VPN-подключение: динамический маршрут, корп. DNS | GRE-туннель - Страница 2

The_Immortal · 23.04.2019, 02:31

Цитата:

Сообщение от Smith

Ipconfig /flushdns сделайте и посмотрите, перестанут ли резолвиться хосты.

Сделал, не перестали.

Цитата:

Сообщение от Smith

Да и если у вас ваша схема уже взлетела, то какая разница на сколько она фейшуйная.

Ну мне вот очень не нравится двойной DNS-сервер... =/ Хотелось бы обойтись одним корпоративным, как это и посоветовал сетевик, намекнув на что-то проксирующее... Вы случайно не в курсе, что он мог иметь в виду?

Smith · 23.04.2019, 10:46

Цитата:

Сообщение от The_Immortal

Вы случайно не в курсе, что он мог иметь в виду?

думаю что локальный кэширующий днс. ставите виртуалочку с линушком, накатываете туда pdnsd или еще какой, указываете там ваши родительсткие днсы. а в системе указываете адрес этой виртуалочки, как днс сервера. Можно раскатать днс в виндозном wsl.

По мне так если есть ит задача ее должен реализовывать ит персонал. и не важно странный он или нет )

The_Immortal · 23.04.2019, 17:41

Цитата:

Сообщение от Smith

По мне так если есть ит задача ее должен реализовывать ит персонал. и не важно странный он или нет )

Абсолютно с Вами согласен. Но я и есть ИТ-персонал, однако не по этим вопросам. Тем не менее повлиять конкретно на специалиста никакой возможности нет (да это ему и не надо), поэтому пытаюсь решить до конца задачу самостоятельно.

Цитата:

Сообщение от Smith

локальный кэширующий днс

Наткнулся на Хабре на статью "Делаем свой локальный DNS (PDNSD), с блэкджеком и быстрее Google Public DNS" (ссылки постить мне пока запрещено), где увидел следующее:

Цитата:

Именно включение параллельного опроса и дает нам основное преимущество в скорости, т.к. при нахождении результата в кеше любого из провайдеров мы получаем результат очень быстро, и не ждем полного и медленного разресолвивания если у первого провайдера нет ответа в кэше.

А потом вспомнил Ваши слова:

Цитата:

Сообщение от Smith

если это в10 то пуляет сразу на оба и применяет тот который быстрее или хотя бы ответил

Правильно ли я понимаю, что в случае с Win 10 преимущества по сравнению с самопальным локальный кэширующим днс никакой нет?

Цитата:

Сообщение от Smith

ставите виртуалочку с линушком, накатываете туда pdnsd или еще какой, указываете там ваши родительсткие днсы. а в системе указываете адрес этой виртуалочки, как днс сервера. Можно раскатать днс в виндозном wsl.

Вообще я хотел сделать это на роутере Keenetic KN-1810, однако pdnsd под его ОС не нашел. Есть ли вероятность, что если я на роутере забью корпоративный DNS среди прочих провайдерских в настройках Интернет-соединения вот таким образом (см. скрин), то роутер будет также действовать по отношению к DNS параллельно? Можно ли это как-то проверить?

Smith · 23.04.2019, 18:12

Цитата:

Сообщение от The_Immortal

Тем не менее повлиять конкретно на специалиста никакой возможности нет

Этого не может быть. Пишите служебную записку на имя начальника, тот пускай передает в отдел сетевиков и те пускай пилят.

Цитата:

Сообщение от The_Immortal

Правильно ли я понимаю, что в случае с Win 10 преимущества по сравнению с самопальным локальный кэширующим днс никакой нет?

Точно ответить на этот вопрос не могу. Остается только пробовать.
попрововал вайршаркнуть, действительно отправляет запрос сразу на два.

Цитата:

Сообщение от The_Immortal

Вообще я хотел сделать это на роутере Keenetic KN-1810, однако pdnsd под его ОС не нашел.

Забить забьете, но вы сами сказали, что обращения к нему возможны только из локалки. А рутер будет использовать внешний IP адрес и доступа к днс ессесно не получит.

как вариант, а он отнюдь не простой - поставить микротик.

тогда вы сможете сделать все что вам надо. я это вижу так:
1) микрот поднимает впн до вашего сервера.
2) микрот выполняет нат вашего локального дареса в адрес впна(что бы не прописывать маршрутизацию на удаленном сервере)
3) выполнять PBR DNS запросов определенной зоны, выбирая их L7 фаерволлом и видимо выполнять dstnat. Но тут я уже вряд ли подскажу. Это извращение.

У меня глупый вопрос, а внутреннего ИП у днс сервера разве нет? он же у вас палюбому в локалку смотрит, почему бы тупо не обращаться на него???!!!
А покажите вывод ipconfig подключенного впн соединения, может быть он и прилетает уже, а мы тут голову ломаем.

The_Immortal · 23.04.2019, 19:15

Разрешите Вас от всей души поблагодарить, что не оставляете меня в одиночестве с этими страшными сетевыми штуками. Как 20 сообщений наберу, то, вероятно, смогу спасибить (иначе не знаю как ещё отблагодарить).

Цитата:

Сообщение от Smith

попрововал вайршаркнуть, действительно отправляет запрос сразу на два.

Я также решил собезъяничать и вайршаркнул по протоколу DNS как из-под Win 10, так и из-под Win 8.1.

Win 10:
4.681 - первый DNS
4.870 - второй DNS
Разница: 4.870 - 4.681 = 0,216 сек.

Win 8.1:
3.593 - первый DNS
3.619- второй DNS
Разница: 3.619 - 3.593 = 0,026 сек.

Получается, что Win10 всё-таки параллельно не работает? А Win 8.1 по каким-то причинам ещё быстрее справилась...

Цитата:

Сообщение от Smith

обращения к нему возможны только из локалки. А рутер будет использовать внешний IP адрес и доступа к днс ессесно не получит.

Да, всё так. Однако я собираюсь повесить с Кинетика через его PPTP-клиента постоянное соединение до локалки - для начала. Вообще, конечно, хотелось бы организовать GRE-туннель и более того over IPSec, но пока на это у меня мозг не способен. Да и не понимаю я могу ли вообще организовать туннель в одиночку, не привлекая при этом сетевика... Наверное, не смогу.

Цитата:

Сообщение от Smith

1) микрот поднимает впн до вашего сервера.

Я так и планировал сделать через Кинетик (PPTP-клиент), как указал выше.

Цитата:

Сообщение от Smith

микрот выполняет нат вашего локального дареса в адрес впна

Мм... А как это называется более формализовано? Может и Кинетик на такое способен - погуглю.

Цитата:

Сообщение от Smith

выполнять PBR DNS запросов определенной зоны, выбирая их L7 фаерволлом и видимо выполнять dstnat

Тут у меня задергался глаз...)

Цитата:

Сообщение от Smith

У меня глупый вопрос, а внутреннего ИП у днс сервера разве нет?

Вы не первый кто это спрашивает, но я так понял, что нет!

Цитата:

Сообщение от Smith

А покажите вывод ipconfig подключенного впн соединения

Вот смотрите ipconfig с локальной машины на предприятии с поднятым VPN (первое - VPN, второе - локалка):

Код:

Адаптер PPP Inet:

   Описание. . . . . . . . . . . . . : Inet
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.33.72(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0
   DNS-серверы. . . . . . . . . . . : 91.215.218.123
   NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Ethernet 2:

   DNS-суффикс подключения . . . . . : somedomain
   IPv4-адрес. . . . . . . . . . . . : 192.168.32.64(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.128
   Основной шлюз. . . . . . . . . : 192.168.32.1
   DHCP-сервер. . . . . . . . . . . : 192.168.32.1
   DNS-серверы. . . . . . . . . . . : 91.215.218.123 
   Основной WINS-сервер. . . . . . . : 192.168.32.1
   NetBios через TCP/IP. . . . . . . . : Включен

Smith · 23.04.2019, 19:34

Цитата:

Сообщение от The_Immortal

Вот смотрите ipconfig с локальной машины

ну днс он присылает. по этому указывать днс еще раз смысла нет. У вас стоит галочка в свойствах ipv4 впн соединения "использовать основной шлюз в удаленной сети"? видимо да - по этому весь трафик идет в туннель, в том числе и днс. никаких маршрутов прописывать не надо. все должно и так работать.

Цитата:

Сообщение от The_Immortal

Вы не первый кто это спрашивает, но я так понял, что нет!

это может быть если сервак таки выделен в дмз.

Цитата:

Сообщение от The_Immortal

Я также решил собезъяничать и вайршаркнул

не правильно шаркаете. поставьте на мониторинг и сделайте пинг любого неизвестного узла по имени - увидите результат.

The_Immortal · 23.04.2019, 22:25

Цитата:

Сообщение от Smith

У вас стоит галочка в свойствах ipv4 впн соединения "использовать основной шлюз в удаленной сети"?

На работе (я ведь оттуда ipconfig показывал) да, стоит. Без этой галочки на работе не резолвятся внешние имена.

Дома же галочка эта, естественно не стоит, т.к. иначе у меня весь трафик будет уходит в туннель, чего мне не надо, ибо Интернет-канал на работе много меньше чем мой домашний. ipconfig из дома при поднятом VPN (без использования основного шлюза в удаленной сети):

Код:

Адаптер PPP VPN_Work:

   Описание. . . . . . . . . . . . . : VPN_Work
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.33.85(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 91.215.218.123
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Ethernet:

   DNS-суффикс подключения . . . . . :
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.20(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DHCP-сервер. . . . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 91.215.218.123 
                                       192.168.1.1
   NetBios через TCP/IP. . . . . . . . : Включен

DNS-серверы на локальном соединении "Ethernet adapter Ethernet" прописаны вручную.

Цитата:

Сообщение от Smith

поставьте на мониторинг и сделайте пинг любого неизвестного узла по имени - увидите результат.

Я так и делал - всё равно временная разница между опросом указанных DNS-серверов составляет ~от 0.1 до 0.25 сек.

The_Immortal · 24.04.2019, 01:08

Цитата:

Сообщение от Smith

никаких маршрутов прописывать не надо. все должно и так работать.

Из дома без маршрута во внутреннюю сеть никак, т.к. основной шлюз на моей стороне, а не на удаленной.

Smith · 24.04.2019, 10:51

1) Ни гре, ни шифрование вы не поднимите без соответствующих настроек со стороны впн сервера.
2) Получается, что мы пошли уже по второму кругу. У вас либо впн + маршруты в офис и свой шлюз в интернет, либо весь трафик в впн.

The_Immortal · 24.04.2019, 15:08

Цитата:

Сообщение от Smith

1) Ни гре, ни шифрование вы не поднимите без соответствующих настроек со стороны впн сервера.
2) Получается, что мы пошли уже по второму кругу. У вас либо впн + маршруты в офис и свой шлюз в интернет, либо весь трафик в впн.

Это я всё понимаю. На самом деле сейчас я долблю вопрос с DNS'ами.

Цитата:

Сообщение от The_Immortal

Я так и делал - всё равно временная разница между опросом указанных DNS-серверов составляет ~от 0.1 до 0.25 сек.

Цитата:

Сообщение от Smith

попрововал вайршаркнуть, действительно отправляет запрос сразу на два.

Вы не могли бы показать скрин, как у Вас выглядит параллельный запрос? А то может эта временная разница и означает параллельность на самом деле...

23.04.2019, 02:31
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Прочитайте пожалуйста эти обсуждения Сетевой маршрут, пинг Динамический ip Туннель через ретранслятор Дисконнект провайдер Домолинк, возможно ли настроить другой маршрут до сервака

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

24.04.2019, 10:51	#19 (permalink)
Smith Специалист Регистрация: 13.08.2007 Сообщений: 4,159 Записей в дневнике: 5 Сказал(а) спасибо: 41 Поблагодарили 16 раз(а) в 8 сообщениях Репутация: 23496	1) Ни гре, ни шифрование вы не поднимите без соответствующих настроек со стороны впн сервера. 2) Получается, что мы пошли уже по второму кругу. У вас либо впн + маршруты в офис и свой шлюз в интернет, либо весь трафик в впн.