вопрос

Я развернул RRAS (PPTP-EAP и IKEv2-PEAP) в моем домене, и все работает нормально, за исключением того факта, что DNS-суффикс не предоставляется клиентам Mac или Linux . Это означает, что они должны использовать полное доменное имя для всего в сети (например, ping server1.ad.domain.com работает, ping server1 - нет).

Все клиенты Windows (независимо от того, присоединены ли они к домену или нет) получают штраф суффикса и поэтому могут связываться с другими компьютерами, используя их одну метку (т.е. без использования полного доменного имени).

Все клиенты (независимо от ОС) нормально общаются при работе локально в офисе.

Примечание . Все настроено для одной подсети.

Потенциальная причина

После изучения этой проблемы в течение последних нескольких недель, я полагаю, что это может быть связано с тем, что клиенты Mac/Linux не получают параметры DHCP (в частности, вариант 15, который я настроил в качестве параметра сервера на DHCP и установил его значение как мой внутренний домен).

У меня сложилось впечатление, что VPN-клиенты получают данные DNS-сервера от самого сервера RRAS (что они делают), и все, что я хотел установить, должно быть настроено на DHCP-сервере (например, суффикс через опцию 15).

Я полагаю, что для предоставления этих опций от DHCP-сервера VPN-клиентам мне нужно настроить сервер RRAS в качестве агента ретрансляции DHCP, который я настроил следующим образом:

  • Адрес сервера (Routing and Remote Access > DHCP Relay Agent > Properties): 192.168.1.2 (IP-адрес моего сервера DHCP)
  • Интерфейсы: Внутренний (был автоматически добавлен) и Ethernet (моя сетевая карта) - я действительно не уверен, что это правильно - мне нужны оба?

С этой настройкой клиенты Mac и Linux по-прежнему не получают суффикс DNS (я полагаю, они по-прежнему не получают DHCP-вариант 15).


Конфигурация сервера RRAS

Детали конфигурации сервера RRAS, которые, по моему мнению, могут представлять интерес, следующие:

  • ОС: Windows Server 2016 (клиент Hyper-V)
  • Домен: присоединен к домену
  • NIC: один сетевой адаптер (за NAT)
    • Статический IP: 192.168.1.7
    • DNS-серверы (устанавливаются вручную): 192.168.1.2, 192.168.1.1
    • Суффикс: получает основной суффикс из групповой политики.
  • Назначение IPv4-адресов: статический пул (53 адреса, исключены из назначения на DHCP-сервере)
  • Разрешение имени трансляции - [отмечен галочкой]

Mac (High Sierra) - scutil --DNS - Выход для DNS

Когда клиент Mac подключен к VPN и я запускаю команду scutil --dns , я получаю следующий вывод.

DNS configuration

resolver #1
  nameserver[0] : 192.168.1.2
  nameserver[1] : 192.168.1.1
  if_index : 9 (ipsec0)
  flags    : Request A records
  reach    : 0x00000002 (Reachable)

resolver #2
  domain   : local
  options  : mdns
  timeout  : 5
  flags    : Request A records
  reach    : 0x00000000 (Not Reachable)
  order    : 300000

resolver #3
  domain   : 254.169.in-addr.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records
  reach    : 0x00000000 (Not Reachable)
  order    : 300200

resolver #4
  domain   : 8.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records
  reach    : 0x00000000 (Not Reachable)
  order    : 300400

resolver #5
  domain   : 9.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records
  reach    : 0x00000000 (Not Reachable)
  order    : 300600

resolver #6
  domain   : a.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records
  reach    : 0x00000000 (Not Reachable)
  order    : 300800

resolver #7
  domain   : b.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records
  reach    : 0x00000000 (Not Reachable)
  order    : 301000

DNS configuration (for scoped queries)

resolver #1
  search domain[0] : Home
  nameserver[0] : 192.168.9.1
  if_index : 5 (en0)
  flags    : Scoped, Request A records
  reach    : 0x00020002 (Reachable,Directly Reachable     Address)

resolver #2
  nameserver[0] : 192.168.1.2
  nameserver[1] : 192.168.1.1
  if_index : 9 (ipsec0)
  flags    : Scoped, Request A records
  reach    : 0x00000002 (Reachable)

Как вы можете видеть в разделе Конфигурация DNS (для запросов с областями действия) , для VPN-подключения не указан домен поиска (resolver # 2) (т. Е. Для него не задан суффикс).

Если я вручную установлю суффикс в качестве домена поиска в VPN-подключении на Mac, все будет нормально.

Linux (Ubuntu 18.04) - вывод systemd-resolve --status

Когда клиент Ubuntu подключен к VPN и я запускаю команду systemd-resolve --status , я получаю следующий вывод.

Global
          DNS Domain: Home
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 3 (ppp0)
      Current Scopes: DNS
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
         DNS Servers: 192.168.1.2
                      192.168.1.1

Link 2 (wlp2s0)
      Current Scopes: DNS
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
         DNS Servers: 192.168.9.1
          DNS Domain: Home

Как видите, ссылка для VPN-подключения не содержит список доменов DNS (т. Е. Для него не установлен суффикс).

Другие вещи, которые я пробовал

Я пробовал разные вещи, чтобы попытаться заставить это работать правильно, вот те, которые я помню:

  • Добавлено DHCP Option 119 для параметров DHCP сервера , а затем попробовал его в качестве Scope Option вместо (настраивается с помощью этого руководства , а затем другой способ использования этого) - no difference

    Примечание: я думаю, что опция 119 необходима только в том случае, если вы хотите получить дополнительные суффиксы вне того, что установлено в опции 15 в любом случае

  • Добавил дополнительный виртуальный сетевой адаптер к серверу RRAS и настроил его для DHCP (вместо статического IP-адреса), а затем использовал его в качестве сетевого адаптера с "разрешением имен рассылки" - no difference
  • Изменено назначение IPv4-адреса сервера RRAS для DHCP вместо статического пула - no difference
  • Вручную установите суффикс соединения на сетевой карте сервера RRAS - no difference

С тех пор я отменил все вышеперечисленное.


Я уверен, что это просто я что-то упустил с конфигурацией, так что, надеюсь, кто-то может указать, где я иду не так.

Если вам больше нужны выходы, информация и т.д., Я могу предоставить их (у меня полный доступ к серверам).

Ура,
Джесс

0