Configurar servidor DNS separado para usuários de VPN?

1

Eu configurei uma VPN na minha máquina com Windows 7.

Atualmente, a caixa W7 está configurada para usar o roteador como o servidor DNS, o que é bom, mas o que eu gostaria de fazer é dizer:

Qualquer usuário que se conecta via VPN, use esses servidores DNS.

Isso é possível ou teria que ser configurado em cada cliente?

    
por K20GH 07.09.2012 / 00:56

1 resposta

0

Eu não uso o Windows 7, mas é improvável que as edições do Windows 7 Home suportem esse nível de controle. Edições do Windows Server podem.

Veja algumas soluções possíveis se o Windows não conseguir:

  1. Transforme seu roteador no servidor VPN e use-o para fornecer DNS. A maioria dos roteadores usa o Dnsmasq como o servidor DHCP + DNS e suporta o que você deseja fazer. Ele pode distribuir diferentes servidores DNS durante a fase de DHCP ou encaminhar solicitações de DNS para diferentes servidores DNS com base no intervalo de IP da LAN ou nos domínios solicitados. Se o seu roteador não permitir que você defina as configurações DHCP / DNS do Dnsmasq nesse nível, você poderá instalar o firmware personalizado (por exemplo, DD-WRT, Tomato) em muitos roteadores que permitirão adicionar opções cruas do Dnsmasq. Esta é a opção preferida do ponto de vista de rede, já que o servidor VPN realmente deve ficar no limite, e o dnsmasq balança.

  2. Use o Dnsmasq no roteador para encaminhar a solicitação de DNS com base no IP de origem, mas deixe a área de trabalho do Windows 7 como o servidor VPN. É o mesmo que o número 1 em termos de resolução de DNS: seu cliente VPN e sua área de trabalho usarão o mesmo servidor DNS (o roteador), mas o roteador encaminhará as solicitações de DNS para diferentes servidores com base nos IPs de origem. Mas isso funcionará somente se a VPN- > LAN for roteada ou em ponte, não for NATed by Win7; caso contrário, o roteador verá clientes VPN com o mesmo IP de origem da área de trabalho do Windows 7 e não poderá encaminhar o DNS separadamente.

  3. Se o seu roteador não permitir editar a configuração do dnsmasq nem oferecer suporte a firmware personalizado: Instale um software de servidor DNS com suporte para vários encaminhamentos em sua máquina com Windows 7, edite a configuração TCP / IP da máquina com Windows 7 para este servidor DNS SOMENTE (isto é, localhost 127.0.0.1, ou o IP da VM se estiver executando o dnsmasq em uma VM). Em seguida, faça com que esse software de servidor DNS encaminhe a solicitação de DNS para diferentes servidores DNS com base no IP de origem.

Veja link para obter algumas sugestões sobre o software de servidor DNS do Windows, ou você pode rodar uma minúscula VM linux e rodar o dnsmasq nela.

Pessoalmente, executo o Tomato no roteador e encaminharei as solicitações de DNS para diferentes servidores DNS com base no nome de domínio solicitado. Alguns links úteis:

lista de modificadores de Tomate: link

hardware suportado: link

Abra o WRT: link

Firmware da gárgula: link

EDITAR:

Em resposta ao seu comentário de que você quer "usar sua caixa do Win7 sem ter que empurrar todo o tráfego de DNS", acho que há algumas perguntas que precisam ser esclarecidas:

  • Eu posso estar errado, mas acho que você não pode atribuir um servidor DNS diferente a clientes VPN com o servidor VPN interno do Windows 7. A menos que haja uma configuração de registro para fazer isso. Eu tentei googling mas não consegui encontrar nada. Talvez outra pessoa possa ser de mais ajuda para você.

  • Se você quiser que os clientes VPN recebam um servidor DNS externo, eles não conseguirão resolver nomes de host locais em sua rede e eles só poderão endereçar recursos de LAN por IPs. Como você pretende que eles abordem os recursos da LAN? Qual é o seu caso de uso real?

  • O tráfego de DNS de clientes VPN deve ser mínimo e não deve ser o primeiro problema de volume de tráfego que você provavelmente enfrentará. Tem certeza de que apenas o tráfego de DNS é sua preocupação, não o tráfego geral? Seus clientes VPN estão usando a conexão VPN como o gateway padrão para que todo o tráfego seja roteado pela VPN, causando assim o seu problema? (Eu acredito que você quer "Use rede remota como gateway padrão" para estar desligado em seus clientes VPN.)

  • Parece que você não quer apenas controlar qual servidor DNS os clientes VPN recebem como sua pergunta original sugere, mas controlar como os clientes VPN roteiam seu tráfego (seja através da VPN ou de sua conexão com a Internet). Os clientes VPN sempre terão a opção de usar sua rede local como uma rota padrão para todo o tráfego da Internet, usar seu DNS para resolução padrão, o tráfego de broadcast sempre chegará, etc. Você pode bloquear qualquer um deles usando um firewall, mas os pacotes já terá vindo através do tubo nesse ponto. Então, eu tenho medo que você tenha que configurar manualmente os clientes VPN corretamente, não importa o que você faça no lado da LAN.

  • Você também pode querer certificar-se de que a ordem de conexão nos clientes VPN está configurado corretamente para usar a conexão com a Internet primeiro. Vejo link

Espero que você encontre a solução que funciona para você.

    
por 07.09.2012 / 02:36

Tags