したがって、ネームサーバーが複数あるが/etc/resolv.conf
表示される順序を考慮すると、VPNのDNSがローカルDNSの前にある場合は、会社のVPNホスト名を解決できますか?はいエンタープライズホストを確認する機能。私のローカルネームサーバーが初めてのとき、私はないエンタープライズホストを確認する機能。
私に物を投げる前にすべてのネームサーバーをテストする必要があるので、これが意図的な行動だとは思わないNXDOMAIN
。
順序が重要でないようにすべてのネームサーバーを有効にするには(最初の失敗時には返されません)、どうすればよいですか?
答え1
DNSでは、NXDOMAINメッセージは完全な失敗ではありません。これは、あなたが要求したドメインが存在しないという完全に有効な情報であるか、少なくともそうでなければなりません。エラーは「わからない」、「話せません」、「[タイムアウトするまで沈黙]」です。
では/etc/resolv.conf
期待される。設定されたすべてのネームサーバは同じです。つまり、それらはすべてDNS情報に同じアクセス権を持つ必要があります。つまり、どちらも解決する必要があるすべての名前を解決できる必要があります。
そうでなければ、伝統的なUnixスタイルでは十分/etc/resolv.conf
ではありません。多くの人がファイル内のDNSサーバーの順序を調整して欲しいものを取得しようとしましたが、すべて失敗しました。しかしそれは真実ではない。
代わりに、通常はDNSリゾルバー/キャッシュ/プロキシを設定する必要があります。これは、「確認する必要がある名前が次のいずれかである」などのいくつかの規則で構成できます。これらドメインを選択してから、次のいずれかにお問い合わせください。これらサーバー名前が次の場合それドメインを選択して使用してください。それ他のすべてにサーバーを使用してください。それら仕える人。 」
dnsmasq
たとえば、次のように設定して作成できますdnsmasq.conf
。
no-resolv
server=/corporate-domain.com.example/10.1.2.3
rev-server=10.1.0.0/16,10.1.2.3
server=/google.com/8.8.8.8
server=9.9.9.9
これは次のことを意味します。
- 無視
/etc/resolv.conf
(ループを防ぐため) corporate-domain.com.example
ネームサーバー10.1.2.3を使用してドメインのすべての名前を確認し、10.1.0.0/16ネットワークのIPアドレスのリバースルックアップを確認します。- 8.8.8.8を使用してドメインの
google.com
名前を確認してください。 - 他のすべてには9.9.9.9を使用してください。
これを設定したら、すべてのローカルDNS要求をローカルにリダイレクトするようにdnsmasq
設定できます。/etc/resolv.conf
nameserver 127.0.0.1
dnsmasq
ローカルネームサーバーがBINDの場合は、次のゾーン宣言を使用して同じ操作を実行できますtype forward
。
zone "corporate-domain.com.example" {
type forward;
forwarders { 10.1.2.3; };
};
zone "1.10.in-addr.arpa" {
type forward;
forwarders { 10.1.2.3; };
};
zone "google.com" {
type forward;
forwarders { 8.8.8.8; 8.8.4.4; };
};
options {
forwarders { 9.9.9.9; };
forward only;
};
これは上記の構成とまったく同じ結果をもたらしますが、dnsmasq
BIND構成の構文は少し冗長です。
答え2
DNS シーケンスまたは同様の変更を試みる代わりに、次の手順を実行します。
VPNを制御する場合、クライアントがどのDNSサーバーと通信するかを決定する代わりに、ポート53 / UDPおよびポート53 / TCPからDNS要求を傍受して、必要なDNSサーバーにその要求をリダイレクトできます。 。
これにより、VPN内でクライアントが会社のホストを識別できるDNSサーバーと通信することを強制できます。
例:私は、PCと携帯電話を使用して約4,000人のBYOD VPNユーザーを持つ複数のVPNサーバーを管理しました。
韓国ではDNSレベルの検閲のため、多くの人がDNSプライマリサーバーとして8.8.8.8を手動で挿入しています。
一般に、これらのユーザーの症状は、会社の個人アドレスを開くことができないことです。
いくつかのオプションがあります。
- どのヘルプデスクでも、8.8.8.8のアドレスを取り出し、ユーザーがブラックリストのアドレスにアクセスしようとすると、喜んでまたは思わず挿入され、再びゼロに戻ります。
- あるいは、DNSアドレスに関係なく、VPNからDNS呼び出しを傍受して、DNSクエリを会社のDNSサーバーアドレスにリダイレクトすることもできます。