OpenVPN & SplitDNS в Linux, часть 1
В прошлом выпуске журнала "Мурзилка" я рассматривал варианты виртуальных TUN-адаптеров для работы с OpenVPN под Windows и вскользь затронул тему Split DNS. Например, когда нужно IP-адреса внутрикорпоративных ресурсов разрешать через "внутренние" же DNS-сервера, а все остальные - через "внешние". С неких пор под форточками этот вопрос решается ( Read more... )
Comments 25
5. еще можно достать с полки старый добрый pdnsd . Правда это не для ноутбука.
Reply
В Debian-овских репозиториях я его чё-то не нашел. А чем лучше / хуже, чем тот же DNSMasq ?
Reply
Мнэ, https://ftp.debian.org/debian/pool/main/p/pdnsd/
Чем хуже не знаю, просто старый-добрый-стабильный локальный кэширующий днс сервер, в который умеет и /etc/hosts, и локальные зоны, и даже свои рут серверы (хотя не знаю зачем)
Reply
2013-й год? М-дя. Это что-то совсем древнее. И вот так оно не находится
https://packages.debian.org/search?keywords=pdnsd
Стало быть, его больше не поддерживают.
Reply
Не проще выделенный dns-сервер держать? Сколько там того трафика от общего? 2-3 процента?
Reply
Reply
view?
Reply
И еще, кажется, перенаправление всех DNS-запросов в VPN обычно считается средством от утечек информации о запросах мимо VPN, ну и от подделки ответов.
А зачем может понадобиться одному клиенту ходить к разным серверам? Ну если это не тестирование "как это выглядит с той стороны".
Reply
> на мой взгляд, это уже не SplitDNS
Вопрос в терминологии. Давайте тогда придумаем какое-нибудь другое название рассматриваемому явлению. Например, "Ы-DNS". Только опасаюсь, что кроме меня и вас больше никто не поймет.
> когда разные ответы отдаются разным клиентам ... а когда один и тот же клиент спрашивает разные домены у разных серверов
Я это называю "Multi-view DNS". B в рассматриваемом мной примере по сути речь идёт об одном и том же. Одна и та же инфраструктура, один и тот же админ. И один и тот же клиент запрашивает одну и ту же запись с одного и того же авторитетного сервера либо "изнутри", либо "снаружи". Но в общем случае, да, может быть по-всякому.
> А зачем может понадобиться одному клиенту ходить к разным серверам?
Ситуация. Есть энное количество внутрикорпоративных ресурсов, которые ну никак не хочется выставлять внаружу. Всякие там тикетницы, гитлабы, вики, не знаю что ещё. Белых адресов в закромах маловато, на всё на это не хватит. И очень хочется ко всему к этому прикрутить "честные" X509-сертификаты от Lets Encrypt ( ... )
Reply
Ну споры о терминологии - они ж самые увлекательные, они же самые бесплодные. Я для себя термин SplitDNS узнал, когда разбирался с view в BIND (named), и оно относилось исключительно с настройке сервера. Собственно, эта часть документации до сих пор так и называется: https://bind9.readthedocs.io/en/v9_16_4/advanced.html#split-dns Не исключаю, что с тех пор общепринятое значение термина сместилось в сторону особенностей настройки клиента, про что и написано в посте.
> Ситуация. Есть энное количество внутрикорпоративных ресурсов, которые ну
никак не хочется выставлять внаружу. Всякие там тикетницы, гитлабы,
вики, не знаю что ещё. Белых адресов в закромах маловато, на всё на это
не хватит. И очень хочется ко всему к этому прикрутить "честные"
X509-сертификаты от Lets Encrypt. Как будем решать?
Я ее всегда решал вот тем самым SplitDNS, который настройка view в сервере (ну или два сервера на разных адресах, если view почему-то нет). Особенных настроек резолверов клиентов это не требует, кроме указания правильного сервера.
Собственно, я ( ... )
Reply
Хорошо. Упрощаю ситуацию. Есть контора с кучей разных внутренних ресурсов (да хотя бы обычные виндовые файловые шары). Есть сотрудник "на удалёнке", который цепляется по OpenVPN в сеть конторы. Как клиент должен понять с каких DNS-серверов запрашивать те или иные ресурсы: с конторских или с провайдерских?
Reply
Leave a comment