Как принудительно переписать основной dns на всех vpn клиентах для доступа к Internal AWS сети?

Question

[VITYA-XY1]

Здравствуйте,

Вопрос предельно простой, тривиальный, практичный, но почему-то ответ не лежит на поверхности так вот:

1) Есть приватная AWS сеть с доменом mysecretdns.com :
Private Route 53
Private VPC

2) Есть клиент которому через dig необходимо получить CNAME запись mysecretdns.com.
Вот так:
dig NS mysecretdns.com

3) Есть 2 VPN сервера с публичным адресом и установленным на него dnsmasq для форвардинга к которому подключен клиент
На одном OpenVPN
На другом WireGuard

4) У клиента в конфигах четко прописано:
OpenVPN: dhcp-option DNS 192.250.0.1
WireGuard: DNS = 192.250.0.1

5) Форвардинг работает все ip резолвлятся что в одном что в дугом случае, но есть одно "но":

На клиенте не переписывается основной DNS, следовательно, если пробовать обращаться curl ом или firefoxом к приватным AWS DNS записям, тупой клиент обращается к роутеру, который в локальной сети, и получает ошибку о том что такой DNS записи не существует.

Как его научить не имея прямого доступа к клиенту?
У себя я могу просто переписать resolv.conf и все будет работать. Но если я даю конфиг OpenVPN, WireGuard, whatever для клиента у которого iOS/ubuntu/macos и ему нужно открыть внутренню dns запись, то прямого доступа у меня к этому клиенту нет. Это ж тривиальная задача, почему нет ни единого рабочего примера, где настраевается доступ к внутренней сети и DNS.

Comments

[Valentin Barbolin]

Клиент windows?

[VITYA-XY1]

Andrey Barbolin, windows как раз таки не проблема :) там достаточно 2 параметра прописать на клиенте openvpn:
register-dns
block-outside-dns

Только эти параметры не работают для никсов

Тут вопрос в другом, что делают для клиентов типа андроида, макоси, айоси , и прочих никсов

[VITYA-XY1]

Я понимаю что еще можно начать разбираться в настройке IPsec, но будет ли проблема решена через аналогичную настройку IPsec...

[rPman]

VITYA-XY1,

Тут вопрос в другом, что делают для клиентов типа андроида, макоси, айоси , и прочих никсов

так это получается косяк этих клинтов, так как при подключении к vpn клиент обязан по определению запросить параметры соединения для него

p.s. а у вас в сети, к которой подключаетесь по vpn, dhcp сервер то есть? openvpn по умолчанию предлагает свою реализацию, поэтому вы этой проблемы с ними не видите, но по правилам это необходимо.

[VITYA-XY1]

Ну и получается нет нормальной реализации openvpn/wireguard клиентов, которые заменяли бы основной DNS своим, как же тогда люди пользуются своими приватными сетями в AWS? На каждом клиенте руками DNS меняют? Или у всех винда поэтому ни кого это не беспокоит..?

У меня на VPN сервере установлен dnsmasq, клиенту пушится IP DNSMASQ, может есть какая-то реализация чисто под убунту в виде установки ресолвмент скриптов и их "дергание" во время подьема/отключения tun интерфейса, но айосям, андроидам и прочим "прибитым гвоздями" к ОС, что делать?

Допустим я поднял на этом самом сервере dhcp и запушил через openvpn этот dhcp адрес, клиент получил свой ip адрес в сети VPN через этот левый dhcp, как это поможет клиенту видеть приватные NS, если до этого он не мог этого сделать потому что смотрел в свой локальный DNS? Какое отношение, отдельный DHCP имеет к даной ишуе?

[rPman]

VITYA-XY1, dhcp скажет клиентам ваш локальный dns сервер, который будет возвращать правильные ip