一部のホストはdnsmasqを使用してゆっくりと解決するか、まったく解決しません。

tag-icon tag-icon debian dns dnsmasq
一部のホストはdnsmasqを使用してゆっくりと解決するか、まったく解決しません。

内部リソースにアクセスするために会社のVPNを使用しています。 Shrewsoft VPNクライアントを介して接続した後、resolv.confは常にVPNネットワークを検証するために別のDNSを使用するため、これらの内部リソースはまだ解決されていません。

だからdnsmasqをインストールし、次のように設定しました。

listen-address=127.0.0.1
domain-needed
bogus-priv
no-resolv
no-poll
strict-order
server=/somedevhost.com/10.4.0.21
server=8.8.8.8
server=/slack-edge.com/8.8.8.8
server=/somedevhost.com/10.4.0.22
no-hosts

これを使用するようにネットワーク管理者を設定します。

[main]
dns=dnsmasq
plugins=ifupdown,keyfile
[ifupdown]
managed=false
[device]
wifi.scan-rand-mac-address=no

VPN リソースを使用できるようになりましたが、一部の外部ホストは解決が遅いか、最初の試行で解決に失敗します。たとえば、Slackはロードされますが、メッセージとチャネルはエラーとともにブラウザコンソールに表示されません。 - VPNを有効にした後にのみ表示されます。

2018/1/29 12:42:30.595 logging error:
{"subtype":"api_call_error","message":"{\"ok\":false,\"error\":\"not_allowed\"}","stack":"Error\n
at Object.n [as logError]
(https://a.slack-edge.com/bv1-1/rollup-core_required_ts.9069eb596bccc6b1a2d8.min.js:1:62608)\n
at e
(https://a.slack-edge.com/bv1-1/rollup-secondary_a_required.0718dfd6831f53c92d4a.min.js:1:129606)\n    at e
(https://a.slack-edge.com/bv1-1/rollup-secondary_a_required.0718dfd6831f53c92d4a.min.js:1:124805)\n    at e
(https://a.slack-edge.com/bv1-1/rollup-secondary_a_required.0718dfd6831f53c92d4a.min.js:1:126400)\n    at XMLHttpRequest.m.onreadystatechange
(https://a.slack-edge.com/bv1-1/rollup-secondary_a_required.0718dfd6831f53c92d4a.min.js:1:128098)"} (I tried to add slack-edge.com to be served over google dns but it
seem to have no effect)

8.8.8.8私にとっては、指定されたリソースにのみdevhostname.com DNSサーバーを使用し、他のすべてのリクエストにGoogle DNSを使用するルールを期待するときに広く適用されるようです。

私は何が間違っていましたか?

答え1

異なるDNSサーバーをリゾルバーとして設定することは、良い標準設計方法ではありません。その他「世界」に対するビジョン。

これらの決定を議論/質問する人に任せることは良い結果につながりません。 DNSサーバーのエラーと否定的なキャッシュタイムアウトまで処理する必要があります。

その後、VPNトンネル全体と分割VPNトンネルがあります。まず、エンドユーザーがインターネットを使用しないように意図的に設定することです。VPNを有効にすると

1つのオプションは、VPNの反対側にDNS内部名のみを渡すように、ユーザー側でいくつかのDNSサーバー設定を構成することです。

過去には厳格なセキュリティ要件はなく、あまり信頼できない人のために分割VPNトンネルを提供していました。

私たちが信頼する人々のために、我々は彼らがインターネットにアクセスできるように完全なVPNトンネルを提供します。また、設定したDNSサーバーに関係なく、DNS要求が独自のDNSサーバーを通過することを強制しますが、これはうまく機能します。 VPNを管理している人ではない場合は、このタイプの設定も処理できることに注意してください。

もう一度申し上げますが、VPNトンネル全体はインターネットアクセスをブロックし、会社の資産へのアクセスのみを許可するように設定できます。つまり、インターネットの使用がブロックされる可能性があります。デザインによって

ネットワーク担当者にお問い合わせください。

関連情報