DNS Problem

[Tom_Tom 10]

Hallo,

 

vielleicht finde ich ja hier bei euch Hilfe zu meinem DNS Problem ;-)

 

Kurz zu meiner Hardware:

 

An vorderster Front steht das SPEEDTOUCH 510 NAT

dahinter steht eine FORTIGATE 100

an der FORTIGATE am DMZ-Port hängt ein LinuxServer (Apache)

an der FORTIGATE am INTERN-Port hängt mein W2003 Server

am W2003 Server hängt auf einer 2ten Netzwerkkarte das ganze interne LAN

 

 

Nun zu meinem Problem:

 

ich habe auf den Linuxserver verschieden Homepages zu verschiedenen Domains laufen.

Wenn ich von Aussen (z.B. auf einem Rechner bei einem Freund) versuche die Domain z.B. http://www.testdomain.at'>http://www.testdomain.at zu erreichen funktioniert alles bestens. Wenn ich allerdings von INTERN versuche die Domain zu erreichen findet er keine.

 

Mit einem tracert http://www.testdomain.at kommt

1. der W2003 Server

2. FIREWALL

und dann ist Schluß

 

Wo kann hier das Problem liegen bzw. wie kann ich es lösen?

 

Hat hier jemand eine Idee?

 

LG

Tom_Tom

[IThome 10]

Wie heisst denn Deine interne AD-Domäne (falls Du überhaupt eine hast) ? Wo steht der DNS-Server für testdomin.at ?

[Tom_Tom 10]

Also intern heisst die Domain z.B. meinedomain.intern und die externe Domainverwaltung wie z.B. testdomain.at läuft über zoneedit.com.

 

Wie gesagt, von extern funktioniert die Auflösung ja - nur von intern nicht ;-(

 

LG

Tom_Tom

[IThome 10]

Und wenn Du NSLOOKUP http://WWW.TESTDOMAIN.AT eingibst, bekommst Du wahrscheinlich Deine externe IP-Adresse geliefert ...

[Tom_Tom 10]

Ja genau!

[IThome 10]

Naja, Dein interner Client fragt den 2003 DNS-Server nach http://www.testdomain.at und der leitet weiter zum DNS-Server im Internet. Dieser liefert Deine externe, offizielle Adresse zurück und der Client versucht sich jetzt von innen mit dem Server über die offizielle Adresse zu verbinden. Dem Namen nach zu urteilen nattet das Speedtouch zur Fortigate (der Apache hat also eine private IP-Adresse) . Ist das soweit korrekt ?

[Tom_Tom 10]

ebenfalls korrekt!

[IThome 10]

Wieviele Domänen sind das, die Du verwaltest ?

[Tom_Tom 10]

so cirka 10 Domains - warum?

[IThome 10]

Du könntest für die Domänen auf Deinem internen 2003 DNS-Server Zonen erstellen und die Hosts händisch den jeweiligen Zonen zuordnen. Die externen Clients fragen den externen DNS-Server und bekommen die offizielle Adresse. Die internen Clients fragen den 2003 Server, der dann für die Zonen zuständig ist und nicht weiterleitet, und bekommen die private Adresse geliefert.

[Tom_Tom 10]

Soweit ich das nun richtig verstanden habe richte ich nun am W2003 Server eine SekundäreZone für testdomain.at mit der IP des Linuxserver - oder?

 

Hab ich grad versucht - bringt aber keine Verbesserung ;-(

[IThome 10]

Sekundäre Zone ? Ist auf dem Linux-Server auch ein DNS-Server installiert ? Ich dachte an eine primäre Zone und in dieser Zone wird der Host erzeugt . Du hast doch erzählt, dass die Internetclients einen externen DNS-Server ansprechen ...

[Darkmind 10]

hallo..

 

 

kann es sein, das der apache wo am dmz port hängt, im gleichen subnetz liegt wie dein interenes netzwerk ?

 

ich frage nur deshalb weil wir eine ähnliche konfig haben so wie du sie hast, doch bei uns können externe ip adressen die in die dmz geroutet werden, sich von "innen" aufrufen lassen.

Allerding haben wir eine IPCop

 

kenne mich mit deinen geräten nicht aus.. allerdings meinte ich das der Speedtouch nicht NATTEN sollte... sondern der Fortigate diese aufgabe übernehmen sollte.

falls dieser das nicht macht.

 

Kannst du mal deine ip konfiguration posten ? So wie es aussieht trennst du das netz hinter dem LAN nochmals ab mit den 2 netzkarten des w2k3 servers, weshalb ist mir auch nicht ganz klar, dies kann aber durchaus durch meinen erfahrungslücken kommen :)

 

ITHOME'S lösung ist sicherlich nen guten ansatz. nur etwas aufwändig falls mehrere domains noch hinzukommen :D.

 

 

Grüsse

 

Darkmind

[IThome 10]

nur etwas aufwändig falls mehrere domains noch hinzukommen :D.

Das stimmt :D , aber im Moment sind´s ja nur 10 ... :)

[Tom_Tom 10]

Tja, ich sage euch nur DANKE :D

 

Wer lesen kann ist klar im Vorteil - dem DNS zu sagen, dass er die Konfig aktualisieren soll war vielleicht ne gute Idee - und schon gings!

 

Super - Danke nochmals :D

 

PS: Ich habe das Netz intern deshalb nochmals über ne 2te Netzwerkkarte aufgeteilt, da ich intern 1GB fahre (damit meinem Dual Xeon Server nicht so fad ist :D )