@VITYA-XY1

Как в OpenVPN насроить primary DNS сервер чтобы клиент сначала смотрел туда, а уже потом в локальные NS?

Мне не нужно весь трафик направлять через OpenVPN, а только NS которые имеют отношение, к приватному Route53 на AWS.
Люди зачем-то bind настраивают: https://medium.com/@dusansusic/setting-up-openvpn-.... Не проще напрямую прописать DNS сервер VPC?
Я в свою очередь установил dnsmasq. Хотя когда я на своей локалке делаю запрос через VPC DNS сервер:
dig @172.31.0.2 NS stage.example.com
Я получаю CNAME ELB:
stage.example.com. 300 IN CNAME stage-elb-934312745.us-east-2.elb.amazonaws.com.
Та же истоирия и с dnsmasq на openvpn сервере:
dig @10.8.0.1 NS stage.example.com

Вот конфиг клиента:
client
proto                 tcp
dev                   tun
remote             vpn.example.com
port                  12000

resolv-retry          infinite

remote-cert-tls       server
auth                  SHA256
cipher                AES-128-CBC

verb                  4
allow-pull-fqdn

dhcp-option DNS 10.8.0.1

persist-key
persist-tun
nobind
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-crypt>


Конфиг сервера:

proto       tcp
dev         tun

local       172.31.0.142
port        12000

topology    subnet
server      10.8.0.0 255.255.255.0

ca          keys/ca.crt
cert        keys/issued/server.crt
key         keys/private/server.key
dh          keys/dh.pem
tls-crypt   keys/tc.key
crl-verify  keys/crl.pem

auth        SHA256
cipher      AES-128-CBC

user        nobody
group       nobody

status                /var/log/openvpn/openvpn-status.log
log                   /var/log/openvpn/openvpn.log
log-append            /var/log/openvpn/openvpn.log
ifconfig-pool-persist ipp.txt
verb                  4

push        "dhcp-option DNS 10.8.0.1"
push        "route 172.31.0.0                    255.255.0.0"

allow-pull-fqdn

persist-key
persist-tun


теперь вопрос: почему когда я на клиенте напрямую делаю запрос за ns записью из приватной сети:
dig stage.example.com

dig в первую очередь делает запрос на мой локальный DNS: 192.168.1.1

Как зделать так чтобы он либо совсем к нему не обращался, либо сперва обращался к AWS DNS а уже потом ненайдя лез к локальному DNS и чтобы это работало на всех клиентах: винда, линукс, яблоки

Спасибо
  • Вопрос задан
  • 3103 просмотра
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы