OpenConnect VPN über den Netzwerkmanager zum Laufen bringen

Question 1

Überprüfen Sie, ob eine Nichtübereinstimmung zwischen dem Host, den Sie über das VPN auflösen möchten, und der „DNS-Domäne“, die der Cisco VPN-Server sendet, besteht.

Um dies zu überprüfen, öffnen Sie ein Terminal und führen Sie Folgendes aus:

tail -f /var/log/syslog

Starten Sie dann openconnect über den Netzwerkmanager. Sie werden eine ganze Reihe von Ausgaben sehen, darunter einige Zeilen wie diese:

Dez 5 12:54:31 Kanu NetworkManager[1266]: Interner DNS: 10.0.20.21

5. Dez 12:54:31 Kanu NetworkManager[1266]: Interner DNS: 10.10.3.32

5. Dez 12:54:31 Kanu NetworkManager[1266]: DNS-Domäne: 'internal.example.com'

Und weiter unten sehen Sie

5. Dez 12:54:31 canoe dnsmasq[1871]: verwende Nameserver 10.0.20.21#53 für Domäne internal.example.com

Dies bedeutet, dass der VPN-Server dem Client mitteilt, dass die DNS-Server zum Auflösen von Hosts innerhalb von verwendet werden sollen internal.example.com, z. B. server.internal.example.com.

In meinem Fall muss ich das Problem lösen server.example.com(und habe kein Ergebnis erhalten).

Die Lösung bestand für mich darin, in die VPN-Einstellungen zu gehen und example.comals zusätzliche Suchdomäne hinzuzufügen:

Vergessen Sie nicht, die VPN-Verbindung zu trennen und anschließend erneut herzustellen, damit die Einstellung wirksam wird.

Answer

Überprüfen Sie, ob eine Nichtübereinstimmung zwischen dem Host, den Sie über das VPN auflösen möchten, und der „DNS-Domäne“, die der Cisco VPN-Server sendet, besteht.

Um dies zu überprüfen, öffnen Sie ein Terminal und führen Sie Folgendes aus:

tail -f /var/log/syslog

Starten Sie dann openconnect über den Netzwerkmanager. Sie werden eine ganze Reihe von Ausgaben sehen, darunter einige Zeilen wie diese:

Dez 5 12:54:31 Kanu NetworkManager[1266]: Interner DNS: 10.0.20.21

5. Dez 12:54:31 Kanu NetworkManager[1266]: Interner DNS: 10.10.3.32

5. Dez 12:54:31 Kanu NetworkManager[1266]: DNS-Domäne: 'internal.example.com'

Und weiter unten sehen Sie

5. Dez 12:54:31 canoe dnsmasq[1871]: verwende Nameserver 10.0.20.21#53 für Domäne internal.example.com

Dies bedeutet, dass der VPN-Server dem Client mitteilt, dass die DNS-Server zum Auflösen von Hosts innerhalb von verwendet werden sollen internal.example.com, z. B. server.internal.example.com.

In meinem Fall muss ich das Problem lösen server.example.com(und habe kein Ergebnis erhalten).

Die Lösung bestand für mich darin, in die VPN-Einstellungen zu gehen und example.comals zusätzliche Suchdomäne hinzuzufügen:

Vergessen Sie nicht, die VPN-Verbindung zu trennen und anschließend erneut herzustellen, damit die Einstellung wirksam wird.

Question 2

Ich habe das für mich also zufriedenstellend gelöst. Ich verwende Mint 18 / Ubuntu 16.04

Mein Problem war, dass ich, nachdem ich über NetworkManager eine Verbindung zum Openconnect VPN hergestellt hatte, DNS für Domänen außerhalb meiner Arbeitsdomänen nicht mehr auflösen konnte. Das heißt, ich hatte keinen Internetzugriff mehr!

Meine Lösung war folgende:

Im NetworkManager habe ich die VPN-Verbindung unter „Netzwerkverbindungen“ bearbeitet.
Im Reiter IPv4 wurde die Methode auf „Nur automatische (VPN-)Adressen“ geändert.
Meinen Arbeits-DNS-Server (z. B. 10.10.10.100) und die „Suchdomäne“ „mywork.tld“ hinzugefügt
Klicken Sie auf „Routen“.
Fügen Sie eine Route hinzu, die mein Arbeitsnetzwerk abdeckt, z. B. 10.10.0.0 / 255.255.0.0 und das Gateway 10.10.10.253 <-- VPN-Gateway, das ich von einem „Traceroute“ erhalten habe.
Dann habe ich beide Optionen angekreuzt: i. „Automatisch ausgewählte Routen ignorieren“ ii. „Diese Verbindung nur für Ressourcen in ihrem Netzwerk verwenden“

Funktioniert auf meinem Computer.

Nach meinem Verständnis ist der Vorfall folgendermaßen verlaufen:

Meine /etc/resolv.conf ist mit dnsmasq eingerichtet und zeigt auf 127.0.1.1
dnsmasq verwendet die DNS-Server meines ISPs für die allgemeine DNS-Auflösung im Internet. Der DNS des ISPs lautet beispielsweise 8.8.8.8.
Ich verbinde mich mit VPN, der DNS-Server 10.10.10.100 wird als zusätzlicher Server zu dnsmasq hinzugefügt, um für die DNS-Auflösung „mywork.tld“ verwendet zu werden.
Sobald ich im VPN bin, erlaubt mir meine Arbeitsfirewall nicht mehr, Port 53 bis 8.8.8.8 zu verwenden, sodass meine allgemeine Internetauflösung verloren geht. DNS sollte eine Zeitüberschreitung aufweisen und zum sekundären DNS-Server wechseln, aber aus irgendeinem Grund geschieht dies nicht?
Mir bleibt nur noch der Zugriff auf die DNS-Auflösung für „server01.mywork.tld“, da diese Abfrage an 10.10.10.100 geht, worauf ich über das VPN Zugriff habe.
Wenn ich www.google.com abfrage, schlägt dies fehl, obwohl mein interner DNS weiterleiten kann. Ich kann nur annehmen, dass mein interner DNS nie abgefragt wird.

Meine Lösung scheint zu funktionieren, solange ich durch meine Arbeit die Netzwerk- oder DNS-Server-IP-Adresse nicht ändere.

Ich bin mir nicht ganz sicher, aber ich glaube, es funktioniert für mich, denn sobald dies erledigt ist, wird meine drahtlose Netzwerkkarte zu meiner Standardnetzwerkverbindung. DNS-Abfragen gehen also über WLAN an 8.8.8.8. Jede Abfrage für „xyz.mywork.tld“ wird von dnsmasq angewiesen, an 10.10.10.100 zu gehen. Ich habe dafür eine Route eingerichtet, die über die Netzwerkkarte „vpn0“ geht, die die richtige 10.10.10.x-IP-Adresse für „xyz.mywork.tld“ zurückgibt. Bingo, Bango, DNS-Auflösung für interne und externe Netzwerke und alle sind zufrieden.

Answer

Ich habe das für mich also zufriedenstellend gelöst. Ich verwende Mint 18 / Ubuntu 16.04

Mein Problem war, dass ich, nachdem ich über NetworkManager eine Verbindung zum Openconnect VPN hergestellt hatte, DNS für Domänen außerhalb meiner Arbeitsdomänen nicht mehr auflösen konnte. Das heißt, ich hatte keinen Internetzugriff mehr!

Meine Lösung war folgende:

Im NetworkManager habe ich die VPN-Verbindung unter „Netzwerkverbindungen“ bearbeitet.
Im Reiter IPv4 wurde die Methode auf „Nur automatische (VPN-)Adressen“ geändert.
Meinen Arbeits-DNS-Server (z. B. 10.10.10.100) und die „Suchdomäne“ „mywork.tld“ hinzugefügt
Klicken Sie auf „Routen“.
Fügen Sie eine Route hinzu, die mein Arbeitsnetzwerk abdeckt, z. B. 10.10.0.0 / 255.255.0.0 und das Gateway 10.10.10.253 <-- VPN-Gateway, das ich von einem „Traceroute“ erhalten habe.
Dann habe ich beide Optionen angekreuzt: i. „Automatisch ausgewählte Routen ignorieren“ ii. „Diese Verbindung nur für Ressourcen in ihrem Netzwerk verwenden“

Funktioniert auf meinem Computer.

Nach meinem Verständnis ist der Vorfall folgendermaßen verlaufen:

Meine /etc/resolv.conf ist mit dnsmasq eingerichtet und zeigt auf 127.0.1.1
dnsmasq verwendet die DNS-Server meines ISPs für die allgemeine DNS-Auflösung im Internet. Der DNS des ISPs lautet beispielsweise 8.8.8.8.
Ich verbinde mich mit VPN, der DNS-Server 10.10.10.100 wird als zusätzlicher Server zu dnsmasq hinzugefügt, um für die DNS-Auflösung „mywork.tld“ verwendet zu werden.
Sobald ich im VPN bin, erlaubt mir meine Arbeitsfirewall nicht mehr, Port 53 bis 8.8.8.8 zu verwenden, sodass meine allgemeine Internetauflösung verloren geht. DNS sollte eine Zeitüberschreitung aufweisen und zum sekundären DNS-Server wechseln, aber aus irgendeinem Grund geschieht dies nicht?
Mir bleibt nur noch der Zugriff auf die DNS-Auflösung für „server01.mywork.tld“, da diese Abfrage an 10.10.10.100 geht, worauf ich über das VPN Zugriff habe.
Wenn ich www.google.com abfrage, schlägt dies fehl, obwohl mein interner DNS weiterleiten kann. Ich kann nur annehmen, dass mein interner DNS nie abgefragt wird.

Meine Lösung scheint zu funktionieren, solange ich durch meine Arbeit die Netzwerk- oder DNS-Server-IP-Adresse nicht ändere.

Ich bin mir nicht ganz sicher, aber ich glaube, es funktioniert für mich, denn sobald dies erledigt ist, wird meine drahtlose Netzwerkkarte zu meiner Standardnetzwerkverbindung. DNS-Abfragen gehen also über WLAN an 8.8.8.8. Jede Abfrage für „xyz.mywork.tld“ wird von dnsmasq angewiesen, an 10.10.10.100 zu gehen. Ich habe dafür eine Route eingerichtet, die über die Netzwerkkarte „vpn0“ geht, die die richtige 10.10.10.x-IP-Adresse für „xyz.mywork.tld“ zurückgibt. Bingo, Bango, DNS-Auflösung für interne und externe Netzwerke und alle sind zufrieden.

OpenConnect VPN über den Netzwerkmanager zum Laufen bringen

Antwort1

Antwort2

verwandte Informationen