Estou no trabalho ligado a workdomain.com
Eu uso uma conexão VPN cliente para me conectar a homelab.com
Agora, se eu ipconfig /all obtenho:
Windows IP Configuration
Host Name . . . . . . . . . . . . : WORKSTATION
Primary Dns Suffix . . . . . . . : workdomain.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : workdomain.com
homelab.com
Ethernet adapter VPN Client: (virtual NIC)
Connection-specific DNS Suffix . : homelab.com
Description . . . . . . . . . . . : VPN Client Adapter
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.homelab.69(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 192.168.homelab.router
DHCP Server . . . . . . . . . . . : 192.168.homelab.dnsserver
DNS Servers . . . . . . . . . . . : 192.168.homelab.dnsserver
NetBIOS over Tcpip. . . . . . . . : Enabled
Ethernet adapter Local Area Connection: (physical NIC)
Connection-specific DNS Suffix . : workdomain.com
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.workdomain.169(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 192.168.workdomain.dnsserver
DNS Servers . . . . . . . . . . . : 192.168.workdomain.dnsserver
NetBIOS over Tcpip. . . . . . . . : Enabled
Mas agora, se eu nslookup workdomain.com obtenho:
Server: UnKnown
Address: 192.168.homelab.dnsserver
Non-authoritative answer:
Name: workdomain.com
Address: 63.230.public.ip
Como estou conectado aos dois workdomain.com e homelab.com , esperava que o subsistema DNS fosse inteligente o suficiente para dizer "Ei, estou conectado diretamente à rede que gerencia esse servidor! Eu poderia perguntar seu servidor DNS diretamente, e obtenha uma resposta autoritária! " (Isso me daria o endereço IP interno para esse servidor)
Parece que está acontecendo o envio da consulta através do pipe da VPN para dns.homelab.com , que então a encaminha para o DNS da WAN, que então responde com o IP público não autorizado por workdomain.com .
Eu sei que mesmo com múltiplos servidores DNS configurados, é normal que um cliente escolha um único, envie sua consulta DNS, e mesmo que o servidor responda que não foi encontrado, ele aceitará a resposta e não tentará qualquer outro servidor DNS que possa ter configurado.
Mas, se eu tentar nslookup workdomain.com dns.workdomain.com , obtenho:
Server: dns.workdomain.com
Address: 192.168.workdomain.dnsserver
Name: workdomain.com
Address: 192.168.workdomain.dnsserver
(isto é o que eu estava esperando, o que eu quero que aconteça!)
Minhas perguntas são:
Esse é o comportamento esperado de clientes DNS em vários domínios, com vários Sufixos de pesquisa de DNS configurados? É normal que, mesmo quando conectado diretamente à rede workdomain.com , o sufixo de pesquisa de domínio seja listado na lista de pesquisa de sufixos de DNS, que minha máquina cliente ainda roteia sua consulta DNS para dns.homelab.com ? Por que não reconhece que já está nessa rede e tenta obter uma resposta autoritária?
Existe uma configuração que fará com que minha estação de trabalho use o servidor DNS local para *.workdomain.com consultas? Esse é o comportamento que eu esperava. Estou estudando para os exames, por isso é importante para mim entender por que e também como alterá-lo.
A conexão VPN do cliente altera a preferência do servidor DNS da WORKSTATION? Nesse caso, isso pode ser o.k. para mim. Estou tentando garantir que nossos técnicos de serviço de campo possam se conectar à nossa rede a partir de um site do cliente (o que provavelmente terá seu próprio sufixo de domínio). Se a conexão VPN cliente assumir automaticamente o servidor DNS no final do canal como prioridade, eles não devem ter problemas para se conectar aos nossos recursos internos.
Obrigado! Obrigada!
Estou executando Win 7 SP1 Ultimate build 7601 em WORKSTATION.workdomain.com btw.
EDITAR:
Então, eu dei um cenário onde esse comportamento pode ser um problema. Você já tem nosso primeiro caso de uso: um técnico de serviço de campo no site do cliente precisa acessar os recursos internos do domínio do cliente e nossos recursos através de uma conexão de cliente VPN, mas as solicitações de DNS do domínio do cliente estão sendo roteadas pela WAN.
Agora, deixe-me oferecer outro caso de uso que pode ter mais significado para você. Digamos que estou de volta em casa agora conectada a homelab.com e tenho meus próprios recursos pessoais que gosto de executar, digamos, uma porta 80 do servidor da Web não protegida do Wiki e um servidor de mídia com compartilhamentos de arquivos SMB e FTP. Agora, para minha privacidade pessoal, uso um serviço VPN de terceiros para minha conexão WAN. Agora, quero poder acessar a Internet com segurança & privada através de VPN, no entanto eu definitivamente não quero minhas solicitações de DNS para server.homelab.com ou mesmo ftp.homelab.com (!) roteadas pela internet para quem sabe ver !!
Deve haver uma maneira de os subsistemas DNS ou TCP / IP serem inteligentes o suficiente para preferir uma conexão LAN direta através de uma conexão VPN cliente. Ou, e esta foi a minha primeira pergunta, é este comportamento esperado aqui?
Tags dns networking vpn