Configuré una VPN en mi máquina con Windows 7.
Actualmente, la caja W7 está configurada para usar el enrutador como servidor DNS, lo cual está bien, sin embargo, lo que me gustaría hacer es decir:
Cualquier usuario que se conecte vía VPN, utilizará estos servidores DNS.
¿Es esto posible o habría que configurarlo en cada cliente?
Respuesta1
No uso Windows 7, pero es poco probable que las ediciones de Windows 7 Home admitan ese nivel de control. Las ediciones de Windows Server sí pueden.
Aquí hay algunas posibles soluciones si Windows no puede hacerlo:
En su lugar, convierta su enrutador en el servidor VPN y utilícelo para proporcionar DNS. La mayoría de los enrutadores utilizan Dnsmasq como servidor DHCP + DNS y admiten lo que usted desea hacer. Puede distribuir diferentes servidores DNS durante la fase DHCP, o puede reenviar solicitudes de DNS a diferentes servidores DNS según el rango de IP de la LAN o los dominios solicitados. Si su enrutador no le permite configurar los ajustes DHCP/DNS de Dnsmasq a ese nivel, puede instalar firmware personalizado (por ejemplo, DD-WRT, Tomato) en muchos enrutadores que le permitirán agregar opciones sin formato de Dnsmasq. Esta es la opción preferida desde el punto de vista de la red, ya que el servidor VPN realmente debería estar en el borde, y dnsmasq es genial.
Utilice Dnsmasq en el enrutador para reenviar la solicitud de DNS según la IP de origen, pero deje el escritorio de Windows 7 como servidor VPN. Es lo mismo que el número 1 en términos de resolución de DNS: su cliente VPN y su escritorio usarán el mismo servidor DNS (el enrutador), pero el enrutador reenviará las solicitudes de DNS a diferentes servidores según las IP de origen. Pero esto funcionará sólo si VPN->LAN está enrutada o puenteada, no NATed por Win7; de lo contrario, el enrutador verá clientes VPN con la misma IP de origen que el escritorio de Windows 7 y no podrá reenviar DNS por separado.
Si su enrutador no le permite editar la configuración de dnsmasq ni admite firmware personalizado: instale un software de servidor DNS compatible con reenvío múltiple en su máquina con Windows 7, edite la configuración TCP/IP de la máquina con Windows 7 para que apunte SÓLO a este servidor DNS ( es decir, localhost 127.0.0.1, o la IP de la VM si se ejecuta dnsmasq en una VM). Luego, haga que este software de servidor DNS reenvíe la solicitud de DNS a diferentes servidores DNS según la IP de origen.
Verhttps://stackoverflow.com/questions/7709744/is-there-something-like-dnsmasq-for-windowspara obtener algunas sugerencias sobre el software del servidor DNS de Windows, o puede ejecutar una pequeña máquina virtual Linux y ejecutar dnsmasq en ella.
Personalmente, ejecuto Tomato en mi enrutador y reenvío solicitudes de DNS a diferentes servidores DNS según el nombre de dominio solicitado. Algunos enlaces útiles:
lista de modificaciones de tomate:http://www.linksysinfo.org/index.php?threads/tomato-modifications.26037/
hardware compatible:http://tomatousb.org/doc:build-types
WRT abierto:http://openwrt.org
Firmware de gárgola:http://www.gargoyle-router.com/
EDITAR:
En respuesta a su comentario de que desea "usar su equipo Win7 sin que impulse todo el tráfico DNS", creo que hay algunas preguntas que deben aclararse:
Podría estar equivocado, pero creo que no se puede asignar un servidor DNS diferente a los clientes VPN con un servidor VPN integrado en Windows 7. A menos que haya una configuración de registro para hacer esto. Intenté buscarlo en Google pero no encontré nada. Quizás alguien más pueda serte de más ayuda.
Si desea que los clientes VPN reciban un servidor DNS externo, no podrán resolver nombres de host locales en su red y solo podrán direccionar recursos LAN mediante IP. ¿Cómo piensa que abordarán los recursos de LAN? ¿Cuál es su caso de uso real?
El tráfico DNS de los clientes VPN debe ser mínimo y no debe ser el primer problema de volumen de tráfico con el que probablemente se encuentre. ¿Está seguro de que lo único que le preocupa es el tráfico DNS, no el tráfico general? ¿Sus clientes VPN utilizan la conexión VPN como puerta de enlace predeterminada para que todo el tráfico se enrute a través de la VPN, lo que causa su problema? (Creo que desea que "Usar red remota como puerta de enlace predeterminada" esté desactivado en sus clientes VPN).
Parece que no solo desea controlar qué servidor DNS reciben los clientes VPN como sugiere su pregunta original, sino también controlar cómo los clientes VPN enrutan su tráfico (ya sea a través de la VPN o de su conexión a Internet). Los clientes VPN siempre tendrán la opción de usar su red local como ruta predeterminada para todo el tráfico de Internet, usar su DNS para la resolución predeterminada, el tráfico de transmisión siempre llegará, etc. Puede bloquear cualquiera de ellos usando un firewall, pero los paquetes En ese punto ya habrá pasado por la tubería. Así que me temo que también tendrás que configurar manualmente los clientes VPN correctamente, sin importar lo que hagas en el lado LAN.
También es posible que desee asegurarse de que el orden de conexión de los clientes VPN esté configurado correctamente para utilizar primero la conexión a Internet. Ver https://serverfault.com/questions/163401/change-the-order-of-dns-lookup-when-connected-in-the-vpn
Espero que encuentres la solución que funcione para ti.