BIND9 и впн-туннель

0

1

Есть две сети: домашняя и рабочая. Соединяются они посредством туннеля. В обеих сетях есть по днс-серверу BIND. Рабочий днс-сервер держит зону сайта компании, расположенного так же в рабочей сети. Оба сервера (днс и сайт) доступны как через рабочую сеть, так и через Интернет. Нужно настроить домашний днс-сервер так, что бы при активном впн-соединении, со стороны домашней сети, сайт резолвился как внутренний, а при отсутствии соединения, открывался бы через Интернет. Как я понял, конструкция должна иметь такой вид:

zone "example.com" {
        type forward;
        forwarders {
                192.168.11.4;
                213.456.78.9;
        };
};

Но при такой конфигурации домашний сервер обращается только к внешнему днс (судя по тому, что отдает внешний айпишник), не зависимо от состояния впн-соединения. Если закомментировать внешний айпи, то в ответ получаем внутренний адрес, и соответственно наоборот.

View на рабочем днс-сервере настроены должным образом и функционируют как нужно.

Ссылка

←	Монитор прозиводительности в linux

sams: Борьба с глюками

→

Я вам же уже отвечал, что вы хотите от bind'а странного. Он не пытается всё время переключаться между форвардами. Пока один работает, он работает с ним, если не работает, переключается на другой. И он не «почуствует» появление впн-соединения.

http://www.linux.org.ru/forum/general/5412999

mky ★★★★★
(20.10.10 11:50:12 MSD)

Ответ на: комментарий от mky 20.10.10 11:50:12 MSD

Да, я видел ваше сообщение в той теме, просто подумал, что проблема больше относится к этому форуму.

Пока один работает, он работает с ним, если не работает, переключается на другой.

Вся ерунда в том, что как раз этого то и не происходит. Работают оба, но bind обращается на внешний айпишник, а внутренний игнорирует. Если поменять их очередность, то, как я говорил, ничего не меняется – все равно ломится на внешний.

j0ker1
(20.10.10 13:33:31 MSD) автор топика

Ответ на: комментарий от j0ker1 20.10.10 13:33:31 MSD

Это потому, что бинд поначалу проверяет оба, и после этого начинает работать только с тем адресом, который отвечает быстрее. Если впн в момент запуска бинда не подключен, то внутренний айпи не отвечает вообще, соответственно бинд к нему перестает обращаться.

Однако, бинд тем не менее периодически (около 10-20 минут) проверяет второй форвардер и если он начнет отвечать быстрее, то переключится на него. Однако у Вас судя по всему внутренний форвардер никогда не ответит быстрее внешнего.

В Вашем случае можно сделать так: При поднятии впн, ипитаблесами блокировать доступ к внешнему форвардеру и рестартовать бинд. Соответственно, при падении впн разрешать доступ к внешнему форвардеру и опять рестартовать бинд. Работать так будет, хотя наверное есть более правильные способы.

ansky ★★★★★
(21.10.10 03:03:36 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Монитор прозиводительности в linux

Admin

sams: Борьба с глюками

→

Похожие темы