none
configurações de dns e dhcp RRS feed

  • Pergunta

  • Moden/Bridge (Operadora):
    •  Moden fornecido pela operadora foi configurado como bridge;
       Firewall/Proxy:
    •  Servidor separado configurado como roteador;
    172.16.1.1
    255.255.0.0
    DNS 172.16.0.1
    •  Proxy server PfSense;
       (DNS, DHCP)

    •  Servidor de nomes IP: 
    IPv4: 172.16.0.1
    Mascara: 255.255.0.0
    Gateway: 172.16.1.1
    DNS primário: 172.16.0.1

    •  Servidor de distribuição de ip com ranges:
    Range liberado (visitantes): 192.168.100.0 até 192.168.100.254 /24
    Range servidores (LIBERAR COM MAC): 172.16.1.0 até 172.16.1.254 /24
    Range infraestrutura (LIBERAR COM MAC): 172.16.10.0 até 172.16.10.254 /24
    Range colaboradores (LIBERAR COM MAC): 172.16.100.0 até 172.16.100.254 /24
    Range ativos de rede (LIBERAR COM MAC): 172.16.254.0 até 172.16.254.254 /24

    Preciso criar essa infraestrutura de liberação de IP porem até consigo configurar tudo, mais eu não tenho sucesso em realizar navegação na internet e a disponibilização de ip aos computadores com o MAC específico, e quando pega IP não resolve os nomes para a internet. 

    quinta-feira, 10 de dezembro de 2015 13:09

Respostas

  • Portinho,

    Para criar uma vlan, você precisa verificar as configurações de seu switch físico, se ele suporta VLAN, e precisará de um DHCP nesse segmento para que funcione adequadamente.

    Em relação à definição de subrede lógicas, bem, eu sugiro que repense um pouco essa estrutura, eu creio que estás criando um nível de complexidade que pouco agrega em termos de segurança (principalmente se estão todos na mesma rede física), além de ter que manter atualizado reservas no DHCP com novas estações, o que é um trabalho bastante grande. Entretanto, para funcionar o DHCP, você precisa colocar um endereço IP de cada subrede física na placa de rede do seu servidor DHCP (nas propriedades de rede, TCP/IP, pode colocar outros endereços IPs) e, em cada escopo, fazer as reservas (veja figura 1 abaixo). Sem os endereços IPs, ele não tem como entregar endereços para outras subredes.

    Para configurar um encaminhamento do DNS, você precisa de um DNS com capacidade de resolver (pode o Firewall). Entre no DNS Server, clique com o botão direito em cima do servidor e vá em propriedades, selecine a tab Forwarders e clique no botão Edit para adicionar um novo Forwarder (imagem abaixo). Se quiser dar acesso para o DC resolver os nomes direto na Internet, basta configurar o default gateway do DC para o firewall e criar as regras de nat para acesso DNS (porta 53 TCP e UDP.

    Qualquer dúvida, estou a disposição.

    Abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT
    Blog: www.gm9.com.br

    DHCP Reservation:

    DNS Forwarder

    • Marcado como Resposta Portinho sexta-feira, 11 de dezembro de 2015 16:45
    sexta-feira, 11 de dezembro de 2015 13:30

Todas as Respostas

  • Portinho,

    Vamos por partes. A primeira vista, você está com um problema em relação a definição das subredes de servidores, colaboradores, infraestrutura, etc. Você definiu as subredes como classe C, porém você está utilizando uma máscara classe B em configurações acima, o que pode gerar uma série de problemas.

    Além disso, as estações e servidores estão na mesma rede física? Se sim, talvez exista pouca vantagem em separar sua rede em quatro subredes lógicas, você fica dependente de um roteador que acaba sendo o único ponto de falha e, em termos de segurança, não acrescenta muita coisa, pois por estar na mesma rede física, qualquer usuário mais esperto pode colocar um endereço IP físico para ter alguma vantagem.

    Sobre a resolução de nomes, você está utilizando o DNS do seu servidor Active Directory para resolução de nomes da internet? Caso positivo, uma solução seria configurar um DNS Forwarder ou mesmo acesso à internet para o DC, pois ele precisa de um Forwarder para encaminhar a resolução de nomes externo ou ter acesso a internet para consultar os servidor DNS Root Hints. 

    Essas seriam minhas considerações iniciais. Qualquer dúvida, avise.

    Se a resposta fornecida nessa thread ajudou na sua solução, não esqueça de marcar como resposta!

    Abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT
    Blog: www.gm9.com.br
    quinta-feira, 10 de dezembro de 2015 18:34
  • Portinho,

    Vamos por partes. A primeira vista, você está com um problema em relação a definição das subredes de servidores, colaboradores, infraestrutura, etc. Você definiu as subredes como classe C, porém você está utilizando uma máscara classe B em configurações acima, o que pode gerar uma série de problemas.

    Além disso, as estações e servidores estão na mesma rede física? Se sim, talvez exista pouca vantagem em separar sua rede em quatro subredes lógicas, você fica dependente de um roteador que acaba sendo o único ponto de falha e, em termos de segurança, não acrescenta muita coisa, pois por estar na mesma rede física, qualquer usuário mais esperto pode colocar um endereço IP físico para ter alguma vantagem.

    Sobre a resolução de nomes, você está utilizando o DNS do seu servidor Active Directory para resolução de nomes da internet? Caso positivo, uma solução seria configurar um DNS Forwarder ou mesmo acesso à internet para o DC, pois ele precisa de um Forwarder para encaminhar a resolução de nomes externo ou ter acesso a internet para consultar os servidor DNS Root Hints. 

    Essas seriam minhas considerações iniciais. Qualquer dúvida, avise.

    Se a resposta fornecida nessa thread ajudou na sua solução, não esqueça de marcar como resposta!

    Abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT
    Blog: www.gm9.com.br

    Gustavo bom dia primeiramente muito obrigado pela prestatividade em me ajudar, os computadores estão sim na mesma rede física porem o roteamento a princípio está com um PfSense, posteriormente (após resolver esse problema) será colocado um outro para promover a redundância. Em relação a segurança somente o

    Range liberado (visitantes): 192.168.100.0 até 192.168.100.254 /24 que será disponibilizado rede (aproveitando gostaria de saber como criar VLAN para impedir essa rede ter acesso a rede interna), todos os outros serão dados IP’s mediante ao MAC, pois além de ser liberado somente pelo MAC todos os ranges serão criados com reserva impossibilitando essa distribuição (pois tudo será distribuído por DHCP).Em relação ao DNS eu utilizo o meu Active Directory para a resolução de nomes da Internet, se você pudesse me orientar em como eu realizo esse procedimento mencionado por você ficaria muito grato.

    Desde já fico no aguardo por mais ajuda

    sexta-feira, 11 de dezembro de 2015 11:01
  • Portinho,

    Para criar uma vlan, você precisa verificar as configurações de seu switch físico, se ele suporta VLAN, e precisará de um DHCP nesse segmento para que funcione adequadamente.

    Em relação à definição de subrede lógicas, bem, eu sugiro que repense um pouco essa estrutura, eu creio que estás criando um nível de complexidade que pouco agrega em termos de segurança (principalmente se estão todos na mesma rede física), além de ter que manter atualizado reservas no DHCP com novas estações, o que é um trabalho bastante grande. Entretanto, para funcionar o DHCP, você precisa colocar um endereço IP de cada subrede física na placa de rede do seu servidor DHCP (nas propriedades de rede, TCP/IP, pode colocar outros endereços IPs) e, em cada escopo, fazer as reservas (veja figura 1 abaixo). Sem os endereços IPs, ele não tem como entregar endereços para outras subredes.

    Para configurar um encaminhamento do DNS, você precisa de um DNS com capacidade de resolver (pode o Firewall). Entre no DNS Server, clique com o botão direito em cima do servidor e vá em propriedades, selecine a tab Forwarders e clique no botão Edit para adicionar um novo Forwarder (imagem abaixo). Se quiser dar acesso para o DC resolver os nomes direto na Internet, basta configurar o default gateway do DC para o firewall e criar as regras de nat para acesso DNS (porta 53 TCP e UDP.

    Qualquer dúvida, estou a disposição.

    Abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT
    Blog: www.gm9.com.br

    DHCP Reservation:

    DNS Forwarder

    • Marcado como Resposta Portinho sexta-feira, 11 de dezembro de 2015 16:45
    sexta-feira, 11 de dezembro de 2015 13:30