Tenemos un túnel de sitio a sitio mediante el uso de un enrutador Meraki para Google Cloud. Pings y flujos de tráfico normales entre los dos sitios. El servidor del lado de Google Cloud es un controlador de dominio que ejecuta DNS. Sin embargo, el lado del túnel de Google no devolverá consultas.
Hicimos capturas de paquetes en el lado de Meraki y muestran que el tráfico sale por el túnel pero no hay respuesta. Verifiqué que tengo lo siguiente en la sección de firewall del lado de Google:
vpn-dns Ingress Aplicar a todos los rangos de IP: 0.0.0.0/24 tcp:53, udp:53 Permitir 65534 predeterminado
¿Pensamientos sobre lo que puede faltar o cómo identificarlo? El controlador de dominio tiene todos los firewalls desactivados. También puede acceder mediante RDP y hacer ping desde la ubicación remota.
Respuesta1
La regla de firewall existente en el lado de Google
vpn-dns Ingress Apply to all IP ranges: 0.0.0.0/24 tcp:53, udp:53 Allow 65534 default
no parece correcto. Esta podría ser una razón por la cual las solicitudes de DNS no se entregan al puerto 53 del servidor DNS en Google Cloud.
Deberías cambiar esta regla y establecer
Source IP ranges = 0.0.0.0/0
Virtual Private Cloud > Doc > Descripción general de la red VPC > Modo de creación de subred > Rangos de subred > Rangos restringidos
Wikipedia > Direcciones IP reservadas > IPv4
IETF > RFC 6890 > Registros de direcciones IP de propósito especial > Introducción
IETF > RFC 6890 > Registros de direcciones IP de propósito especial > Consideraciones de la IANA > Reestructuración de las direcciones de propósito especial IPv4 e IPv6 > 2.2.2 Entradas del registro de direcciones de propósito especial IPv4
Respuesta2
¿Puedes ejecutar unexcavarcomando desde su máquina cliente a una de las máquinas que el servidor DNS resuelve y comparte los resultados?
Tenga en cuenta que el servidor DNS de Google Cloud que tiene en el otro extremo debe estar registrado con servidores DNS de nivel superior para poder acceder a él como se explica en estepágina. De lo contrario, el mundo no tiene forma de saber que tiene un servicio de servidor DNS en el controlador de dominio.
Si ya ha registrado el servidor DNS, entonces también debe revisar las configuraciones de su cliente, verificar el nombre de su máquina cliente, el nombre de dominio y el servidor de nombres que ha configurado.
Si es una máquina Linux, deberías mirar las configuraciones en /etc/resolv.conf yagregar el servidor de nombreslo cual depende un poco de la versión de Unix que tengas.