Почему правила NRPT не влияют на DNS-запросы на моем Windows 10 поле? - PullRequest
Новая
       29

Почему правила NRPT не влияют на DNS-запросы на моем Windows 10 поле?

0 голосов
/ 10 февраля 2020

У меня есть некоторые сетевые службы, доступные в моей домашней локальной сети (su bnet 10.88.0.0/24), с внутренним DNS в этой локальной сети (предоставляется маршрутизатором, 10.88.0.1) с суффиксом домена, например my.lan. В локальной сети я могу получить доступ к этим службам через IP или доменное имя.

Я подключаюсь к этой локальной сети удаленно через сервер OpenVPN. Я могу получить доступ ко всем услугам через IP через OpenVPN. OpenVPN настроен на pu sh зону разрешения DNS для my.lan, которая должна использовать маршрутизатор в качестве поставщика DNS для этого домена (параметры сервера OpenVPN: push "dhcp-option DNS 10.88.0.1"; push "dhcp-option DOMAIN my.lan").

Это в результате чего в системе устанавливается правило NRTP, которое выглядит следующим образом: 

PS C:\WINDOWS\system32> Get-DnsClientNrptPolicy


Namespace                        : .my.lan
QueryPolicy                      :
SecureNameQueryFallback          :
DirectAccessIPsecCARestriction   :
DirectAccessProxyName            :
DirectAccessDnsServers           :
DirectAccessEnabled              :
DirectAccessProxyType            : NoProxy
DirectAccessQueryIPsecEncryption :
DirectAccessQueryIPsecRequired   : False
NameServers                      : 10.88.0.1
DnsSecIPsecCARestriction         :
DnsSecQueryIPsecEncryption       :
DnsSecQueryIPsecRequired         : False
DnsSecValidationRequired         : False
NameEncoding                     : Utf8WithoutMapping

Однако это правило, похоже, не используется для реальных запросов клиентов DNS. Такие домены, как www.my.lan, все еще разрешаются (или, скорее, не могут быть разрешены) в DNS, предоставленном моим обычным сетевым интерфейсом, либо моей картой ethe rnet, либо wifi, в зависимости от того, как я подключен в данный момент (nslookup + WireShark подтвердите это). Я могу разрешить имена в локальной сети с помощью nslookup, предоставив DNS-сервер: nslookup www.my.lan 10.88.0.1 правильно разрешается через VPN-соединение. Я также попытался включить NRPT, установив QueryPolicy в QueryBoth: 

PS C:\WINDOWS\system32> Set-DnsClientNrptGlobal -QueryPolicy "QueryBoth" -PassThru

EnableDAForAllNetworks QueryPolicy SecureNameQueryFallback
---------------------- ----------- -----------------------
Disable                QueryBoth   Disable

Это, похоже, не имеет никакого эффекта (либо Disable, либо QueryBoth). Другие параметры этого объекта, по-видимому, предназначены для клиентов DirectAccess и являются запасной опцией для DNS-запросов, которые должны быть «безопасными», они также должны быть активными?

Как правильно вызывать Таблица политики разрешения имен, влияющая на DNS-запросы?

...