DNS com VPN (DNS local vs. remoto)

0

Meu computador está conectado ao domínio de trabalho, onde ele obtém os servidores de DNS locais juntamente com as configurações de DHCP.

Para um determinado cliente, estou conectando a sua rede usando VPN (Open VPN / TAP-Device), que ofc. configura um segundo ip junto com seus servidores DNS.

O problema que estou enfrentando, é que o Windows 10 parece ser incapaz de decidir qual DNS-Server consultar: digamos que os domínios sejam ad.customer.com e ad.mysite.com .

Quando a conexão é estabelecida, o Windows 10, por padrão, usa o servidor-DNS do site remoto, ou seja, dns1.ad.customer.com . A resolução de DNS local agora falha, o que torna os compartilhamentos de arquivos locais, impressoras, etc., inacessíveis.

O problema é, obviamente, que os nomes de domínio são subdomínios de um tld válido:

  • O PC começa a perguntar ao servidor-DNS remoto por mysite.com - que pode ser resolvido online.
  • Mas, então, ofc, o responsável pelo controlador de domínio on-line para mysite.com não tem nenhuma informação para ad.mysite.com , porque isso é tratado apenas pelo (s) servidor (es) -dns local (ais)
  • tracerouting qualquer nome interno mostra, que o Windows claramente tenta resolvê-lo deste caminho ...

Se eu modificar as métricas das conexões de rede (local vs TAP), o comportamento se comporta de outra forma: sou capaz de acessar recursos locais mesmo se a VPN estiver estabelecida, mas obviamente não consigo resolver nomes de host o ad.customer.com -domain, porque agora a mesma coisa acontece, vice-versa:

  • O Windows está solicitando meu DNS local por customer.com
  • a solicitação é encaminhada ao servidor DNS responsável por cusotmer.com - que, por sua vez, é a "versão on-line" e não reconhece o% internoad -subdomain.

Existe uma maneira de informar ao Windows qual Connection / DNS-Server deve ser usado para um determinado FQDN?

Ou eu poderia configurar meu dc1.ad.mysite.com para responder de uma maneira que o cliente saiba que ele precisa consultar dc1.ad.customer.com (ip)?

(Configurar um redirecionador de DNS ofc. não funcionará, porque os servidores dns internos não estão conectados, já que a conexão VPN se origina da minha máquina)

Por assim dizer, eu precisaria de Redirecionamento de DNS, não de DNS-Forwarding.

Local One é 2012 R2, se isso tiver um impacto nas opções.

    
por dognose 17.05.2017 / 11:12

2 respostas

0

Eu descobri: os dois online-dns servidores ( customer.com e mysite.com ) tinham a configuração dos registros de caracteres curinga, por exemplo, um A-record como *.mysite.com

Portanto, quando o DNS interno de ad.customer.com foi consultado para um fqdn em ad.mysite.com , ele foi encaminhado para o DNS on-line, o DNS on-line responsável por mysite.com respondeu com o IP principal devido a seu caractere curinga Um registro:

Nãoconsigoalterarosregistrosdedomínioparaocliente,maspossoalterarosnossos.Então,euconfigureiasmétricasparaqueaconexãoremotefosseusadaprimeiro,masparaonossotldeudesativeiocuringa,deixandoapenasvalidnomesdehostparaseremrespondidos.

Portanto,seumaVPN-Connectionforestabelecidaagora,oWindowscomeçaráaconsultarosDNSlocaisdosclientes,mesmoparanomesdehostinternos,masnãoreceberámaisumarespostaerrada(devidoaoencaminhamentoparaoDNSonline),masnada.

AgoraoWindowsparececonsultarosservidoresdeDNSdaconexãosecundária(local,maiormétrica),quefuncionaelevaaoresultadocorreto:

Conhecendoacausa,outrasolução-talvezmelhor-foifácildeencontrar:EnquantoaSolução1sempreconsultariaoDNSlocaldosclientesprimeiro,estetrabalhaprimeirocomaconsultadonossoDNSlocal:

Primeiro,ofc.Asmétricasdasduasconexõesforamalteradas,paraqueaconexãolocalsejausadaprimeiro.

DentrodonossoservidordeDNSlocal,euconfiguroumazonaprimária,quecorrespondeaodomíniodeclientes:customer.com-eadeixovazia.

Agora,nossoDNSlocalresponderácomnotfoundemvezdeencaminharaconsultaparaosclientesusandoocuringausandooonline-dns-server.(Quenãopoderesolverseusnomesinternos)

MeuPCagorausaráasegundaconexão(remota),ondeaconsultadenomesinternospodeserresolvida.

Inconveniente:semumaconexãoVPNestabelecida,nãopossomaisacessarositedocliente,porqueoDNSlocalnãoestámaisencaminhandoessasconsultas.

Seeuprecisassedissotambém,eupoderiaconfigurarregistrosAna"Fake-primary-Zone" ofc.

    
por 17.05.2017 / 12:32
0

Os servidores VPN são os únicos que podem realmente ajudar a ter acesso aos dados de qualquer parte do mundo e, portanto, são criptografados com segurança.

Eu configurei o meu próprio servidor VPN usando o Raspberry Pi 3 no Reino Unido e ele está funcionando como um encanto desde que foi configurado, sem problemas, a configuração é TCP / IP e eu estou planejando configurar outro com o UDP.

Siamak

    
por 19.08.2017 / 14:09

Tags