2) overis ze ovpn funguje [done]
3) overis, s jakejma src ip se tvari klienti za vpn (eg tcpdump)
4) overis, ze te nereze firewall
5) overis, ze te nerezou spatne nastavena acl
^^ kdyz udelas tyhle kroky, tak bys to mel rozchodit ...
-
Žádnej firewall, ale ten bind vůbec neví, že by měl znát "pepika"
Kde máš definované, že DHCP předává jména do lokální zóny? Nebo ještě jinak - podle čeho se vůbec ve Tvojí síti DNS pro PC tvoří? Kde je server, který to spravuje?
-
Žádnej firewall, ale ten bind vůbec neví, že by měl znát "pepika"
Kde máš definované, že DHCP předává jména do lokální zóny? Nebo ještě jinak - podle čeho se vůbec ve Tvojí síti DNS pro PC tvoří? Kde je server, který to spravuje?
Žádnej firewall, ale ten bind vůbec neví, že by měl znát "pepika" ............. jo to si myslím, akorát nevím jak ho s pepíkem seznámit. Od začátku si myslím, že zakopaný pes je v bindovi.
DHCP běží na 192.168.1.1, stejně jako bind9, fw atd. Jak je nakonfigurovaný named jsem psal výše, nevím co bych tam měl ještě přidat. Bind není můj šálek, trochu v tom plavu.
-
Žádnej firewall, ale ten bind vůbec neví, že by měl znát "pepika"
Kde máš definované, že DHCP předává jména do lokální zóny? Nebo ještě jinak - podle čeho se vůbec ve Tvojí síti DNS pro PC tvoří? Kde je server, který to spravuje?
Žádnej firewall, ale ten bind vůbec neví, že by měl znát "pepika" ............. jo to si myslím, akorát nevím jak ho s pepíkem seznámit. Od začátku si myslím, že zakopaný pes je v bindovi.
DHCP běží na 192.168.1.1, stejně jako bind9, fw atd. Jak je nakonfigurovaný named jsem psal výše, nevím co bych tam měl ještě přidat. Bind není můj šálek, trochu v tom plavu.
A který program tam dělá DHCP?
-
isc-dhcp
-
https://www.google.cz/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=isc%20dhcp%20bind%20dynamic%20update
-
https://www.google.cz/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=isc%20dhcp%20bind%20dynamic%20update
tudy mně nenapadlo jít ... no budu studovat :)
-
No nějak se to chudák dovědět musí, že pepík má taky nějakou IP ...
-
dynamicke updaty jsou v tuhle chvili naprosto jedno !!!!
jde o to, aby mu fungovalo to dns skrz tu vpn ...
-
Chlapi, beru že jste odborníci, tak mne prosím opravte jak uvažuju špatně:
Mám server ubuntu 14.04 (192.168.1.1), běží tam owncloud (443), dhcp, fw, bind9. Mám zařízení v síti XxX, které má z různých důvodů nastavenou pevnou IP (192.168.1.5), na DHCP serveru je udělaný záznam včetně MAC na tuto IP spíše proto abych věděl, že je obsazená. Dále na Bind9 je záznam:
XxX IN A 192.168.1.5
Takže kdokoli v rámci sítě napíše do FF www.mojedomain.eu přesměruje ho to na http owncloud - který to následně překlopí na https, pokud napíše XxX.mojedomain.eu přesměruje ho to na http zařízení XxX.
Dále mám funkční openvpn, která běží na 10.8.0.1.
Když se z win7 klientem openvpn připojím z práce a dám do FF 192.168.1.5 tak mně to správně hodí na http zařízení XxX, pokud napíšu www.mojedomain.eu tak mě to správně hodí na https owncloudu, který ale pozor je současně veřejnou IP s regulérním záznamem na domena.cz. Celý můj problém je, že když napíšu XxX.mojedomain.eu tak mne to nepřesměruje přes openvpn na zařízení XxX.mojedomain.eu ale na veřejnou IP domain.eu tedy owncloud.
Takže dle mého je problém:
1. openvpn se zeptá bindu a ten mu blbě odpoví (špatně nakonfigurovaný bind)
2. openvpn vůbec netuší že se má ptát nějakého bindu, takže ho standartní připojení win7 přesměruje na veřejnou ip (špatně nakonfigurovaný openvpn)
3. openvpn sice ví vše, ale widle to nezajímá a primárně se ptají pracovního doménového serveru, který ho přesměruje na veřejnou ip, protože o nějakém zařízení XxX nemá ani tucha
podle mně s tím dhcp nemá co dělat (v tomhle případě)
-
Já myslím, že se tu pěkně motáme v bůhvíčem.
Ptej se toho bindu, zda zná tu kterou IP adresu k patřičnému záznamu - já si vybral pepíka, protože jsi mluvil o PC v síti, totálně jsem nemohl tušit, že se má jednat o nějaké statické servery, prostě jsem předpokládal, že potřebuješ na PC za VPN, které získávají adresy z DHCP a tedy DHCP by měl dynamicky předávat info bindu. Pokud Ti ten bind odpoví správně - klidně se ho zeptej pomocí digu @localhost - pak můžeš řešit, zda se to protáhne skrz VPN - digem na IP DNS serveru za VPN. Až bude tohle fungovat, tak řeš, zda se klient po pushi DNS ptá nebo neptá DNS serveru za VPN.
-
btw, tohle se dela takhle (jmenuje se to views)
https://kb.isc.org/article/AA-00851/0/Understanding-views-in-BIND-9-by-example.html
http://www.cyberciti.biz/faq/linux-unix-bind9-named-configure-views/
eg rozlisujes pristup na tvuj bind z ruznejch interfejsu .... tzn pokud se ptas "zevnitr" (eg pres vpn nebo z lan), tak ti to vrati vnitrni adresu na prostredky na ktere se ptas a pokud se ptas zvenku, tak ti to vrati verejnou adresu
-
Myslel jsem že je to nějaká triviální chyba, kterou tam mám, že to hned každý odborník uvidí a poradí: dej tam tohle "xxxx" a bude ti to chodit. Rady udělej dig, tamto a tamto = to co je pro Vás brnkačka musím nastudovat, zas tak moc v tom chodit ještě neumím :) Každopádně díky za rady a Váš čas, jdu studovat :)