Евгений (strannick_ru) wrote in ru_root,
Евгений
strannick_ru
ru_root

не резолвятся имена в DNS за VPN

Приветствую.
Настраиваю VPN, чтобы засунуть во внутреннюю сеть часть сервисов.

Проблема в следующем — не работает резолвинг адресов вида git.example.lan

Делал с помощью связки strongswan + dnsmasq.

Конфиги простые совсем:
[/etc/ipsec.conf]
# ipsec.conf

config setup

conn %default
        dpdaction=clear
        dpddelay=35s
        dpdtimeout=300s

        fragmentation=yes
        rekey=no

        ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
        esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

        left=%any
        leftsubnet=192.168.0.0/24
        leftcert=certificate.pem
        leftfirewall=yes
        leftsendcert=always

        right=%any
        rightsourceip=%dhcp
        rightdns=192.168.0.100

        eap_identity=%identity

# IKEv2
conn IPSec-IKEv2
        keyexchange=ikev2
        auto=add

# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
        also="IPSec-IKEv2"
        rightauth=eap-mschapv2

# macOS, iOS
conn IKEv2-MSCHAPv2-Apple
        also="IPSec-IKEv2"
        rightauth=eap-mschapv2
        leftid=vpn.example.com

# Android IPsec Hybrid RSA
conn IKEv1-Xauth
        keyexchange=ikev1
        rightauth=xauth
        auto=add


[/etc/ipsec.secrets]
# ipsec.secrets

: RSA key.pem
user : EAP "password"


[/etc/strongswan.d/charon/dhcp.conf]
# charon/dhcp.conf

dhcp {
    force_server_address = yes
    interface = eth0
    load = yes
    server = 192.168.0.100
}


[/etc/dnsmasq.conf]
# dnsmasq.conf

domain=example.lan
interface=eth0

host-record=git.example.lan,192.168.0.4
host-record=wiki.example.lan,192.168.0.5

server=/0.168.192.in-addr.arpa/192.168.0.100
server=192.168.0.100
server=77.88.8.8
server=8.8.8.8

dhcp-authoritative
dhcp-range=192.168.0.101,192.168.0.250,24h

dhcp-option=option:netmask,255.255.255.0
dhcp-option=option:router
dhcp-option=option:dns-server,192.168.0.100
dhcp-option=option:domain-name,example.lan
dhcp-option=option:mtu,1360
dhcp-option=option:classless-static-route,192.168.0.0/24,192.168.0.100

dhcp-option=1,255.255.255.0
dhcp-option=3
dhcp-option=6,192.168.0.100
dhcp-option=26,1360
dhcp-option=121,192.168.0.0/24,192.168.0.100
dhcp-option=249,192.168.0.0/24,192.168.0.100
dhcp-option=vendor:MSFT,2,1i

conf-dir=/etc/dnsmasq.d/,*.conf


Всё подключается, всё работает кроме одного — имена в windows не резолвятся.

При этом если проверить DNS командой nslookup git.example.lan 192.168.0.100 — всё нормально резолвится. Но ping git.example.lan уже не работает.

Пробовал прописать DNS-сервер в свойства подключения — бесполезно.

Вопрос — ЧЯДНТ и как это починить?

UPD: Разобрался. Достаточно прописать метрику 1 для VPN-интерфейса в свойствах подключения у клиента.
Tags: dhcp, dns, vpn, windows
Subscribe

  • Можно ли устроить полный доступ наружу через VPN?

    Хотя VPN - это virtual PRIVATE network, но я знаю, что в IPSec можно использовать не только приватные, но и публичные IP-адреса. А можно ли как-то…

  • про ФЗ-152

    Коллеги, а есть ли в природе проверенный сервис, который позволяет: 1. получить виртуалку/виртуалки в windows, чтобы в ней / в них могли работать…

  • VPN в России

    В интернетах пишут, что закон о запрете VPNов, которые позволяют залезать на запрещённые сайты, уже принят а июне, хотя вроде как действовать будет…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments