Переупорядочить или "расставить приоритеты" DNS-сервера через Cisco AnyConnect VPN на Mac

Question

У меня есть Cisco AnyConnect на моем Mac (10.13.6), и разрешение DNS работает должным образом для наших внутренних имен хоста. Вывод scutil выглядит нормально:

2015MBP:~ craig$ scutil --dns
DNS configuration

resolver #1
  search domain[0] : dns1.mycompany.com
  search domain[1] : dns2.mycompany.com
  search domain[2] : hsd1.ma.comcast.net
  nameserver[0] : 10.xx.xx.xx (<-- AN INTERNAL COMPANY IP)
  nameserver[1] : 10.xx.xx.xx (<-- AN INTERNAL COMPANY IP)
  flags    : Request A records, Request AAAA records
  reach    : 0x00000002 (Reachable)
  order    : 1

resolver #2
  domain   : local
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300000

resolver #3
  domain   : 254.169.in-addr.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300200

resolver #4
  domain   : 8.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300400

resolver #5
  domain   : 9.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300600

resolver #6
  domain   : a.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300800

resolver #7
  domain   : b.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 301000

DNS configuration (for scoped queries)

resolver #1
  search domain[0] : hsd1.ma.comcast.net
  nameserver[0] : 192.168.1.1
  if_index : 5 (en0)
  flags    : Scoped, Request A records, Request AAAA records
  reach    : 0x00020002 (Reachable,Directly Reachable Address)

Однако я заметил, что он использует DNS компании для вещей, которые ему не нужны:

2015MBP:~ craig$ nslookup apple.com
Server:         10.xx.xx.xx.   (<-- SAME COMPANY IP FROM ABOVE)
Address:        10.xx.xx.xx#53

Non-authoritative answer:
Name:   apple.com
Address: 17.178.96.59
Name:   apple.com
Address: 17.142.160.59
Name:   apple.com
Address: 17.172.224.47

Есть ли способ сообщить macOS, что нужно расставить приоритеты у моего провайдера для разрешения имени хоста, и только для перехода к VPN DNS для поиска, который завершается неудачно в первый раз?

Answer 1

Я понимаю, что это не совсем отвечает на ваш вопрос о том, как это исправить на anyconnect, но я смог достичь желаемого результата с помощью openconnect. Если вы знаете адреса / диапазоны, которые вам нужны для маршрутизации через VPN, вы можете добавить эти статические маршруты вручную, чтобы пройти через интерфейс VPN, включая DNS-серверы @ work. Затем, после настройки маршрутов, вы можете добавить рабочий DNS-сервер в качестве неосновной опции в настройках DNS для вашего основного интерфейса. Среднее / третичное / четвертичное / и т.д. DNS-сервер на работе запрашивается только в том случае, если результаты не найдены в основном DNS. Если вы правильно настроили маршруты, то DNS-запрос будет автоматически маршрутизироваться через VPN, а также остальную часть рабочего трафика.

Это может привести к неприятностям, если вы используете какие-либо приложения с разделенным DNS, так что будьте внимательны.

Я полагаю, что вы * могли бы сделать это с помощью anyconnect, удалив маршрут по умолчанию (заданный anyconnect, а не маршрут по умолчанию для вашего сетевого адаптера1) или изменив настройки DNS-сервера при подключении VPN, но проблема в том, что anyconnect будет изменять ваши настройки каждый раз Вы переподключитесь. Благодаря openconnect я смог настроить постоянные маршруты через адаптер VPN, который работал всякий раз, когда работала VPN.

Если вам нужна дополнительная информация, дайте мне знать, и я могу отредактировать ответ.

Answer 2

Настройки обычно настраиваются на самой ASA. Вы можете указать, хотите ли вы, чтобы все DNS-запросы отправлялись через VPN-туннель или разделяли их между VPN-туннелем и физическим интерфейсом. Мне неизвестны какие-либо настройки, которые можно использовать на клиентском компьютере (вашем MAC), чтобы принудительно разрешить DNS-разрешение сначала через локальный DNS-сервер, а затем выполнить откат к DNS-серверу, который предоставляется через VPN-клиент.

Answer 3

Другие люди, кажется, имеют ту же проблему с различными клиентами VPN. Есть некоторые ответы на https://apple.stackexchange.com/questions/73076/mac-os-x-mountain-lion-dns-resolving-uses-wrong-order-on-vpn-via-dial-up-conne это может помочь.