redirecionamento de DNS em unidade remota por IPSEC

[Igor.rodriguez]

Srs, tenho um cenário em que meu AD está na matriz, tenho unidades conectadas por ipsec onde usuários precisam se autenticar no AD. Como consigo redirecionar essa resolução de nomes sem precisar definir meu dns da matriz como primário nas unidades gerando um tráfego desnecessário na ipsec? Alguém já passou por isso?

[ludarkstar99]

Olá Igor, tudo bem?

Se entendi bem, você precisa que as máquinas da tua filial consigam se autenticar na matriz. Detalhe que conexão entre matriz <--> filial foi feita por túnel IPSec. confere?

Neste caso, você pode fazer de algumas formas diferentes, mas o importante é que as máquinas da filial resolvam corretamente o teu domínio interno (empresa.local por exemplo) para que possam puxar os dados do AD, se autenticarem corretamente além de aplicarem GPOs e outras coisas correlatas do active directory.

Entendo que sua preocupação em não usar o AD da matriz como servidor dns primário da filial para não gerar tráfego desnecessário é extremamente válida (dns é uma parte crítica da navegação dos usuários, e quanto mais perto do usuário estiver o cache, melhor, além de liberar a banda do túnel ipsec quem nem sempre é lá grandes coisas na internet brasileira).

A maneira mais simples (que inclusive fiz recentemente), será na qual as máquinas da filial usem o próprio firewall da filial como servidor DNS, e que o firewall da filial encaminhe para a matriz apenas as consultas *.empresa.local, que são aquelas apenas encontradas no domínio (AD).

Para isso, vá no firewall da filial e configure no serviço do Unbound um novo Override (Services > Unbound DNS > Overrides > Domain Overrides ) com domínio empresa.local e IP o endereço IP do servidor AD da matriz. Isto vai fazer com que as consultas endereçadas para o domínio *.empresa.local seja redirecionada para o AD da matriz. (semelhante a um conditional forwarder no dns do AD).

*Detalhe que o IPSec por padrão não permite a comunicação do firewall (filial) com o AD (matriz) pois o IP de binding do serviço Unbound não vai sair da LAN da filial por padrão (na fase 2 do ipsec a gente normalmente configura apenas lan <--> lan por isso este empecílio). Daí pra resolver esta segunda questão você pode forçar o serviço do unbound a sempre conectar no servidor upstream, tendo como origem o endereço LAN do firewall. Faça o seguinte: vá no menu System > Services > Unbound DNS > General. Marque a opção Advanced options e no campo Outgoind Network Interface selecione apenas a interface LAN do firewall da filial. Salva, aplica e seja feliz 

[Igor.rodriguez]

Olá Igor, tudo bem?

Se entendi bem, você precisa que as máquinas da tua filial consigam se autenticar na matriz. Detalhe que conexão entre matriz <--> filial foi feita por túnel IPSec. confere?

Neste caso, você pode fazer de algumas formas diferentes, mas o importante é que as máquinas da filial resolvam corretamente o teu domínio interno (empresa.local por exemplo) para que possam puxar os dados do AD, se autenticarem corretamente além de aplicarem GPOs e outras coisas correlatas do active directory.

Entendo que sua preocupação em não usar o AD da matriz como servidor dns primário da filial para não gerar tráfego desnecessário é extremamente válida (dns é uma parte crítica da navegação dos usuários, e quanto mais perto do usuário estiver o cache, melhor, além de liberar a banda do túnel ipsec quem nem sempre é lá grandes coisas na internet brasileira).

A maneira mais simples (que inclusive fiz recentemente), será na qual as máquinas da filial usem o próprio firewall da filial como servidor DNS, e que o firewall da filial encaminhe para a matriz apenas as consultas *.empresa.local, que são aquelas apenas encontradas no domínio (AD).

Para isso, vá no firewall da filial e configure no serviço do Unbound um novo Override (Services > Unbound DNS > Overrides > Domain Overrides ) com domínio empresa.local e IP o endereço IP do servidor AD da matriz. Isto vai fazer com que as consultas endereçadas para o domínio *.empresa.local seja redirecionada para o AD da matriz. (semelhante a um conditional forwarder no dns do AD).

*Detalhe que o IPSec por padrão não permite a comunicação do firewall (filial) com o AD (matriz) pois o IP de binding do serviço Unbound não vai sair da LAN da filial por padrão (na fase 2 do ipsec a gente normalmente configura apenas lan <--> lan por isso este empecílio). Daí pra resolver esta segunda questão você pode forçar o serviço do unbound a sempre conectar no servidor upstream, tendo como origem o endereço LAN do firewall. Faça o seguinte: vá no menu System > Services > Unbound DNS > General. Marque a opção Advanced options e no campo Outgoind Network Interface selecione apenas a interface LAN do firewall da filial. Salva, aplica e seja feliz 

Kra, gratidão, resolveu a bronca aqui!!!!

[Igor.rodriguez]

Olá Igor, tudo bem?

Se entendi bem, você precisa que as máquinas da tua filial consigam se autenticar na matriz. Detalhe que conexão entre matriz <--> filial foi feita por túnel IPSec. confere?

Neste caso, você pode fazer de algumas formas diferentes, mas o importante é que as máquinas da filial resolvam corretamente o teu domínio interno (empresa.local por exemplo) para que possam puxar os dados do AD, se autenticarem corretamente além de aplicarem GPOs e outras coisas correlatas do active directory.

Entendo que sua preocupação em não usar o AD da matriz como servidor dns primário da filial para não gerar tráfego desnecessário é extremamente válida (dns é uma parte crítica da navegação dos usuários, e quanto mais perto do usuário estiver o cache, melhor, além de liberar a banda do túnel ipsec quem nem sempre é lá grandes coisas na internet brasileira).

A maneira mais simples (que inclusive fiz recentemente), será na qual as máquinas da filial usem o próprio firewall da filial como servidor DNS, e que o firewall da filial encaminhe para a matriz apenas as consultas *.empresa.local, que são aquelas apenas encontradas no domínio (AD).

Para isso, vá no firewall da filial e configure no serviço do Unbound um novo Override (Services > Unbound DNS > Overrides > Domain Overrides ) com domínio empresa.local e IP o endereço IP do servidor AD da matriz. Isto vai fazer com que as consultas endereçadas para o domínio *.empresa.local seja redirecionada para o AD da matriz. (semelhante a um conditional forwarder no dns do AD).

*Detalhe que o IPSec por padrão não permite a comunicação do firewall (filial) com o AD (matriz) pois o IP de binding do serviço Unbound não vai sair da LAN da filial por padrão (na fase 2 do ipsec a gente normalmente configura apenas lan <--> lan por isso este empecílio). Daí pra resolver esta segunda questão você pode forçar o serviço do unbound a sempre conectar no servidor upstream, tendo como origem o endereço LAN do firewall. Faça o seguinte: vá no menu System > Services > Unbound DNS > General. Marque a opção Advanced options e no campo Outgoind Network Interface selecione apenas a interface LAN do firewall da filial. Salva, aplica e seja feliz 

Aproveitando mas não querendo abusar da sua boa vontade rs. Tenho um prob nesse parque tb de comunicação entre as interfaces, uso a LAN mais duas VLANS, um somente para wifi e outra para os equipamentos. Da Vlan wifi não consigo que uma máquina fale com uma impressora na vlan Segurança(dos equipamentos), regras da lan e das vlans está any to any, tudo liberado.