Как настроить DNS при использовании VPN?

Question

[Евгений]

Всем привет.
Решил я значит воспользоваться таким благом, как VPN-тонель из дома до любимой работы. Наш сисадмин сделал все настройки, прислал мне ключи. Вобщем проблем с подключением вроде нет. Настроил коннект через NetworkManager (у меня LinuxMint 15 KDE). Проблема заключается в том, что я не могу понять каким образом теперь резолвятся имена? Т.е. наши внутриконторские ресурсы живут в нашей сети с постфиксом company.local. При попытке пойти на такой ресурс (с подключенным VPN) ничего не происходит. Ping таких ресурсов тоже неудачен. Подскажите, что делать?

Answer 1

[younghacker]

Скорее всего имена ресолвятся через вашего провайдера.
Вам правильно подсказали загдянуть в /etc/resolv.conf
Можно ещё посмотреть, что вернёт в качестве сервера
nslookup google.com

Чтобы проверить отвечают ли ваши сервера (мало ли у вас настроен dnsmasq куда-то наружу) попробуйте
nslookup somehost.company.local x.x.x.x
где x.x.x.x адрес вашего фирменного dns
Команда должна вернуть правильный адрес.

Как вариант можно не push-ить адреса dns серверов через vpn, а поднять локально dnsmasq и настроить его чтобы он вашу зону company.local ресолвил с указанного вашего фирменного dns.

cat /etc/dnsmasq.d/intranet.company.local.conf
server=/company.local/x.x.x.x

cat /etc/dnsmasq.conf
interface=lo
no-dhcp-interface=*
bind-interfaces
clear-on-reload
local-ttl=3600
neg-ttl=3600
max-ttl=7200
conf-dir=/etc/dnsmasq.d

И в iptables можно перехватить все запросы на внешний tcp/udp 53 и завернуть их в локальный dnsmasq. Только на всякий случай оставить выход наружу только для nobody

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# dns requests from nobody are transparent
-A OUTPUT -p tcp -m tcp --dport 53 -m owner --uid-owner nobody -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m owner --uid-owner nobody -j ACCEPT
# all other dns requests are routed to local resolver (dnsmasq)
-A OUTPUT -p tcp -m tcp --dport 53 -j DNAT --to-destination 127.0.0.1
-A OUTPUT -p udp -m udp --dport 53 -j DNAT --to-destination 127.0.0.1

Третий способ — прописать необходимые адреса в
/etc/hosts

Answer 2

[Игорь]

Сравните содержимое /etc/resolv.conf на рабочей машине и дома. Скорее всего при подключении vpn дома у вас не пропушились dns-сервера в этот файл. Попробуйте их прописать туда руками.

Comments

[Сергей]

аууу. какой нафиг днс при доменном имени *.local? это заглушка. и раз уж все маршруты ушли на впн сервер ... то с таким доменом точно можно идти лесом

[Игорь]

С чего вы взяли что все маршруты ушли на vpn?
Почему company.local заглушка, а не реальная зона на локальном DNS-сервере в сети компании, о котором клиент подключенный по vpn просто не знает?

[Сергей]

если бы это ббыла реальная зона. то она без вопросов бы подцепилась и так через любой днс-сервер. а все маршруты уходян на впн потому-что нужно учить матчасть!

[Сергей]

стоп. я чото не в настроении и пропустил момент что он с дома сидит через впн. а не с работы. =) упс

[Сергей]

не тогда nslookup и смотреть кто ответил )

[Игорь]

Предположим есть сеть офиса 192.168.1.0/24. В ней поднят локальный DNS (192.168.1.1) и все клиенты в офисе используют его как основной. На этом DNS-сервере подняты зоны, которых нет "в миру", в том числе и company.local. То-есть они прекрасно резолвятся внутри офиса, так как в качестве основного DNS прописан наш локальный сервер.
Теперь мы настраиваем vpn, который предоставляет доступ в сеть офиса. У клиентов ip из другой подсети, например стандартно 10.8.0.0/24 и пушим мы всего один маршрут на клиенты, в нашу подсеть офиса 192.168.1.0/24, дефолтный маршрут остается как был, мы же не хотим чтобы весь киентский трафик пошел через канал офиса. Если теперь в настройках клиента не указать правильные DNS (/etc/resolv.conf), то о локальных зонах офиса он знать не будет (в том числе и company.local ), при этом остальные зоны будут резолвится DNS-ми провайдера как обычно.

[Игорь]

Последние коментарии @edinorog не видел, пока писал предыдущее сообщение. Возможен еще вариант когда прописаны DNS-сервера верные, но на них нет разрешения отвечать на запросы из подсети vpn-клиентов. проверятеся это как уже было предложено выше командой nslookup или dig.

[Сергей]

угу

[Евгений]

с последних версий Ubuntu (начиная с 12.10 вроде) в ./etc/resolv.conf писать руками бессмысленно ибо все теперь читается из каталога /etc/resolvconf ... Внимание вопрос: куда прописать свои namespace? Сейчас они прописаны в настройках подключения через интерфейс NetworkManager-a, но это не возымело эффекта...

[Игорь]

Попробуйте подключиться по VPN, затем посмотрите, что у вас за сервера прописаны в /etc/resolv.conf. Если не те, что в офисе, попробуйте прописать руками в этот файл офисные вместо дефолтных провайдера. И проверьте резолвятся ли ваши доменные адреса сети офиса.
Также попробуйте выполнить команду dig нужный_хост.company.local @ip_address_dns_сервера_вашего_офиса.

[Влад Животнев]

@zolt85 удалите пакетик resolvconf просто. Можно будет писать в resolv.conf

Answer 3

[Евгений]

Всем спасибо, ребята, благодаря Вам, nslookup начал отдавать правильные адреса. Вот только браузер с ним не согласен, ни в какую по имени не открывает ресурс... Благо ресурсов не много, и прописать нужные имена в /etc/hosts не составило труда.

Comments

[younghacker]

1) Всегда есть место костылю. Делаете в цикле nslookup всех имён и формируете список строк для заталкивания в hosts.
2) Если nslookup отдаёт правильные адреса то почему же браузер не получает их? А нет ли какого конфликта имён вашей машины с сеткой офиса?
Браузер перегрузить не помогает? Компьютер? Может где-то осело в кеше.
А ping в правильную сторону работает?
Если стоит resolveip из пакета community-mysql-server что он говорит?

[Евгений]

@younghacker если честно, то все работает странно. При запуске команды nslookup host.company.local вот такой вывод:

Server:         127.0.1.1
Address:        127.0.1.1#53

Name:   host.company.local
Address: 10.254.111.244

Т.е. в качестве DNS сервера выступает моя машина?

Если убрать адреса из /etc/hosts то ping не работает, resolveip тоже...

[younghacker]

Если Вы при вызове nslookup не задавали адрес DNS сервера то в качестве DNS стоит ваша машина. И раз для домена host.company.local ответ верен, значит работает она верно.

Посмотрите таблицу маршрутизации
# ip route

Попробуйте в одном окне консоли запускать
$ resolveip host.company.local
а во второй
# tcpdump -i -nn udp and port 53
пройдитесь по всем интерфейсам включая локальный и посмотрите правильно ли ходят пакеты.

Также посмотрите файл
# cat /etc/resolv.conf
если используете NetworkManager он должен создаваться автоматически

Что выдаёт ?
$ hostname -f

Ну и если до этого момента не встало всё на места можно заглянуть в
# strace resolveip host.company.local
при закоментированной строке с адресом host.company.local в /etc/hosts
Предыдущий вывод strace можно сравнить его с
# strace nslookup host.company.local

[younghacker]

Есть ещё один момент:
"The search keyword of a system's resolv.conf file can be overridden on a per-process basis by setting the environment variable LOCALDOMAIN to a space-separated list of search domains."