У меня есть ПК с Windows 7 в сети нашей компании (который является членом нашей Active Directory). Все работает нормально, пока я не открою VPN-соединение с сайтом клиента.
Когда я подключаюсь, я теряю сетевой доступ к общим ресурсам в сети, включая каталоги, такие как «Данные приложения», для которых у нас есть политика перенаправления папок. Как вы можете себе представить, это делает работу на ПК очень сложной, так как ярлыки на рабочем столе перестают работать, программное обеспечение перестает работать должным образом из-за того, что «данные приложения» извлекаются из-под него.
Наша сеть маршрутизируется (10.58.5.0/24), с другими локальными подсетями, существующими в области действия 10.58.0.0/16. Удаленная сеть находится на 192.168.0.0/24.
Я отследил проблему, связанную с DNS. Как только я открываю VPN-туннель, весь мой DNS-трафик проходит через удаленную сеть, что объясняет потерю локальных ресурсов, но мой вопрос в том, как заставить локальные DNS-запросы идти на наши локальные DNS-серверы, а не на наших клиентов ?
Вывод, ipconfig /all
когда не подключен к VPN ниже:
Windows IP Configuration
Host Name . . . . . . . . . . . . : 7k5xy4j
Primary Dns Suffix . . . . . . . : mydomain.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.local
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . : mydomain.local
Description . . . . . . . . . . . : Broadcom NetLink (TM) Gigabit Ethernet
Physical Address. . . . . . . . . : F0-4D-A2-DB-3B-CA
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::9457:c5e0:6f10:b298%10(Preferred)
IPv4 Address. . . . . . . . . . . : 10.58.5.89(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 31 January 2012 15:55:47
Lease Expires . . . . . . . . . . : 10 February 2012 10:11:30
Default Gateway . . . . . . . . . : 10.58.5.1
DHCP Server . . . . . . . . . . . : 10.58.3.32
DHCPv6 IAID . . . . . . . . . . . : 250629538
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-14-AC-76-2D-F0-4D-A2-DB-3B-CA
DNS Servers . . . . . . . . . . . : 10.58.3.32
10.58.3.33
NetBIOS over Tcpip. . . . . . . . : Enabled
Это вывод той же команды с подключенным VPN-туннелем:
Windows IP Configuration
Host Name . . . . . . . . . . . . : 7k5xy4j
Primary Dns Suffix . . . . . . . : mydomain.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mydomain.local
PPP adapter Customer Domain:
Connection-specific DNS Suffix . : customerdomain.com
Description . . . . . . . . . . . : CustomerDomain
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.0.85(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.0.16
192.168.0.17
Primary WINS Server . . . . . . . : 192.168.0.17
NetBIOS over Tcpip. . . . . . . . : Disabled
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . : mydomain.local
Description . . . . . . . . . . . : Broadcom NetLink (TM) Gigabit Ethernet
Physical Address. . . . . . . . . : F0-4D-A2-DB-3B-CA
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::9457:c5e0:6f10:b298%10(Preferred)
IPv4 Address. . . . . . . . . . . : 10.58.5.89(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 31 January 2012 15:55:47
Lease Expires . . . . . . . . . . : 10 February 2012 10:11:30
Default Gateway . . . . . . . . . : 10.58.5.1
DHCP Server . . . . . . . . . . . : 10.58.3.32
DHCPv6 IAID . . . . . . . . . . . : 250629538
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-14-AC-76-2D-F0-4D-A2-DB-3B-CA
DNS Servers . . . . . . . . . . . : 10.58.3.32
10.58.3.33
NetBIOS over Tcpip. . . . . . . . : Enabled
Таблица маршрутизации
Метрика интерфейса сетевого шлюза сети назначения
0.0.0.0 0.0.0.0 10.58.5.1 10.58.5.89 20
10.58.5.0 255.255.255.0 On-link 10.58.5.89 276
10.58.5.89 255.255.255.255 On-link 10.58.5.89 276
10.58.5.255 255.255.255.255 On-link 10.58.5.89 276
91.194.153.42 255.255.255.255 10.58.5.1 10.58.5.89 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 192.168.0.95 192.168.0.85 21
192.168.0.85 255.255.255.255 On-link 192.168.0.85 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.58.5.89 276
224.0.0.0 240.0.0.0 On-link 192.168.0.85 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.58.5.89 276
255.255.255.255 255.255.255.255 On-link 192.168.0.85 276
Порядок привязки интерфейсов следующий:
Я не настроил VPN-туннель для использования шлюза по умолчанию на удаленном конце, и сеть подключается к узлам в обеих сетях. (т.е. я могу пропинговать любой узел в нашей сети или в удаленной сети).
Я изменил свойства соединения PPTP, чтобы использовать DNS-серверы, 10.58.3.32
а затем 192.168.0.16
запрос все еще идет к 192.168.0.16.
Редактировать:
Локальные ресурсы, которые исчезают, размещаются в корнях DFS домена, что может (или может не иметь) значение.
Далее Edit:
Это только влияет на корни DFS домена. Если я ссылаюсь на общий ресурс через имя сервера (т.е. \\server\share
вместо \\dfsroot\share
), я могу получить доступ к общим ресурсам.
Что касается моего комментария к этому ответу , я обнаружил, что могу добавить DNS-имя домена в мой файл hosts, который предотвращает исчезновение сетевых дисков (DFS), но мне все равно нравится жирная часть моего вопроса (см. Выше). ) отвечая, если у кого есть идеи.
route print
(из vpn-соединения) к сообщению?Ответы:
Хорошо, нашел отличный ресурс здесь: http://rdpfiles.com/2011/08/25/windows-vpn-client-and-local-dns-resolution/
Это не идеально, но может сработать.
источник
powershell -File c:\scripts\fixdnsbind.ps1
) , который содержит:$val = Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Linkage -Name Bind; $val.Bind += "\Device\{D7D0BD5E-B65C-4239-BA4D-D309186E9524}"; Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Linkage -Name Bind -Value $val.Bind
. (не забудьте адаптировать идентификатор адаптера). Вы также запускаете этот скрипт один раз перед подключением к VPN.Мне кажется, что VPN туннель какой-то образом имеет приоритет над локальной областью интерфейса направления DNS трафика на сервера VPN DNS (вы можете проверить запрос на этих серверах, чтобы проверить это поведение, если у вас есть доступ к ним или кто-то может проверить это поведение для вы).
Это я не могу полностью объяснить, поскольку порядок связывания указывает по-другому. Согласно этому сообщению здесь (см. Ответ с более высокой оценкой), в Windows это воспринимается иначе, выбирая канал с более высоким приоритетом в зависимости от скорости соединения, а НЕ от порядка привязки адаптера. Поэтому для тестирования попробуйте следующее, чтобы изменить это автоматическое поведение: 1) перейдите к сетевым подключениям и для каждого сделайте 2) свойства IP v4 3) расширенные 4) отключите «автоматический показатель» 5) вручную установите показатель 1 для локального соединение и показатель 2 на вашем VPN-соединении (PPP). Таким образом, он будет жестко привязывать путь к локальным DNS-серверам, как предпочтительнее удаленного DNS.
Надеюсь это поможет!
источник
Как уже говорилось, это проблема раздельного туннелирования.
Три исправления, рекомендуем # 2, потому что это легко и будет иметь хорошую производительность, если использовать хорошую коробку с VMware Workstation 8
1 - Включить раздельное туннелирование - небезопасно и может потребовать работы на стороне клиента. Маловероятно, гестапо ИТ-безопасности остановит вас.
2 - Подход виртуализированного рабочего стола - P2V вашего существующего рабочего стола и превратить его в виртуальную машину. Используйте виртуальную машину для VPN к клиенту. Вы сохраняете свой рабочий стол и можете переключаться на него и выходить из него по мере необходимости.
3 - Подход виртуализированного сервера - P2V вашего существующего рабочего стола и превратить его в виртуальную машину, а затем установить его на бесплатную версию ESXi. Вы сохраняете свой рабочий стол и можете переключаться на виртуальную машину по мере необходимости через консоль. Это может быть медленно ...
источник
К сожалению, Windows VPN не умеет делать «сплит-DNS». Однако вы можете удалить DNS-сервер из VPN-подключения после подключения к удаленному сайту.
Вы можете сделать это, выполнив:
Вы должны делать это каждый раз, когда вы подключаетесь к сети VPN.
источник
nslookup
все еще использует удаленный DNS-сервер, плюсipconfig
все еще перечисляет удаленный DNS-сервер). Я также отредактировал настройки DNS для подключения VPN-туннеля, чтобы использовать мои собственные внутренние настройки DNS, но это игнорируется, и весь мой трафик DNS по-прежнему направляется на удаленный DNS-сервер.ipconfig
выходных данных, и когда я ошибся, я получил ошибкуThe filename, directory name, or volume label syntax is incorrect
), так что я почти уверен, что правильно понял команду. Возможно, что-то на удаленном PPTP-сервере не позволяет мне переопределить настройку DNS. Я буду исследовать, но мне нравится идея ввода файла hosts. Я попробую. Также см. Мое изменение к вопросу.ipconfig /all
? Тем не менее, я думаю, что запись хостов должна быть для вас самым легким решением.Ваш VPN-туннель находится между клиентом и клиентской сетью. Похоже, что он не использует раздельное туннелирование, что остановит вам доступ к ресурсам в вашей собственной сети, пока туннель не работает.
Таким образом, вам (или вашему клиенту) необходимо включить раздельное туннелирование, или вам необходимо дополнительное сетевое соединение и настраиваемая таблица маршрутов для одновременного доступа к обеим сетям.
источник
split tunnelling
если честно, но, насколько я могу судить, это просто означает, что я не использую шлюз по умолчанию на удаленном сайте, что, несмотря на то, что я не указал, я уже делаю. Спасибо за ответ, я отредактирую свой вопрос, чтобы отразить это.Хотя этот вопрос был задан давно, но опубликовать этот ответ, поскольку это может помочь другим. У меня была такая же проблема с VPN, где, когда пользователи использовали для подключения к удаленному vpn, их внешние dns использовали для остановки, например.
google.com
работали только домены компании, которые были перечислены наsplit-dns
.Проблема заключалась в том, что когда локальная машина использовала трафик запроса dns и отправлялся в туннель vpn, а если DNS разрешен в туннеле, он резервируется. Когда он отступал, то сначала использовал ipv6 в качестве разрешения, а затем никогда не возвращался к ipv4.
Таким образом, чтобы проверить результаты, мы сначала отключили ipv6 на локальной машине, он начал работать. Чтобы навсегда исправить это для всех пользователей, мы включили
client-bypass-protocol
команду на брандмауэре ASA, который игнорировал IPv6, если он не настроен в пулах vpn.поэтому, если вы не можете управлять брандмауэром и знаете, что разделенный туннель и разделенный DNS на месте, но это не удается, вы можете попробовать отключить
ipv6
на локальном компьютере, и если вы можете управлять им, то вы можете включить вышеуказанную команду, если вы не используете ipv6. в вашей удаленной сети.Это помогло мне, надеюсь, это поможет другим :)
источник
У меня есть кое-что, с чем я сталкивался!
Установите VPN-соединение с локальным DNS-сервером и подключитесь к VPN, используя nslookup для запроса доменного имени VPN. Вы должны получить ответ с IP-адресом, локальным для VPN LAN. Это означает, что вы использовали VPN-серверы VPN для разрешения запроса.
Теперь откройте подключение к локальной сети и вручную установите DNS на локальный или Интернет-провайдер DNS. Воля !!! используйте клавишу со стрелкой и повторите запрос nslookup. Вы получите общедоступный IP-адрес, означающий, что вы использовали свой локальный DNS-сервер / DNS-сервер для разрешения запроса домена VPN. Bam !!!!
источник
Я просто удаляю эту опцию из конфигурации клиента VPN
setenv opt block-outside-dns
Это решило проблему
источник
У меня была эта проблема несколько лет назад, и я исправил ее, отредактировав файл VPN-подключения. Просто сделайте файл vpn.pbk (вы можете найти его в Google), откройте этот файл с помощью текстового редактора, такого как блокнот, и измените значение UseRasCredentials на ноль, и ваша проблема решена. но единственная проблема заключается в том, что приоритет локальных подключений DNS становится выше, чем DNS VPN, а разрешение имен занимает больше времени (если VPN используется для подключения к Интернету).
источник
Как вы думаете, почему это DNS?
Если вы теряете доступ к общим сетевым ресурсам при подключении к VPN - почти наверняка у вашей машины возникают проблемы с WINS / NETBIOS.
Определите сервер WINS и повторите тестирование.
источник