vpn için split-dns ağ yöneticisi ile nasıl kurulur

2

Hem yerel bir etik ağına hem de VPN bağlantısına sahip 14.04 masaüstü bilgisayarında split DNS yapılandırması yapmak istiyorum. Yani, vpn üzerinden erişilen adres aralıkları için DNS aramalarını, o belirli vpn bağlantısı için yapılandırılmış (özel) DNS sunucularına göndermeliyim. Yerel ağ üzerinden sunulan diğer adresler farklı (genel) dns sunucuları kullanmalıdır.

https://www.stgraber.org/2012/02/24/dns-in-ubuntu-12-04/ yerel bir dnsmasq çözümleyicisine sahip olduğumuz için bunun kolay olduğunu öne sürüyor. Alıntı:

Büyük avantaj, bir VPN'e bağlanırsanız, tüm DNS trafiğinizin geçmişte olduğu gibi VPN üzerinden yönlendirilmesini sağlamak yerine, yalnızca bu VPN tarafından açıklanan alt ağ ve alanlarla ilgili DNS sorguları göndermenizdir. Bu özellikle geçmişte her şeyin yavaşlatılacağı yüksek gecikmeli VPN bağlantıları için ilginçtir.

Ancak bu işin nasıl yapıldığını çözemiyorum! VPN etkin değilken ağ yöneticisi, dnsmasq'a yerel halka açık DNS sunucularını yukarı akış sunucuları olarak kullanmasını söyler (bu iyidir). Şimdi bir VPN bağlantısını etkinleştirirsem, ağ yöneticisi, dnsmasq'a, yukarı yöndeki dns sunucularını vpn bağlantısı için yapılandırılmış özel olanlara değiştirmesini söyler. Ve şimdi tüm yerel trafik dns aramaları için vpn'ye gidiyor (bu kötü!).

"Gerçek" bir dnsmasq kurulumum olsaydı, belirli aramaları belirli dns sunucularına yönlendirmesini dnsmasq.conf dosyasında söyleyebilirdim. Peki bu Ubuntu masaüstünde sağlanan kesme dnsmasq / ağ yöneticisi kurulumuyla nasıl çalışır?

Sanırım bir seçenek sadece tam dnsmasq'ı kurmak, ancak bu, ağ yöneticisinin çoğunlukla üstesinden geldiği türden yapılandırma ayrıntılarını 2 ayrı yerde tutmam gerektiği anlamına geliyor. Baska öneri?

14.04  networking  network-manager  dns  dnsmasq 
geo
kaynak
Bu tartışma biraz ışık tutabilir: mail.gnome.org/archives/networkmanager-list/2014-Ekim/…
jdthood
"Bu kötü" diyorsunuz, ancak makinenin tüm sorgularda VPN ad sunucularını kullanması yasa dışı değil (örneğin, bir RFC'ye karşı). VPN ad sunucuları hem VPN hem de İnternet hakkında bilgi sahibi olmalıdır. Dezavantajlı olan, ilk önce, bunu yapmanın yavaş olabileceğidir. İkincisi, yerel ağ farklı bir özel ağ ise, bunu yapmak yerel adları VPN'ye sızdırıyor. Kabul edildi, ancak DNS hiçbir zaman ad alanlarının gizliliğini korumak için tasarlanmamıştı; DNS'in tasarımı yalnızca bir genel ortak ad alanı olduğunu varsayar.
jdthood

Yanıtlar:

2

NetworkManager'ın farklı DNS sunucularını kullanmak için çalıştırdığı D-Bus kontrollü dnsmasq'ı almak için, aşağıdaki seçenekler vardır (açıkça örneklerde etki alanlarını ve IP adreslerini ayarlayın):

  • /etc/NetworkManager/dnsmasq.dİstediğiniz alt ağ için DNS sunucusunu ayarlayan bir dosya ekleyin : myvpn-server.confiçerebilir server=/myvpn.domain.com/10.8.4.9. Bu, VPN'e bağlı olmasanız bile dnsmasq tarafından her zaman dikkate alınacaktır; bu durumda bu alanlara ilişkin sorular zaman aşımına uğramalıdır. Dezavantajı, IP adresini statik olarak belirtmenizdir, avantaj basitliktir.
  • D-Bus'ı kullanarak doğrudan dnsmasq ile konuşun, sunucuların benzeri bir şey kullanarak güncellemesini söyleyin sudo dbus-send --system --print-reply --dest=org.freedesktop.NetworkManager.dnsmasq /uk/org/thekelleys/dnsmasq uk.org.thekelleys.SetDomainServers "array:string:192.168.0.1,/myvpn.domain.com/10.8.4.9". Vpn bağlandığında bu komut dosyası olabilir. 192.168.0.1D-Bus üzerinden mevcut DNS sunucularını ( benim örneğime göre) aramanız veya kullanmanız gerekirnm-cli
  • Ağ Yöneticisi ile kendi konuşmak ve sunucuları güncellemesini söylemek için D-Bus'ı kullanın. İşte bunu, mevcut sunucuları dahil etmek için biraz çalışmayı gerektiren Python kullanarak yapmanın bir örneği .

İlk seçeneği kullanıyorum ve diğer ikisinin yalnızca ön sürümlerini denedim

David Fraser
kaynak
0

Bu büyük olasılıkla sunucu tarafında bir yapılandırma problemidir. Vpn sunucusu yalnızca çözebileceği etki alanlarını itmelidir.

Örneğin, bir openvpn sunucusu kullanıyorsanız, bir kullanıcı yapılandırması şöyle görünebilir: 

ifconfig-push 172.16.0.51 255.255.255.0
push "route 172.16.1.0 255.255.255.0 172.16.0.1"
push "route 192.168.2.0 255.255.255.0 172.16.0.6"
push "dhcp-option DNS 172.16.0.1"
push "dhcp-option DOMAIN some.of.your.domains"
push "dhcp-option DOMAIN another.domain"

Bu şekilde müşteriniz bilir, sunucunuz yalnızca burada belirtilen alanları çözebilir.

Networkmanager kullanıyorsanız dnsmasq config oldukça az olabilir: 

domain-needed
interface=lo
bind-interfaces

Yaygın bir başka sorun: vpn bağlantı ip ayarlarınızı ağ yöneticisinde "bağlantıyı yalnızca ağındaki kaynaklar için kullanacak" şekilde yapılandırmanız gerekir (burada olduğu gibi: https://brmlab.cz/_media/project/warzone/nv-routes. png )

Aksi takdirde, yönlendirme her zaman "gerçek" arayüz üzerinden vpn bağlantınızı kullanır. Metrikler normal olarak ağ yöneticisi tarafından doğru bir şekilde ayarlanır (vpn için temel ağdan daha yüksek ölçüm)

Schäfer'e kadar
kaynak
0

Büyük olasılıkla nm-bağlantı düzenleyici uygulamasında IPv4 ve IPv6 sekmelerinde DNS Arama Etki Alanı ve Ek DNS Sunucusu alanlarını arıyor olabilirsiniz .

Sadece size şirketlerin etki alanı ve DNS sunucusu IP'lerini oraya girin.

nextloop
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.