Separaten DNS-Server für VPN-Benutzer konfigurieren?

Separaten DNS-Server für VPN-Benutzer konfigurieren?

Ich habe auf meinem Windows 7-Rechner ein VPN eingerichtet.

Derzeit ist die W7-Box so eingerichtet, dass sie den Router als DNS-Server verwendet, was in Ordnung ist. Ich möchte jedoch Folgendes sagen:

Jeder Benutzer, der eine Verbindung über VPN herstellt, verwendet diese DNS-Server.

Ist dies möglich oder müsste es auf jedem Client konfiguriert werden?

Antwort1

Ich verwende Windows 7 nicht, aber es ist unwahrscheinlich, dass die Home-Editionen von Windows 7 dieses Maß an Kontrolle unterstützen. Die Windows Server-Editionen können das.

Hier sind einige mögliche Lösungen, wenn Windows dazu nicht in der Lage ist:

  1. Machen Sie stattdessen Ihren Router zum VPN-Server und verwenden Sie ihn, um DNS bereitzustellen. Die meisten Router verwenden Dnsmasq als DHCP- und DNS-Server und unterstützen das, was Sie tun möchten. Während der DHCP-Phase kann er verschiedene DNS-Server verteilen oder DNS-Anfragen basierend auf dem LAN-IP-Bereich oder den angeforderten Domänen an verschiedene DNS-Server weiterleiten. Wenn Ihr Router es Ihnen nicht erlaubt, die DHCP/DNS-Einstellungen von Dnsmasq auf dieser Ebene zu konfigurieren, können Sie auf vielen Routern benutzerdefinierte Firmware (z. B. DD-WRT, Tomato) installieren, die es Ihnen ermöglicht, reine Dnsmasq-Optionen hinzuzufügen. Aus Netzwerksicht ist dies die bevorzugte Option, da der VPN-Server wirklich am Rand sitzen sollte und dnsmasq großartig ist.

  2. Verwenden Sie Dnsmasq auf dem Router, um DNS-Anfragen basierend auf der Quell-IP weiterzuleiten, aber belassen Sie den Windows 7-Desktop als VPN-Server. In Bezug auf die DNS-Auflösung ist es dasselbe wie Nr. 1: Ihr VPN-Client und Ihr Desktop verwenden denselben DNS-Server (den Router), aber der Router leitet DNS-Anfragen basierend auf den Quell-IPs an verschiedene Server weiter. Dies funktioniert jedoch nur, wenn VPN->LAN entweder geroutet oder überbrückt und nicht von Win7 NATed ist, da der Router andernfalls VPN-Clients mit derselben Quell-IP wie der Windows 7-Desktop erkennt und DNS nicht separat weiterleiten kann.

  3. Wenn Ihr Router weder das Bearbeiten der DNSMASQ-Konfiguration noch die Unterstützung für benutzerdefinierte Firmware zulässt: Installieren Sie eine DNS-Serversoftware mit Unterstützung für Mehrfachweiterleitungen auf Ihrem Windows 7-Computer und bearbeiten Sie die TCP/IP-Einstellungen des Windows 7-Computers so, dass sie NUR auf diesen DNS-Server verweisen (d. h. localhost 127.0.0.1 oder die IP der VM, wenn DNSMASQ in einer VM ausgeführt wird). Lassen Sie diese DNS-Serversoftware dann DNS-Anfragen basierend auf der Quell-IP an verschiedene DNS-Server weiterleiten.

Sehenhttps://stackoverflow.com/questions/7709744/is-there-something-like-dnsmasq-for-windowsfür einige Vorschläge zur Windows-DNS-Serversoftware, oder Sie können eine kleine Linux-VM ausführen und darin dnsmasq ausführen.

Ich persönlich verwende Tomato auf meinem Router und leite DNS-Anfragen je nach angefordertem Domänennamen an verschiedene DNS-Server weiter. Einige nützliche Links:

Liste der Tomato-Mods:http://www.linksysinfo.org/index.php?threads/tomato-modifications.26037/

unterstützte Hardware:http://tomatousb.org/doc:build-types

Öffnen Sie WRT:http://openwrt.org

Gargoyle-Firmware:http://www.gargoyle-router.com/


BEARBEITEN:

Als Antwort auf Ihren Kommentar, dass Sie „Ihre Win7-Box verwenden möchten, ohne dass sie den gesamten DNS-Verkehr weiterleitet“, müssen meiner Meinung nach einige Fragen geklärt werden:

  • Ich könnte mich irren, aber ich glaube, Sie können VPN-Clients mit integriertem VPN-Server in Windows 7 keinen anderen DNS-Server zuweisen. Es sei denn, es gibt eine Registrierungseinstellung, die dies ermöglicht. Ich habe versucht, danach zu googeln, aber nichts gefunden. Vielleicht kann Ihnen jemand anders besser helfen.

  • Wenn Sie möchten, dass VPN-Clients einen externen DNS-Server erhalten, können sie lokale Hostnamen in Ihrem Netzwerk nicht auflösen und LAN-Ressourcen nur über IPs ansprechen. Wie sollen sie LAN-Ressourcen ansprechen? Was ist Ihr tatsächlicher Anwendungsfall?

  • Der DNS-Verkehr von VPN-Clients sollte minimal sein und nicht das erste Verkehrsaufkommensproblem sein, auf das Sie wahrscheinlich stoßen. Sind Sie sicher, dass Sie sich nur um DNS-Verkehr sorgen und nicht um allgemeinen Verkehr? Verwenden Ihre VPN-Clients die VPN-Verbindung als Standardgateway, sodass der gesamte Verkehr über das VPN geleitet wird und so Ihr Problem verursacht wird? (Ich glaube, Sie möchten, dass „Remotenetzwerk als Standardgateway verwenden“ in Ihren VPN-Clients deaktiviert ist.)

  • Es scheint, als ob Sie nicht nur steuern möchten, welchen DNS-Server die VPN-Clients erhalten, wie Ihre ursprüngliche Frage nahelegt, sondern auch, wie die VPN-Clients ihren Datenverkehr weiterleiten (ob über das VPN oder ihre Internetverbindung). Die VPN-Clients haben immer die Möglichkeit, Ihr lokales Netzwerk als Standardroute für den gesamten Internetverkehr zu verwenden, Ihren DNS für die Standardauflösung zu verwenden, Broadcast-Datenverkehr wird immer eingehen usw. Sie können jeden davon mit einer Firewall blockieren, aber die Pakete werden zu diesem Zeitpunkt bereits durch die Leitung gekommen sein. Ich fürchte also, Sie müssen die VPN-Clients auch manuell richtig konfigurieren, egal, was Sie auf der LAN-Seite tun.

  • Sie sollten auch sicherstellen, dass die Verbindungsreihenfolge der VPN-Clients richtig eingestellt ist, sodass zuerst die Internetverbindung verwendet wird. Siehe https://serverfault.com/questions/163401/change-the-order-of-dns-lookup-when-connected-in-the-vpn

Ich hoffe, Sie finden eine Lösung, die für Sie funktioniert.

verwandte Informationen