Ich habe eine OpenVPN-Instanz auf AWS, die ich zur Steuerung des Zugriffs auf Admin-Tools verwende. Ich habe eine interne Route53-Zone und eine BIND-Instanz, die OpenVPN als Client-DNS einstellt. Alles funktioniert prima, außer dass jedes Mal, wenn ich meinen Laptop öffne und ein Dashboard geöffnet habe, grafana.mydomain.comversucht wird, die öffentliche Route53-Zone aufzulösen, was fehlschlägt, da dieser Eintrag nur in der privaten Zone liegt. Wenn das VPN einen Moment später eine Verbindung herstellt, bleibt der vorherige Fehler 5 Minuten lang zwischengespeichert.
Gibt es eine Möglichkeit, dieses Verhalten zu beheben (ohne den Client-Rechner zu ändern)? Etwa durch das Leeren des DNS-Caches bei der Verbindung mit dem VPN oder durch die Reduzierung der Zeit, für die verpasste Suchvorgänge zwischengespeichert werden?
Antwort1
Auf pfSense gibt es eine VPN-Server-Konfigurationsoption:
DNS-Cache-Aktualisierung erzwingen
Führen Sie beim Verbindungsaufbau „net stop dnscache“, „net start dnscache“, „ipconfig /flushdns“ und „ipconfig /registerdns“ aus.
Dies führt nachweislich dazu, dass Windows dazu veranlasst wird, gepushte DNS-Server zu erkennen.
In der OpenVPN-Konfigurationsdatei (serverseitig) ergibt sich daraus Folgendes:
push "register-dns"
Im Handbuch zu OpenVPN 2.4 steht Folgendes:
–register-dns
Führen Sie beim Verbindungsaufbau die Befehle „ipconfig /flushdns“ und „ipconfig /registerdns“ aus.
Dies führt nachweislich dazu, dass Windows dazu veranlasst wird, gepushte DNS-Server zu erkennen.
https://openvpn.net/community-resources/referenzhandbuch-fur-openvpn-2-4/
Auf Nicht-Windows-Clients scheint eine Warnung zu generieren, die ignoriert werden kann: