Как в OpenVPN насроить primary DNS сервер чтобы клиент сначала смотрел туда, а уже потом в локальные NS?

Question

[VITYA-XY1]

Мне не нужно весь трафик направлять через OpenVPN, а только NS которые имеют отношение, к приватному Route53 на AWS.
Люди зачем-то bind настраивают: https://medium.com/@dusansusic/setting-up-openvpn-.... Не проще напрямую прописать DNS сервер VPC?
Я в свою очередь установил dnsmasq. Хотя когда я на своей локалке делаю запрос через VPC DNS сервер:
dig @172.31.0.2 NS stage.example.com
Я получаю CNAME ELB:
stage.example.com. 300 IN CNAME stage-elb-934312745.us-east-2.elb.amazonaws.com.
Та же истоирия и с dnsmasq на openvpn сервере:
dig @10.8.0.1 NS stage.example.com

Вот конфиг клиента:

client
proto                 tcp
dev                   tun
remote             vpn.example.com
port                  12000

resolv-retry          infinite

remote-cert-tls       server
auth                  SHA256
cipher                AES-128-CBC

verb                  4
allow-pull-fqdn

dhcp-option DNS 10.8.0.1

persist-key
persist-tun
nobind
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-crypt>

Конфиг сервера:

proto       tcp
dev         tun

local       172.31.0.142
port        12000

topology    subnet
server      10.8.0.0 255.255.255.0

ca          keys/ca.crt
cert        keys/issued/server.crt
key         keys/private/server.key
dh          keys/dh.pem
tls-crypt   keys/tc.key
crl-verify  keys/crl.pem

auth        SHA256
cipher      AES-128-CBC

user        nobody
group       nobody

status                /var/log/openvpn/openvpn-status.log
log                   /var/log/openvpn/openvpn.log
log-append            /var/log/openvpn/openvpn.log
ifconfig-pool-persist ipp.txt
verb                  4

push        "dhcp-option DNS 10.8.0.1"
push        "route 172.31.0.0                    255.255.0.0"

allow-pull-fqdn

persist-key
persist-tun

теперь вопрос: почему когда я на клиенте напрямую делаю запрос за ns записью из приватной сети:
dig stage.example.com

dig в первую очередь делает запрос на мой локальный DNS: 192.168.1.1

Как зделать так чтобы он либо совсем к нему не обращался, либо сперва обращался к AWS DNS а уже потом ненайдя лез к локальному DNS и чтобы это работало на всех клиентах: винда, линукс, яблоки

Спасибо

Comments

[Valentin Barbolin]

Если запустить DUMP на винде, то можно заметить, что она рассылает DNS запросы сразу на все известные ей DNS сервера и кто первый ответил - того и тапки. Логично, что локальный DNS (192.168.1.1) отвечает быстрее всех.

Единственный вариант - это все DNS запросы пулять через VPN.

[VITYA-XY1]

Andrey Barbolin, как все запросы на всех клиентах пулять через VPN?

[Valentin Barbolin]

VITYA-XY1, Прописать маршрут, к DNS через VPN.

Соответственно, ты не можешь использовать DNS 192.168.1.1, т.к. он в прямой видимости. Надо на роутере изменить настойки DNS, что бы клиенты получали например 1.1.1.1 и потом прописать маршрут, ходить к 1.1.1.1 через VPN.

[VITYA-XY1]

Это не вариант, потому что клиенты не будут менять настройки на своем роутере :(