Нужна помощь с подключением win8 к Zentyal

[volandkey]

Здравствуйте! Помогите, хорошим советом, т.к. ломаю голову вторую неделю.
Стоит шлюз Zentyal 3.3 с последними обновлениями. Играет роль DNS, DHCP, OpenVPN, HTTP-прокси, с мелкими настройками по файрволлу + контроллер домена (групповые политики по дефолту пока).
В сети около 50 устройств различного применения Ip-шлюзы, IP-телефоны, принтеры, айфоны/айпады/маки, линуксы, и win XP/2000/2003. Все работает замечательно, цепляется мгновенно, и нареканий не вызывает, и в домен тоже замечательно входит.
Наччали использовать win7/8 и с ней возникли проблемы.
При старте компы с win8 замечательно по DHCP получают IP адрес, но в упор теряют DNS-адрес Zentyal. Винда ругается на "подключение ограничено", в Event Viewer винды ничего внятного нету - кроме того, что не может получить время и нет. Полез в свойства сетевого контроллера, поснимал все галки, кроме клиента сетей микрософта и TCP/IP v4. Но интернет появляется, но строго после того, как я включаю/выключаю адаптер в свойствах винды. Проблема не зависит от дистрибутива (win8 sl, win8 corp, win8 под виртуалкой с бридж подключением + есть ноут с win7 на борту, и проблемы также имеются) и не зависит от КД, т.к. на машинах с win7/8, не заведенных в КД с интернетом аналогичные проблемы. Где искать корень проблемы?

[bubnov-pi]

Видел схожее странное поведение, связанное с попыткой отдавать зеновским DNS IPv6 адреса запрашиваемых ресурсов. Целенаправленно с проблемой не боролся - сама "рассосалась", видимо, после какого-то обновления.
Точно клиенты "теряют DNS-адрес Zentyal"? Что говорит "ipconfig /all" на клиенте? Во что резолвятся адреса интернет-ресурсов? ("nslookup ya.ru" и "ping ya.ru", например)

[volandkey]

1й скрин - при старте - подключение ограничено, вхожу под доменной учеткой - очень долго грузится (около мминуты, на компе ssd) - инета нет, компы в локалке пингуются (локалка 172.16.0.xxx). Включаю/выключаю адаптер - интернет сразу появляется.

Проблема спонтанная, т.к. если выключить PC когда интернет работал, и включить повторно - интернет есть (может писать, что ограничено, значок с открытием любого сайта сразу меняется, да и пинги ходят). 
Прописывал IP статикой на проблемные машины - опять же ситуация с DNS повторяется.

В Zentyal стоит обновление DHCP раз в 30 минут. Решил пока увеличить до недели, посмотрю, даст эффект или нет. Но если на компе IP прописан статикой, то вряд ли это действие бы что-то поменяло.

[rpppng]

Оставь на клиентах только один DNS адрес (убери 8-ки).

[volandkey]

Пробовал, задавать статикой с одним DNS Zentyal - не помогло. Ну и это рекомендуют, если машинки в домене, а у меня проблема и на бездоменных машинах такая же.

[rpppng]

А что по этому вопросу?

Точно клиенты "теряют DNS-адрес Zentyal"? Во что резолвятся адреса интернет-ресурсов? ("nslookup ya.ru" и "ping ya.ru", например)

[volandkey]

C:\Users\admin.OFFICE>nslookup ya.ru
╤хЁтхЁ:  UnKnown
Address:  172.16.0.250

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  2a02:6b8::3
          213.180.204.3
          93.158.134.3
          213.180.193.3

Здесь у меня вопрос. Внутри office.lan есть Web-server 172.16.0.201 на котором крутится несколько сайтов к примеру vasya.com и petya.ru   В зентяле выключен свой веб-сервер, и проброшен 80й порт на 172.16.0.201. Чтобы на эти сайты можно было зайти из локалки 172.16.0.ххх в разделе DNS добавил домены с названием vasya.com ip 172.16.0.201, и добавил поддомены mail.vasya.com sip.vasya.com с указанием их внешних IP (они в локальную сеть не входят). Nameservers в этом разделе не трогал - он сейчас одинаковый.

[rpppng]

А пинг не проходит то есть?

[volandkey]

на скринах выше прикладывал. Если "подключение ограничено" - то во внешнюю сеть не проходит (ethernet), если вкл./выкл. адаптеру сделал - то все ок.

[bubnov-pi]

C:\Users\admin.OFFICE>nslookup ya.ru
╤хЁтхЁ:  UnKnown
Address:  172.16.0.250

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  2a02:6b8::3
          213.180.204.3
          93.158.134.3
          213.180.193.3
...

Вот это вот (жирным) как раз сильно смахивает на

Видел схожее странное поведение, связанное с попыткой отдавать зеновским DNS IPv6 адреса запрашиваемых ресурсов.

Рецепта лечения предложить не готов, но копать следует в данном направлении. Мне мой DNS-сервер IPv6 на данный момент не отдаёт - только IPv4 (Zentyal 3.5, клиенты Win8)
"vasya.com и petya.ru" здесь ни при чём.

[Ready]

такая же фигня, DNS зачастую отрабатывает выкидывая первым адрес IPv6

Посмотрел на контроллере доменов который закручен на win serv 2008 r2, dns тоже выдает адрес ipv6, есть подозрение что теперь это норма)) уже многие хостеры обзавелись ipv6

[volandkey]

Продолжение. Открыл логи файрволла, а там рукалицо :-((

2014-09-24 10:06:59 eth0 172.16.0.236 172.16.0.250  UDP 51037 53 DROP
2014-09-24 10:05:56 eth0 172.16.0.232 172.16.0.250  UDP 55121 53 DROP
2014-09-24 10:05:55 eth0 172.16.0.232 172.16.0.250  UDP 49961 53 DROP
2014-09-24 10:05:54 eth0 172.16.0.232 172.16.0.250  UDP 58680 53 DROP

В общем настройка dns не причем, пакеты dns по непонятной мне причине дропаются, причем дропаются на eth0, локалка-то у меня раздается с eth1.
Открыл правила (файрволл я глобально не настраивал, там практически все по дефолту), DNS там везде разрешен, и в правилах служба DNS разрешена (иначе бы вообще инета на машинах не было). Netbios также дропается. Попробовал вручную дописать пару правил (хоть и не думаю, что это корректно, см скрины.). Машины с win7/8 стали нормально цепляться, но при старте на 10-15 сек, все равно проскакивает восклицательный знак на сетке. Открываю инет - вроде есть. В логах по прежнему дроп пакетов внутренних пакетов днс на внешнюю сетевуху. По прежнему не понимаю, где собака порылась =(.