Ubuntu 18, VPN и DNS: curl не разрешит VPN-хост, но nslookup и dig могут - PullRequest
Новая
       68

Ubuntu 18, VPN и DNS: curl не разрешит VPN-хост, но nslookup и dig могут

4 голосов
/ 03 июня 2019

Я обнаружил, что, по-видимому, в Ubuntu 18 вся DNS-установка очень запутана.Я подключен через pritunl VPN к моему kube-кластеру, и я пытаюсь использовать сервер kube-dns.Поэтому я сначала попытался использовать https://github.com/jonathanio/update-systemd-resolved для обновления моих настроек DNS с помощью проталкиваемого DNS-сервера из VPN, но похоже, что в настоящее время что-то не работает (https://github.com/jonathanio/update-systemd-resolved/issues/64). Как и в случае с жестким кодированием DNSIP-адрес где-то, я попытался поместить IP в некоторых местах: установить resolvconf и положить его в /etc/resolvconf/resolv.conf.d/head, положить его в /etc/systemd/resolved.conf, конечно, также пытаясь поместить его непосредственно в /etc/resolv.conf, как я наивный человек. После перезапусканекоторые вещи пару раз я достигал еще более запутанного состояния: 

% dig pritunl-ui.infra.svc.cluster.local                      
[...]
;; ANSWER SECTION:
pritunl-ui.infra.svc.cluster.local. 30 IN A 10.15.246.61
[...]

Так что это выглядит хорошо, но: 

% curl 'https://pritunl-ui.infra.svc.cluster.local' --insecure
curl: (6) Could not resolve host: pritunl-ui.infra.svc.cluster.local

Хотя IP-вызов работает, 

% curl 'https://10.15.246.61' --insecure
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<title>Redirecting...</title>
<h1>Redirecting...</h1>
<p>You should be redirected automatically to target URL: <a href="https://10.15.246.61/login">https://10.15.246.61/login</a>.  If not click the link.

Я также пытался включить-выключить и снова включить (мой хост-компьютер), но остался прежним. nslookup также работает нормально, tracepath не работает. 

% systemd-resolve --status
Global
         DNS Servers: 10.15.240.10
          DNS Domain: svc.cluster.local
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 3 (tun0)
      Current Scopes: DNS
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
         DNS Servers: 10.15.240.10
          DNS Domain: default.svc.cluster.local
                      ~.

Link 2 (wlp2s0)
      Current Scopes: DNS
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
         DNS Servers: 192.168.178.1
                      fd00::cece:1eff:feba:6468
          DNS Domain: ~.
                      fritz.box

Есть идеи, как заставить это работать?

1 Ответ

3 голосов
/ 13 июня 2019

Чтобы ответить на мой собственный вопрос: я копнул немного глубже и узнал немного о avahi, nscd, systemd-resolve и магии nsswitch. Так что, видимо, проблема была в этой строке в моем /etc/nsswitch.conf: 

hosts:          files mdns4_minimal [NOTFOUND=return] resolve [!UNAVAIL=return] dns myhostname

Я пропустил, что readme из update-systemd-resolved действительно рекомендовал изменить эту строку. Поэтому я изменил его на 

hosts:          files dns resolve myhostname

Et Voilà, теперь curl может достигать хоста: 

$ getent ahosts pritunl-ui.infra.svc.cluster.local
10.15.246.61    STREAM pritunl-ui.infra.svc.cluster.local
10.15.246.61    DGRAM  
10.15.246.61    RAW

Я также пытался просто удалить часть [NOTFOUND=return], и это, похоже, имеет тот же эффект, оно также работает. Может быть, это говорит что-то вроде "если mdns не работает, остановитесь здесь и проигнорируйте все остальное" ..? Я думаю, это была бы очень странная стратегия.

...