2

Я на работе подключен к workdomain.com

Я использую клиентское VPN-соединение для подключения к homelab.com

Теперь, если я ipconfig /all я получаю:

Windows IP Configuration
   Host Name . . . . . . . . . . . . : WORKSTATION
   Primary Dns Suffix  . . . . . . . : workdomain.com
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : workdomain.com
                                       homelab.com

Ethernet adapter VPN Client: (virtual NIC)
   Connection-specific DNS Suffix  . : homelab.com
   Description . . . . . . . . . . . : VPN Client Adapter
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.homelab.69(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.254.0
   Default Gateway . . . . . . . . . : 192.168.homelab.router
   DHCP Server . . . . . . . . . . . : 192.168.homelab.dnsserver

   DNS Servers . . . . . . . . . . . : 192.168.homelab.dnsserver
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Local Area Connection: (physical NIC)
   Connection-specific DNS Suffix  . : workdomain.com
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.workdomain.169(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . :
   DHCP Server . . . . . . . . . . . : 192.168.workdomain.dnsserver

   DNS Servers . . . . . . . . . . . : 192.168.workdomain.dnsserver
   NetBIOS over Tcpip. . . . . . . . : Enabled

Но теперь, если я nslookup workdomain.com я получаю:

Server:  UnKnown
Address:  192.168.homelab.dnsserver

Non-authoritative answer:
Name:    workdomain.com
Address:  63.230.public.ip

Поскольку я подключен как к workdomain.com и к homelab.com , я ожидал, что подсистема DNS будет достаточно умной, чтобы она могла сказать: «Эй, я подключен напрямую к сети, которая управляет этим сервером! Я мог бы спросить их DNS-сервер напрямую и получить авторитетный ответ!«(Это даст мне внутренний IP-адрес для этого сервера)

Похоже, что происходит, когда он отправляет запрос через канал VPN на dns.homelab.com , который затем перенаправляет его в WAN DNS, который затем отвечает неавторизованным публичным IP-адресом для workdomain.com .

Я знаю, что даже если настроено несколько DNS-серверов, это нормально, что клиент выберет один, отправит свой DNS-запрос, и даже если сервер ответит, что его не удалось найти, он примет ответ и не попробует другой DNS серверы, которые он может настроить.

Но, если я попробую nslookup workdomain.com dns.workdomain.com я получу:

Server:  dns.workdomain.com
Address:  192.168.workdomain.dnsserver

Name:    workdomain.com
Address:  192.168.workdomain.dnsserver

(это то, что я ожидал, что я хочу, чтобы произошло!)

Мои вопросы:

Является ли это ожидаемым поведением клиентов DNS в нескольких доменах с настроенными суффиксами поиска DNS? Разве это нормально, что даже при подключении напрямую к сети workdomain.com и суффиксе поиска домена, указанном в списке поиска суффиксов DNS, мой клиентский компьютер все еще направляет свой DNS-запрос на dns.homelab.com? Почему он не распознает, что он уже находится в этой сети, и не пытается получить достоверный ответ?

Существует ли конфигурация, которая позволит моей рабочей станции использовать локальный DNS-сервер для запросов *.workdomain.com ? Это поведение, которое я ожидал. Я готовлюсь к экзаменам по этому вопросу, поэтому для меня так же важно понять, почему, а также знать, как это изменить.

Меняет ли клиентское VPN-соединение предпочтение WORKSTATION в отношении DNS-сервера? Если так, это может быть хорошо для меня. Я пытаюсь обеспечить, чтобы наши специалисты по выездному обслуживанию могли подключаться к нашей сети с сайта заказчика (который, вероятно, будет иметь собственный суффикс домена). Если клиентское VPN-соединение автоматически принимает DNS-сервер в конце канала в качестве приоритета, у них не должно возникнуть проблем с подключением к нашим внутренним ресурсам.

Спасибо! Спасибо!

Я использую Win 7 SP1 Ultimate build 7601 на WORKSTATION.workdomain.com кстати.


РЕДАКТИРОВАТЬ:

Итак, я привел один сценарий, в котором такое поведение может быть проблемой. Вы уже получили наш первый вариант использования: техник полевой службы на сайте клиента должен получить доступ как к внутренним ресурсам домена клиента, так и к нашим ресурсам через соединение VPN-клиента, но DNS-запросы домена клиента направляются по глобальной сети.

Но теперь позвольте мне предложить другой вариант использования, который может иметь для вас какое-то дополнительное значение! Скажем, я вернулся домой, теперь подключен к homelab.com и у меня есть собственные личные ресурсы, которые я хотел бы запустить, скажем, незащищенный порт 80 веб-сервера Wiki и медиа-сервер с общими файлами SMB, FTP и так далее. Теперь для личной жизни я использую стороннюю службу VPN для своего WAN-соединения. Теперь я хочу иметь возможность безопасного доступа в Интернет через VPN, однако мне определенно не нужны мои запросы DNS для server.homelab.com или даже ftp.homelab.com (!) разбросаны по интернету для тех, кто знает, чтобы увидеть!

Должен быть способ, чтобы подсистемы DNS или TCP/IP были достаточно умными, чтобы предпочесть прямое подключение к локальной сети по сравнению с клиентским VPN-подключением. Или, и это был мой первый вопрос, это ожидаемое поведение здесь ??

0