Проблема DNS с Azure и OpenVPN, не доступ через DNS, только по IP - PullRequest
Новая
       71

Проблема DNS с Azure и OpenVPN, не доступ через DNS, только по IP

0 голосов
/ 20 апреля 2020

У меня проблема с компанией, связанной с DNS. Из-за необходимости в карантине мы вынуждены были почти 150 сотрудников работать удаленно. До сегодняшнего дня у нас была только наша служба электронной почты (O365) в облаке, вся остальная часть нашей инфраструктуры - локальная (локальная).

Поскольку мы уже являемся клиентом Microsoft для некоторых Azure продуктов, сборка топология для доступа к нашим услугам в помещениях с использованием Azure VPN. По сути, у меня есть S2S IPSe c VPN, которая соединяет нашу инфраструктуру в помещении с нашим клиентом в Microsoft. И у нас также есть шлюз P2S VPN для подключения наших сотрудников, которые находятся дома. Соединение между Azure и нашей локальной инфраструктурой осуществляется с помощью PFSense на локальной стороне и шлюза IPSe c на стороне Azure с использованием протокола IPSe c. На стороне клиента у нас есть станции с Windows 7 и Windows 10, использующие клиент OpenVPN, подключающийся к OpenVPN на Azure шлюзе.

Дело в том, что все работает, когда мы пытаемся достичь Сервер в нашей инфраструктуре в помещениях по IP. Но когда мы пытаемся получить доступ к серверу по имени, разрешение DNS отсутствует. Я уже поместил наш DNS в настройках Azure, которые будут публиковаться в клиентских подключениях, и уже поместил IP-адрес нашего локального DNS-сервера (в помещении) в файл .ovpn. Мы еще не проверили конфигурацию направления всех трафика клиента c через VPN-туннель. Я считаю, что это будет решением ... но не изящным, потому что, если клиент захочет просматривать интернет rnet, когда VPN активен, его трафик c будет через Azure, и он будет идти в помещении. и затем перейдем к inte rnet.

. Внимание, которое мы не смогли продолжить, заключается в том, что у некоторых клиентов есть IP-адреса (назначенные оборудованием их поставщика inte rnet) которые находятся в пределах диапазона наших IP-адресов в помещениях. Например, один из наших клиентов имеет локальный адрес 192.168.0.0/24, который явно конфликтует с нашим адресом в помещении 192.168.0.0/22. Однако эти клиенты могут получать доступ к нашим серверам по IP-адресу, но не по имени.

На рисунке ниже показана эта топология. 1011 * Топология

[ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ] Привет, я нашел одного из наших клиентов, у которого проблема с доступом по имени и провел несколько тестов. Когда я запускаю nslookup, DNS-сервер, установленный по умолчанию для поиска, является именно тем, что я определил. Запросы, которые я делаю через nslookup, дают определенный результат, но когда я go возвращаюсь в CMD или Windows Explorer ... нет доступа к имени. Ниже я разместил 3 вывода команды (извините ... на португальском языке):

1) ipconfig / all перед подключением к Azure VPN; 

Configuração de IP do Windows

  Nome do host. . . . . . . . . . . . . . . . : NOTE123
  Sufixo DNS primário . . . . . . . . . . . . : marte.local
  Tipo de nó. . . . . . . . . . . . . . . . . : híbrido
  Roteamento de IP ativado. . . . . . . . . . : não
  Proxy WINS ativado. . . . . . . . . . . . . : não
  Lista de pesquisa de sufixo DNS . . . . . . : marte.local

Adaptador Ethernet Conexão local 2: <<<<< interface de tunelamento - OpenVPN OFF

  Estado da mídia. . . . . . . . . . . . . . : mídia desconectada
  Sufixo DNS específico de conexão. . . . . . : 
  Descrição . . . . . . . . . . . . . . . . . : TAP-Windows Adapter V9
  Endereço Físico . . . . . . . . . . . . . . : 00-FF-B6-15-A0-73
  DHCP Habilitado . . . . . . . . . . . . . . : Sim
  Configuração Automática Habilitada. . . . . : Sim

Adaptador Ethernet Conexão local: <<<<< interface local - Ethernet

  Sufixo DNS específico de conexão. . . . . . : 
  Descrição . . . . . . . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection
  Endereço Físico . . . . . . . . . . . . . . : A0-D3-C1-9C-BE-82
  DHCP Habilitado . . . . . . . . . . . . . . : Sim
  Configuraçao Automática Habilitada. . . . . : Sim
  Endereço IPv4. . . . . . . . . . . . . . . : 192.168.0.10(Preferencial) 
  Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0
  Concessão Obtida. . . . . . . . . . . . . . : segunda-feira, 20 de abril de 2020 05:52:12
  Concessão Expira. . . . . . . . . . . . . . : segunda-feira, 20 de abril de 2020 06:53:12
  Gateway Padrão. . . . . . . . . . . . . . . : 192.168.0.1
  Servidor DHCP . . . . . . . . . . . . . . . : 192.168.0.1
  Servidores DNS. . . . . . . . . . . . . . . : 181.213.132.3
                                                181.213.132.2
  NetBIOS em Tcpip. . . . . . . . . . . . . . : Habilitado

2) ipconfig / все после подключения к Azure VPN; 

Configuração de IP do Windows

  Nome do host. . . . . . . . . . . . . . . . : NOTE123
  Sufixo DNS prim rio . . . . . . . . . . . . : marte.local
  Tipo de nó. . . . . . . . . . . . . . . . . : híbrido
  Roteamento de IP ativado. . . . . . . . . . : não
  Proxy WINS ativado. . . . . . . . . . . . . : não
  Lista de pesquisa de sufixo DNS . . . . . . : marte.local

Adaptador Ethernet Conexão local 2: <<<<< interface de tunelamento - OpenVPN ON

  Sufixo DNS espec¡fico de conexão. . . . . . : marte.local
  Descrição . . . . . . . . . . . . . . . . . : TAP-Windows Adapter V9
  Endereço Físico . . . . . . . . . . . . . . : 00-FF-B6-15-A0-73
  DHCP Habilitado . . . . . . . . . . . . . . : Sim
  Configuração Automática Habilitada. . . . . : Sim
  Endereço IPv4. . . . . . . . . . . . . . . : 192.168.10.3(Preferencial) 
  Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.128
  Concessão Obtida. . . . . . . . . . . . . . : segunda-feira, 20 de abril de 2020 06:17:24
  Concessão Expira. . . . . . . . . . . . . . : terça-feira, 20 de abril de 2021 06:17:23
  Gateway Padrão. . . . . . . . . . . . . . . : 
  Servidor DHCP . . . . . . . . . . . . . . . : 192.168.10.126
  Servidores DNS. . . . . . . . . . . . . . . : 192.168.1.51
                                                192.168.1.51
  NetBIOS em Tcpip. . . . . . . . . . . . . . : Habilitado


Adaptador Ethernet Conexão local: <<<<< interface local - Ethernet

  Sufixo DNS espec¡fico de conexão. . . . . . : 
  Descrição . . . . . . . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection
  Endereço Físico . . . . . . . . . . . . . . : A0-D3-C1-9C-BE-82
  DHCP Habilitado . . . . . . . . . . . . . . : Sim
  Configuração Automática Habilitada. . . . . : Sim
  Endereço IPv4. . . . . . . . . . . . . . . : 192.168.0.10(Preferencial) 
  Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0
  Concessão Obtida. . . . . . . . . . . . . . : segunda-feira, 20 de abril de 2020 05:52:12
  Concessão Expira. . . . . . . . . . . . . . : segunda-feira, 20 de abril de 2020 06:53:12
  Gateway Padrão. . . . . . . . . . . . . . . : 192.168.0.1
  Servidor DHCP . . . . . . . . . . . . . . . : 192.168.0.1
  Servidores DNS. . . . . . . . . . . . . . . : 181.213.132.3
                                                181.213.132.2
  NetBIOS em Tcpip. . . . . . . . . . . . . . : Habilitado

3) печать маршрута после подключения к Azure VPN; 

===========================================================================
Lista de interfaces
17...00 ff b6 15 a0 73 ......TAP-Windows Adapter V9
16...c4 d9 87 1f a9 d8 ......Microsoft Virtual WiFi Miniport Adapter #2
15...c4 d9 87 1f a9 d8 ......Microsoft Virtual WiFi Miniport Adapter
14...c4 d9 87 1f a9 d7 ......Intel(R) Centrino(R) Advanced-N 6235
13...a0 d3 c1 9c be 82 ......Intel(R) 82579LM Gigabit Network Connection
  1...........................Software Loopback Interface 1
===========================================================================

Tabela de rotas IPv4
===========================================================================
Rotas ativas:
Endereço de rede         Máscara Ender. gateway     Interface Custo
          0.0.0.0         0.0.0.0     192.168.0.1   192.168.0.10   10
        10.0.0.0     255.255.0.0   192.168.10.1   192.168.10.3   276
        127.0.0.0       255.0.0.0     No vínculo       127.0.0.1   306
        127.0.0.1 255.255.255.255     No vínculo       127.0.0.1   306
  127.255.255.255 255.255.255.255     No vínculo       127.0.0.1   306
      192.168.0.0   255.255.252.0   192.168.10.1   192.168.10.3   276
      192.168.0.0   255.255.255.0     No vínculo     192.168.0.10   266
    192.168.0.10 255.255.255.255     No vínculo     192.168.0.10   266
    192.168.0.255 255.255.255.255     No vínculo     192.168.0.10   266
    192.168.10.0 255.255.255.128     No vínculo     192.168.10.3   276
    192.168.10.3 255.255.255.255     No vínculo     192.168.10.3   276
  192.168.10.127 255.255.255.255     No vínculo     192.168.10.3   276
        224.0.0.0       240.0.0.0     No vínculo       127.0.0.1   306
        224.0.0.0       240.0.0.0     No vínculo     192.168.0.10   266
        224.0.0.0       240.0.0.0     No vínculo     192.168.10.3   276
  255.255.255.255 255.255.255.255     No vínculo       127.0.0.1   306
  255.255.255.255 255.255.255.255     No vínculo     192.168.0.10   266
  255.255.255.255 255.255.255.255     No vínculo     192.168.10.3   276
===========================================================================
Rotas persistentes:
  Nenhuma

Имейте в виду, что в таблице маршрутов есть два выхода для сети 192.168.0.0/22 ​​(где находится локальный DNS) ... маршрут в интерфейсе локальной сети 192.168.0.10/24 (адрес, назначенный клиентским маршрутизатором inte * inte rnet) и другой маршрут выход через туннельный интерфейс (OpenVPN) 192.168.10.3/24 ... Я действительно нахожу странное поведение в стеке TCP / IP. Ясно, что у меня есть перекрытие, но это только создает проблему в разрешении имен, потому что я считаю, что это отправляет запросы DNS на локальный интерфейс клиента, 192.168.0.10/24, но когда доступ по IP существует из-за маршрута. Может ли это быть?

...