1
Portuguese - Português / Re: redirecionamento de DNS em unidade remota por IPSEC
« on: May 23, 2024, 08:42:26 pm »Olá Igor, tudo bem?Aproveitando mas não querendo abusar da sua boa vontade rs. Tenho um prob nesse parque tb de comunicação entre as interfaces, uso a LAN mais duas VLANS, um somente para wifi e outra para os equipamentos. Da Vlan wifi não consigo que uma máquina fale com uma impressora na vlan Segurança(dos equipamentos), regras da lan e das vlans está any to any, tudo liberado.
Se entendi bem, você precisa que as máquinas da tua filial consigam se autenticar na matriz. Detalhe que conexão entre matriz <--> filial foi feita por túnel IPSec. confere?
Neste caso, você pode fazer de algumas formas diferentes, mas o importante é que as máquinas da filial resolvam corretamente o teu domínio interno (empresa.local por exemplo) para que possam puxar os dados do AD, se autenticarem corretamente além de aplicarem GPOs e outras coisas correlatas do active directory.
Entendo que sua preocupação em não usar o AD da matriz como servidor dns primário da filial para não gerar tráfego desnecessário é extremamente válida (dns é uma parte crítica da navegação dos usuários, e quanto mais perto do usuário estiver o cache, melhor, além de liberar a banda do túnel ipsec quem nem sempre é lá grandes coisas na internet brasileira).
A maneira mais simples (que inclusive fiz recentemente), será na qual as máquinas da filial usem o próprio firewall da filial como servidor DNS, e que o firewall da filial encaminhe para a matriz apenas as consultas *.empresa.local, que são aquelas apenas encontradas no domínio (AD).
Para isso, vá no firewall da filial e configure no serviço do Unbound um novo Override (Services > Unbound DNS > Overrides > Domain Overrides ) com domínio empresa.local e IP o endereço IP do servidor AD da matriz. Isto vai fazer com que as consultas endereçadas para o domínio *.empresa.local seja redirecionada para o AD da matriz. (semelhante a um conditional forwarder no dns do AD).
*Detalhe que o IPSec por padrão não permite a comunicação do firewall (filial) com o AD (matriz) pois o IP de binding do serviço Unbound não vai sair da LAN da filial por padrão (na fase 2 do ipsec a gente normalmente configura apenas lan <--> lan por isso este empecílio). Daí pra resolver esta segunda questão você pode forçar o serviço do unbound a sempre conectar no servidor upstream, tendo como origem o endereço LAN do firewall. Faça o seguinte: vá no menu System > Services > Unbound DNS > General. Marque a opção Advanced options e no campo Outgoind Network Interface selecione apenas a interface LAN do firewall da filial. Salva, aplica e seja feliz