GCRaistlin
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DNS-сервер настроен на использование форвардера для разрешения внешних имен, root hints отключены. Имя lt.secretvpn.net в такой конфигурации на клиентах не разрешается: nslookup выдает "Server failed". Другие имена разрешаются.
Теперь о том, зачем отключены root hints. Имеем: домен с DC под Win2k3 R2 SP3. На DC поднят DNS-сервер. Доступ в Интернет осуществляется через машину-шлюз: Win2k3 R2 SP3, Kerio Control, OpenVPN. Шлюз подключен к роутеру, к которому собственно подключен интернетный кабель. Т. о., NAT за NAT'ом.
В настройках сетевой карты шлюза, в которую входит кабель от роутера, в качестве DNS вместо адреса роутера используются DNS-серверы провайдера. Для доступа к заблокированным ресурсам используется VPN antizapret, настроенный таким образом, что при подключении к нему в таблицу маршрутизации для DNS-серверов провайдера добавляются маршруты в VPN (по сути - в никуда). Так сделано, чтобы при включенном antizapret'е использовался только антизапретовский DNS-сервер, иначе при его тайм-ауте имя разрешается DNS-сервером провайдера, соответственно, доступа к заблокированному ресурсу не получаем и приходится чистить DNS-кэш на клиенте и на DC. А так максимальная неприятность - это Server not found в браузере, что исправляется перезагрузкой страницы.
Хочу подчеркнуть, что ни antizapret, ни Kerio к проблеме отношения не имеют: при отключенном VPN все то же самое. Загвоздка в разрешении имени DNS-сервером на DC посредством пересылки запроса на форвардер (шлюз): с DC имя не разрешается, со шлюза - разрешается.
----------
Magically yours
Raistlin |
|
