it-swarm-vi.com

Nếu tôi sử dụng VPN, ai sẽ giải quyết các yêu cầu DNS của tôi?

Họ sẽ được giải quyết bởi nhà cung cấp VPN của tôi hoặc bởi ISP gốc của tôi (nếu để lại cài đặt "tự động")? Tôi có phải tự cấu hình máy chủ dns không, để đảm bảo các yêu cầu của tôi sẽ không được giải quyết bởi ISP của tôi (cấu thành rủi ro bảo mật)?

41
user7848

Các yêu cầu sẽ được chuyển đến IP được cấu hình. Vì vậy, nếu DNS của bạn vẫn là DNS của ISP, thì có, bạn vẫn sẽ yêu cầu ISP giải quyết một tên miền cho bạn.

16
Lucas Kauffman

Tùy thuộc vào cách VPN của bạn được định cấu hình, bạn có thể hoặc không thể sử dụng cùng một DNS cho VPN và cho Internet. VPN (thường) giống như một ngăn xếp IP bổ sung trên hệ thống của bạn và có thể có một địa chỉ máy chủ DNS riêng được định cấu hình. Nhưng không phải tất cả các hệ thống làm điều này.

  1. Nếu VPN của bạn không chỉ định DNS mới cho phiên VPN thì bạn sẽ tiếp tục sử dụng (các) máy chủ DNS được định cấu hình trong Ngăn xếp IP Internet chính của bạn. Điều này có thể gây ra sự cố nếu DNS bên ngoài không thể giải quyết các địa chỉ nội bộ (hoặc như bạn chỉ ra, nếu bạn không muốn địa chỉ nội bộ được biết đến bên ngoài).
  2. Nếu VPN của bạn không chỉ định DNS mới - ví dụ: bằng cách sử dụng tùy chọn DHCP 6 "Máy chủ DNS" - thì bạn có thể có các máy chủ DNS khác nhau cho VPN và cho Internet. Hệ điều hành của bạn phải hỗ trợ điều này, cũng như dịch vụ VPN. Nếu bạn gửi lưu lượng ra cả hai ngăn xếp cùng một lúc thì đây sẽ là "Chế độ phân chia".
  3. Tùy chọn cuối cùng là bạn có thể vận hành VPN của mình ở Chế độ đường hầm, gửi tất cả thông tin liên lạc (bao gồm cả Internet) thông qua ngăn xếp VPN. Trong trường hợp này, khi bạn ở trên VPN, tất cả DNS sẽ sử dụng DNS của VPN. Đây có lẽ là cách an toàn nhất vì tất cả lưu lượng truy cập nội bộ chắc chắn nằm trong VPN.
49
Mark Beadles

À, tôi biết rằng điều này đã được trả lời khá nhiều, nhưng tôi muốn làm rõ hơn một chút cho các câu trả lời ở đây vì cuối cùng, câu trả lời thực sự hoàn toàn phụ thuộc vào cách cấu hình cả máy chủ và máy khách. Điều mà nó hiểu được là hai điều: một là đường hầm vpn không cần phải chuyển hướng tất cả lưu lượng truy cập của bạn và thứ hai là máy chủ VPN không phải gán máy chủ dns.

** Trước khi tôi đi sâu vào chi tiết cụ thể, tôi sẽ chỉ nói điều này .. Trên các cửa sổ và bạn có thể biết liệu DNS của bạn có được VPN của bạn đưa ra hay không bằng cách mở một cli và gõ vào "nslookup localhost" và nhìn vào hàng đầu. Tương tự như vậy, nếu bạn đang sử dụng ubfox, bạn có thể sử dụng "nmcli dev list iface eth0 | grep IP4" ** *. Nếu bạn làm điều này trước và sau khi kết nối với vpn và máy chủ dns được liệt kê sẽ không thay đổi, thì DNS của bạn sẽ không được gán bởi VPN của bạn. * Nếu bạn đang sử dụng linux, hầu hết các cài đặt VPN sẽ không chỉ định máy chủ dns ngay cả khi máy chủ VPN được định cấu hình cho nó.

Bạn có thể hoặc không thể được chỉ định máy chủ dns thông qua vpn dựa trên a) việc triển khai vpn mà bạn đang sử dụng b) hệ điều hành nào bạn đang sử dụng hoặc c) cho dù máy chủ VÀ cài đặt vpn của máy khách có cho phép điều này hay không. Một lỗi phổ biến khác là chạy ứng dụng khách vpn của bạn mà không có quyền quản trị viên hoặc quyền root. (Điều này thường chỉ thay đổi một vài tùy chọn, làm cho vpn có vẻ hoạt động.)

Hầu hết các dịch vụ VPN mà bạn có thể trả tiền sẽ được định cấu hình để chuyển hướng tất cả lưu lượng IP của bạn thông qua đường hầm VPN. (Trong openvpn, tùy chọn máy chủ là "redirect-gateway".) Điều này sẽ bao gồm lưu lượng DNS và, mặc dù nó sẽ ít phổ biến hơn đối với kết nối vpn chuyển hướng tất cả lưu lượng truy cập để KHÔNG CẦN gán máy chủ dns, nhưng nó không nằm ngoài câu hỏi hoặc Nếu Máy chủ DNS không được chỉ định bởi máy chủ vpn nhưng cổng của bạn được chuyển hướng, lưu lượng truy cập dns sẽ chỉ đi qua đường hầm trước khi đến đích. (Tra cứu chậm nhưng làm việc.)

Một triển khai vpn phổ biến và nói chung thanh lịch phổ biến trong môi trường doanh nghiệp là để máy chủ vpn chỉ định máy chủ DNS nhưng không chuyển hướng cổng mặc định của bạn. Điều này sẽ tạo kết nối đến những thứ có hồ sơ dns nội bộ như Máy chủ ứng dụng có thể truy cập được vì chúng có địa chỉ IP riêng trong đó - những thứ có thể truy cập công khai như các trang web truyền qua internet như bình thường do có địa chỉ IP có thể định tuyến công khai. (Đây là chức năng về cách ip được định tuyến nhiều hơn VPN.)

Do tính chất cấu hình cao của VPN, về cơ bản có vô số kiểu và kiểu vpn, nhưng chỉ cần biết rằng hầu hết các vpn tunnes có xu hướng xoay quanh hai kiểu đó.

(Ồ, và có thể xem bài viết này để biết thêm thông tin.) Định tuyến và kết nối OpenVPN

12
italics

Tôi đang tìm kiếm một câu trả lời và đã thử nó. Tôi đã thay đổi các cài đặt sau và xem bộ điều hợp của mình bằng wireshark.

Trong Windows, bạn có thể thiết lập mức độ ưu tiên cho Bộ điều hợp mạng LAN. Nếu bộ điều hợp vpn của bạn nhận được cài đặt ip của riêng nó, ví dụ: từ dhcp với mục nhập máy chủ dns của riêng nó và bộ điều hợp lan vật lý chính của bạn cũng có mục nhập dns được cấu hình, các cửa sổ sẽ sử dụng máy chủ dns từ bộ điều hợp có mức ưu tiên cao nhất. Trong Windows, bạn có thể đặt mức độ ưu tiên này trong menu tùy chọn từ nơi có thể cấu hình bộ chuyển đổi lan khác nhau (ip-adress, v.v.). Nhấn Alt (để xem thanh menu mở rộng) và điều hướng đến "Nâng cao" -> "Cài đặt nâng cao". Trong danh sách, mức độ ưu tiên được xác định theo thứ tự từ trên xuống của bộ điều hợp có thể được thay đổi bằng các ký hiệu mũi tên.

3
Mario

Phụ thuộc vào cách thiết lập tuyến 0.0.0.0 của bạn sau khi thực hiện kết nối vpn. Nếu nó đi qua vpn GW của bạn, thì bạn sẽ không sử dụng ip nào, nhưng làm thế nào để đến đó.

Bạn luôn có thể xác định các tuyến đường liên tục để đưa GW cục bộ của bạn đi ra cho các yêu cầu dns của bạn.

2
Scheed