Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: kocar 21 Srpna 2008, 19:17:43
-
Mám problém s DNS ve VPN. Připojuju se do firemní sítě přes openvpn, ale problém je, že nastavený DNS server ze sítě, do které mám připojený počítač doma, samozřejmě nezná jména počítačů uvnitř firemní sítě. Potřeboval bych tedy nadefinovat jiný DNS server pro adresy *.firemni.sit, ale netuším kde kam jak co. Slyšel jsem něco o konfiguraci zony, zkoušel to vygooglit, ale bez úspěchu. Mohl by mě někdo kopnout správným směrem?
-
/etc/resolv.conf
-
/etc/resolv.conf
ja mam tiez uz nejaky cas odkedy sa pripajam do roboty cez linux tento isty problem ako KOCAR.
z Win DNS resolving fungoval v pohode.
tak isto ako pises mam uz dost dlhy cas nakonfigurovany aj /etc/resolv.conf ktory obsahuje zaznamy "nameserver IP-cka" nasmerovane na firemne DNS servery. nameserver zaznamov samozrejme nie je viacej ako tri ako to vyzaduje konfiguracia. a DNS odpovede proste ani neprdnu.
tak isto sa teraz nedavno kolega isiel pripajat do firmy cez Gentoo, vravel ze si aj resolv.conf nastavil a tiez mu to neresolvuje.
-
a openvpn server pushne spravnu routu smerom na ten dns server?
-
a openvpn server pushne spravnu routu smerom na ten dns server?
To netuším. Jak se to pozná? Tedy chyba by mohla být v nastavení openvpn serveru a za normálních okolností není třeba konfigurovat jiný DNS pro "firemní" zónu?
-
no ak mas napriklad pouzivat nejaky dns server, ktory je na intranete (napriklad s adresou 10.0.0.1) tak vo vypise "route -n" by si mal mat minimalne host routu 10.0.0.1 smerovanu na interface tunX. moze to byt aj viac rout, resp. cela siet. alebo dalsia moznost je, ze admin nieco prestavil na FW, ... proste je tam toho vela. najlepsie je to vydiskutovat priamo s nim.
-
a openvpn server pushne spravnu routu smerom na ten dns server?
co sa mna tyka, tak cesty mam pretlacene zo servera myslim spravne.
PUSH: Received control message:
'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.2.0 255.255.255.0,
dhcp-option DNS 192.168.1.1,dhcp-option DNS 192.168.1.2,
dhcp-option DOMAIN firma.sk,route 10.0.0.0 255.0.0.0,ping 10,ping-restart 120,ifconfig 10.0.0.06 10.0.0.5'
vo vypise "route -n" by si mal mat minimalne host routu 10.0.0.1 smerovanu na interface tunX
a ani s tymto nemam myslim problem:
10.0.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 10.0.0.5 255.255.255.0 UG 0 0 0 tun0
192.168.2.0 10.0.0.5 255.255.255.0 UG 0 0 0 tun0
10.88.0.0 10.0.0.5 255.0.0.0 UG 0 0 0 tun0
a ako som uz predtym povedal, windows toto pochopi nejako hned
-
este ma napada jedna vec. (ne)mate nainstalovany balicek resolvconf?
-
no ak mas napriklad pouzivat nejaky dns server, ktory je na intranete (napriklad s adresou 10.0.0.1) tak vo vypise "route -n" by si mal mat minimalne host routu 10.0.0.1 smerovanu na interface tunX. moze to byt aj viac rout, resp. cela siet. alebo dalsia moznost je, ze admin nieco prestavil na FW, ... proste je tam toho vela. najlepsie je to vydiskutovat priamo s nim.
route -n mi vypíše následující:
Směrovací tabulka v jádru pro IP
Adresát Brána Maska Přízn Metrik Odkaz Užt Rozhraní
10.109.204.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
192.168.168.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
10.0.0.0 192.168.168.1 255.255.0.0 UG 0 0 0 tap0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
0.0.0.0 10.109.204.1 0.0.0.0 UG 100 0 0 eth0Připojení do VPN přidalo ty řádky s rozhraním tap0. Dohodnout se s firemním adminem na takových věcech jde dost těžko, protože naše firma je téměř ryze zaměřená na win a jako VPN se tam donedávna používala jen Kerio VPN. Openvpn byla přidána kvůli nám několika, co nemáme (a nechceme) doma windows... Pro správce byl donedávna problém i vygenerovat certifikát :o) (tím nechci nijak shazovat jeho kvality, ale jen konstatuji že s linuxem a openvpn nemá téměř žádné zkušenosti)
este ma napada jedna vec. (ne)mate nainstalovany balicek resolvconf?
Ten balíček nemám. Co to dokáže?
-
este ma napada jedna vec. (ne)mate nainstalovany balicek resolvconf?
nemam, a ako som uz pisal vyssie na dotaz Fracty-ho, ze /etc/resolv.conf mam nastaveny a aj funguje v pohode co sa tyka internetu
btw, som prave pri mensom experimentovani zistil, ze ked do /etc/resov.conf vlozim aj IP firemneho nameservera - ale musi byt na prvom riadku, resp. pred ostatnymi nameserver zaznamami, tak mi zrazu svina zacala normalne resolvovat aj firemne stroje. kua, len by ma zaujimalo preco nefunguje ten PUSH z openvpn servera :( , kazdopadne, dalsiu komunikaciu to nijako neovplyvnilo, takze zatial to asi necham takto nastavene kym nezistime viac.
-
btw, som prave pri mensom experimentovani zistil, ze ked do /etc/resov.conf vlozim aj IP firemneho nameservera - ale musi byt na prvom riadku, resp. pred ostatnymi nameserver zaznamami, tak mi zrazu svina zacala normalne resolvovat aj firemne stroje
No tak samozřejmě, když nastavíš primární DNS na firemní, tak resolvuje firemní síť + internet (jako pro jakýkoliv jiný počítač ve firemní síti), ale zase Ti předstane resolvovat stroje v domácí síti, což úplně ten samý problém, jen otočený naruby.
-
No tak samozřejmě, když nastavíš primární DNS na firemní, tak resolvuje firemní síť + internet (jako pro jakýkoliv jiný počítač ve firemní síti), ale zase Ti předstane resolvovat stroje v domácí síti, což úplně ten samý problém, jen otočený naruby.
tak, ja ten problem nemam kedze nemam nejako moc velku domacu siet, a ktoru v podstate ani moc nevyuzivam. na druhu stranu, mozes podla potreby prehadzovat prioritu.
-
Ten balíček nemám. Co to dokáže?
Resolvconf is a framework for keeping track of the system's information about currently available nameservers. It sets itself up as the intermediary between programs that supply nameserver information and programs that use nameserver information. Examples of programs that supply nameserver information are: ifupdown, DHCP clients, the PPP daemon and local nameservers. Examples of programs that use this information are: DNS caches, resolver libraries and the programs that use them.
Lenze som si vsimol, ze ten balicek mal nejaky problem s Network Managerom a ked bol nainstalovany, tak NM nebol schopny pretlacit DNSka. Mozno by to bolo chcelo nejaku konfiguraciu, ale kedze to nepotrebujem tak som to neskumal nejak podrobnejsie.
-
Pokud domácí síť není moc velká, tak tam to v pohodě pokryjí statické záznamy v /etc/hosts
-
Resolvconf is a framework for keeping track of the system's information about currently available nameservers. It sets itself up as the intermediary between programs that supply nameserver information and programs that use nameserver information. Examples of programs that supply nameserver information are: ifupdown, DHCP clients, the PPP daemon and local nameservers. Examples of programs that use this information are: DNS caches, resolver libraries and the programs that use them.
Děkuji za zkopírování popisu balíčku, to mi moooc pomohlo ;D
Lenze som si vsimol, ze ten balicek mal nejaky problem s Network Managerom a ked bol nainstalovany, tak NM nebol schopny pretlacit DNSka. Mozno by to bolo chcelo nejaku konfiguraciu, ale kedze to nepotrebujem tak som to neskumal nejak podrobnejsie.
Já NM nepoužívám, takže tenhle problém by se mě také neměl týkat. Zkusím s tím chvilku laborovat...
Pokud domácí síť není moc velká, tak tam to v pohodě pokryjí statické záznamy v /etc/hosts
V mém případě je domácí sítí Pilsfree = více než 7000 uživatelů (tzn ještě mnohem více počítačů), takže to nepřipadá v úvahu. A ke všemu je to zas obcházení problému (to jsem dělal doteď). Já hledám čisté a snadné řešení, jen nevím kde... :)
-
Děkuji za zkopírování popisu balíčku, to mi moooc pomohlo ;D
Nie je zac ;). Ale trochu vazne. Ja myslim, ze tam je to opisane dostatocne. Ak mas problem si to prelozit, alebo si nieco konkretne z toho nepochopil, tak je lepsie napisat hned, ze si to uz cital a len nieco z toho ti nie je jasne.
-
A co si spustil lokální relay např. dnsmasq a dát mu k dispozici ony dva servery?
Tuším, že by to mohlo fungovat.
-
Tak jsm trochu vyzvídal u zkušenejších a bylo mi řečeno, že pro tohle je nutný si nainstalovat vlastní DNS server na lokále a nadefinovat mu forwardování zón. Takže jsem nadefinoval dvě zóny, jednu pro firemní servery, druhou pro vnitřní síť a zbytek (internet) si prý server vyřeší sám. V konfiguráku to mám následovně:
zone "firma.cz" IN {
type forward;
forward first;
forwarders {
10.0.0.4;
};
};
zone "pilsfree.czf" IN {
type forward;
forward first;
forwarders {
10.109.194.1;
};
};
Všechny dotazy na *.firma.cz (přes nslookup - 127.0.0.1) fungují správně jako když se ptám přímo 10.0.0.4, ale *.pilsfree.czf mi můj server neodpoví vůbec na nic, kdežto 10.109.194.1 odpovídá normálně. Netuší někdo, kde může být chyba? Někdo tvrdí, že by to mohlo být tou VPN, ale nejede to ani po jejím vypnutí. Zkoušel jsem i vyhodit firemní zónu (kdyby to odmítalo vzít dvě), ale ani tak se to pro pilsfree.czf nerozjelo...
A co si spustil lokální relay např. dnsmasq a dát mu k dispozici ony dva servery?
Tuším, že by to mohlo fungovat.
To slyším prvně. Nepošleš nějaký link s howto? (Respektive nějaký podrobnější popis)
-
To je vlastně to o co se snažíš s tím bindem.
Akorát si myslím jednodušší.
-
Jo, super, dnsmasq funguje skvěle. Bind jsem poslal pryč... Jen jedna věc. Jak zakážu DHCP klientovi, aby mi měnil DNS servery? Vidím dvě řešení, jak to udělat. Buď měnit po každým startu DNS server na 127.0.0.1 (hodně špatná varianta), nebo nastavit IP adresu staticky a na DHCP se vykašlat (lepší, ale mohl by být problém, že když si počítač dlouho nezažádá o adresu, tak by si DHCP server mohl myslet, že je volná...). Raději bych třetí řešení a tím je ten zmíněný zákaz čtení DNS serveru.
-
Hledejte na fóru, několikrát se to tu řešilo. Je potřeba drobná úprava v souboru v /etc/dhcp3/dhclient.conf
-
No ani nemusím koukat... Při pohledu do toho souboru je to jasné :) Dík.
-
Výborně, označuji za vyřešené? :)
-
trocha ozivim tuto debatu novymi zisteniami.
prednedavnom som narazil niekde na diskusiu, v ktorej som si vsimol niekoho staticku konfiguraciu sietoviek v /etc/network/interfaces
ta konfiguracia okrem beznych moznosti ako address, netmask, network, gateway a pod., obsahovala dalsie dve - pre mna nove - moznosti, s ktorymi som sa v tejto suvislosti nastaveni sietoviek doteraz nestretol (a ako som si vsimol v manualovych strankach interfaces, tak tam o tom nie je ani len slovka):
dns-nameservers IP1 IP2 IP3
dns-search domena(firma).sk/cz
myslim ze neni treba rozpisovat k comu sluzia, nazvy hovoria same za seba.
a akonahle som v interfaces zmenil nastavenie mojho tun0 z DHCP na STATIC + samozrejme manualne povkladal potrebne nastavenia ktore mi openvpn server normalne prideluje a prihodil na koniec este vyssie spomenute nove moznosti (s potrebnymi IPckami firemnych DNS-iek a nazov domeny), tak s DNS resolving-om cez openvpn do firmy uz nemam problem.
vsetko funguje jedna radost
-
obsahovala dalsie dve - pre mna nove - moznosti, s ktorymi som sa v tejto suvislosti nastaveni sietoviek doteraz nestretol (a ako som si vsimol v manualovych strankach interfaces, tak tam o tom nie je ani len slovka):
Máte pravdu, zašité je to úplně jinde. Podívejte se:
zcat /usr/share/doc/resolvconf/README.gz
-
Máte pravdu, zašité je to úplně jinde. Podívejte se:
zcat /usr/share/doc/resolvconf/README.gz
noo, chcel som si to pozriet, az som zistil ze nemam ani len ten balik 'resolvconf' nainstalovany.
takze dalsia zaujimavost :) , funguje mi to i bez baliku ktory tu funkciu obsahuje.
-
zdravim,
tak po upgrade na JJ prestali mnou posledne uvedene modifikacie fungovat, neviem co sa stalo, ale proste v /etc/network/interfaces pre "iface tun0 ..." uz vobec nereaguje na:
dns-nameservers IP1 IP2 IP3
dns-search domena(firma).sk/cz
tak som trocha hladal a nasiel ze v systeme je popri openvpn app. do /etc/openvpn umiestneny i jeden scriptik: update-resolv-conf , ktory mal plnit presne tuto funkciu ktora nam tu chybala (samozrejme ze vyzadoval balik resolvconf).
akurat po testovani sa ukazal byt dost k nicomu, kedze resolvconf sa spraval ako chcel, raz spravil co ma, dalsi krat neaktualizoval resolv.conf, a pod..
tak som do toho scriptu spravil mensie modifikacie, s ktorou mi to uz funguje ako chcem. je to v prilohe.
[attachment deleted by admin]