вопрос
Я развернул RRAS (PPTP-EAP и IKEv2-PEAP) в моем домене, и все работает нормально, за исключением того факта, что DNS-суффикс не предоставляется клиентам Mac или Linux . Это означает, что они должны использовать полное доменное имя для всего в сети (например, ping server1.ad.domain.com
работает, ping server1
- нет).
Все клиенты Windows (независимо от того, присоединены ли они к домену или нет) получают штраф суффикса и поэтому могут связываться с другими компьютерами, используя их одну метку (т.е. без использования полного доменного имени).
Все клиенты (независимо от ОС) нормально общаются при работе локально в офисе.
Примечание . Все настроено для одной подсети.
Потенциальная причина
После изучения этой проблемы в течение последних нескольких недель, я полагаю, что это может быть связано с тем, что клиенты Mac/Linux не получают параметры DHCP (в частности, вариант 15, который я настроил в качестве параметра сервера на DHCP и установил его значение как мой внутренний домен).
У меня сложилось впечатление, что VPN-клиенты получают данные DNS-сервера от самого сервера RRAS (что они делают), и все, что я хотел установить, должно быть настроено на DHCP-сервере (например, суффикс через опцию 15).
Я полагаю, что для предоставления этих опций от DHCP-сервера VPN-клиентам мне нужно настроить сервер RRAS в качестве агента ретрансляции DHCP, который я настроил следующим образом:
- Адрес сервера (
Routing and Remote Access
>DHCP Relay Agent
>Properties
): 192.168.1.2 (IP-адрес моего сервера DHCP) - Интерфейсы: Внутренний (был автоматически добавлен) и Ethernet (моя сетевая карта) - я действительно не уверен, что это правильно - мне нужны оба?
С этой настройкой клиенты Mac и Linux по-прежнему не получают суффикс DNS (я полагаю, они по-прежнему не получают DHCP-вариант 15).
Конфигурация сервера RRAS
Детали конфигурации сервера RRAS, которые, по моему мнению, могут представлять интерес, следующие:
- ОС: Windows Server 2016 (клиент Hyper-V)
- Домен: присоединен к домену
- NIC: один сетевой адаптер (за NAT)
- Статический IP: 192.168.1.7
- DNS-серверы (устанавливаются вручную): 192.168.1.2, 192.168.1.1
- Суффикс: получает основной суффикс из групповой политики.
- Назначение IPv4-адресов: статический пул (53 адреса, исключены из назначения на DHCP-сервере)
- Разрешение имени трансляции - [отмечен галочкой]
Mac (High Sierra) - scutil --DNS
- Выход для DNS
Когда клиент Mac подключен к VPN и я запускаю команду scutil --dns
, я получаю следующий вывод.
DNS configuration
resolver #1
nameserver[0] : 192.168.1.2
nameserver[1] : 192.168.1.1
if_index : 9 (ipsec0)
flags : Request A records
reach : 0x00000002 (Reachable)
resolver #2
domain : local
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300000
resolver #3
domain : 254.169.in-addr.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300200
resolver #4
domain : 8.e.f.ip6.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300400
resolver #5
domain : 9.e.f.ip6.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300600
resolver #6
domain : a.e.f.ip6.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300800
resolver #7
domain : b.e.f.ip6.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 301000
DNS configuration (for scoped queries)
resolver #1
search domain[0] : Home
nameserver[0] : 192.168.9.1
if_index : 5 (en0)
flags : Scoped, Request A records
reach : 0x00020002 (Reachable,Directly Reachable Address)
resolver #2
nameserver[0] : 192.168.1.2
nameserver[1] : 192.168.1.1
if_index : 9 (ipsec0)
flags : Scoped, Request A records
reach : 0x00000002 (Reachable)
Как вы можете видеть в разделе Конфигурация DNS (для запросов с областями действия) , для VPN-подключения не указан домен поиска (resolver # 2) (т. Е. Для него не задан суффикс).
Если я вручную установлю суффикс в качестве домена поиска в VPN-подключении на Mac, все будет нормально.
Linux (Ubuntu 18.04) - вывод systemd-resolve --status
Когда клиент Ubuntu подключен к VPN и я запускаю команду systemd-resolve --status
, я получаю следующий вывод.
Global
DNS Domain: Home
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 3 (ppp0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.1.2
192.168.1.1
Link 2 (wlp2s0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.9.1
DNS Domain: Home
Как видите, ссылка для VPN-подключения не содержит список доменов DNS (т. Е. Для него не установлен суффикс).
Другие вещи, которые я пробовал
Я пробовал разные вещи, чтобы попытаться заставить это работать правильно, вот те, которые я помню:
- Добавлено DHCP Option 119 для параметров DHCP сервера , а затем попробовал его в качестве Scope Option вместо (настраивается с помощью этого руководства , а затем другой способ использования этого) -
no difference
Примечание: я думаю, что опция 119 необходима только в том случае, если вы хотите получить дополнительные суффиксы вне того, что установлено в опции 15 в любом случае
- Добавил дополнительный виртуальный сетевой адаптер к серверу RRAS и настроил его для DHCP (вместо статического IP-адреса), а затем использовал его в качестве сетевого адаптера с "разрешением имен рассылки" -
no difference
- Изменено назначение IPv4-адреса сервера RRAS для DHCP вместо статического пула -
no difference
- Вручную установите суффикс соединения на сетевой карте сервера RRAS -
no difference
С тех пор я отменил все вышеперечисленное.
Я уверен, что это просто я что-то упустил с конфигурацией, так что, надеюсь, кто-то может указать, где я иду не так.
Если вам больше нужны выходы, информация и т.д., Я могу предоставить их (у меня полный доступ к серверам).
Ура,
Джесс