Na ubuntu ver 20 dodałem sobie konfigurację VPN - standardowo wchodząc w Ustawienia -> Sieć -> VPN (Uwierzytelniania: typ: Hasło z certyfikatami (TLS)) W zakładce IPv4 podałem DNS mojej firmy. No i się połączyłem, działają strony wewnętrzne firmowe ale nie działa np. youtube i inne strony zewnętrzne. Próbowałem dopisywać DNS'y po przecinku np. 1.1.1.1 ale nic nie daje. Pomoże ktoś?
0
0
Doradzam sprawdzenie poprawności działania DNS narzędziami takimi jak nslookup i dig.
3
DNSy tylko tłumaczą hosty na adresy, ty masz problem z routingiem - pewnie sieć firmowa blokuje te strony
Dodaj zasady routingu tak żeby tylko adresy firmowe przechodziły przez vpn, a reszta normalnie
https://askubuntu.com/questions/84516/how-to-set-routes-for-my-vpn-connection
1
Tak jak napisali poprzednicy.
- Użyj
nslookuplubdigaby sprawdzić czy dostajesz adresy z DNSa na przykład dla youtuba. - Następnie użyj
tracerouteaby sprawdzić gdzie wędrują pakiety, gdy próbujesz połączyć się z youtube.
Na 99% jest tak jak napisał obscurity, cały ruch jest przekierowywany do sieci wewnętrznej firmy.
0
obscurity napisał(a):
DNSy tylko tłumaczą hosty na adresy, ty masz problem z routingiem
Nie byłbym taki pewnien, bo serwery DNS mają możliwość takiej konfiguracji, aby odpowiadały tylko na zapytania o zasoby skonfigurowane lokalnie. Np. unbound ma deny_non_local i refuse_non_local.
Z doświadczenia wiem, że diagnostykę sieci dobrze jest wykonywać w takiej kolejności, w jakiej działają poszczególne elementy.
Niemniej, moim zdaniem najlepszym rozwiązaniem wszelkich problemów z VPNami do sieci Klientów/Pracodawców jest:
- Budowa własnej infrastruktury sieciowej.
- Uruchomienie klientów VPN do sieci Klientów/Pracodawców na własnych routerach.
- Uruchomienie serwera VPN na własnej infrastrukturze.
- Łączenie się ze swoim serwerem VPN i dostęp za pomocą własnej infrastruktury do sieci Klientów/Pracodawców.
Podstawową zaletą takiego rozwiązania jest brak konieczności użerania się z mnogością różnych konfiguracji VPN na swoich stacjach - po prostu mamy raz skonfigurowany VPN do swojej sieci, a jak pojawia się Klient/Pracodawca wymagający jakiejś nietypowej konfiguracji, to dokładamy klienta u siebie w infrastrukturze (być może kupując wcześniej kolejny router) i nie musimy wprowadzać żadnych zmian np. na laptopach.
Kolejną zaletą jest to, że konfiguracja VPN i DNS na routerach jest zwykle bardziej elastyczna, niż np. na laptopie.
1
pms_enable_synaptics napisał(a):
obscurity napisał(a):
DNSy tylko tłumaczą hosty na adresy, ty masz problem z routingiem
Nie byłbym taki pewnien, bo serwery DNS mają możliwość takiej konfiguracji, aby odpowiadały tylko na zapytania o zasoby skonfigurowane lokalnie. Np. unbound ma deny_non_local i refuse_non_local.
Z doświadczenia wiem, że diagnostykę sieci dobrze jest wykonywać w takiej kolejności, w jakiej działają poszczególne elementy.
Niemniej, moim zdaniem najlepszym rozwiązaniem wszelkich problemów z VPNami do sieci Klientów/Pracodawców jest:
- Budowa własnej infrastruktury sieciowej.
- Uruchomienie klientów VPN do sieci Klientów/Pracodawców na własnych routerach.
- Uruchomienie serwera VPN na własnej infrastrukturze.
- Łączenie się ze swoim serwerem VPN i dostęp za pomocą własnej infrastruktury do sieci Klientów/Pracodawców.
Tak, tak, ale adres youtube'a ma zapewne zcacheowany w systemie lokalnie bo pewnie już na niego wchodził i nie działa, zapytanie do DNSa pewnie nawet nie leci
Nie wiem po co bawić się w gdybanie i diagnostykę skoro to nie jest żaden unikalny ani rzadki problem, tylko prawie każdy kto korzystał w firmowego vpna przez to przechodził
1
obscurity napisał(a):
pms_enable_synaptics napisał(a):
obscurity napisał(a):
DNSy tylko tłumaczą hosty na adresy, ty masz problem z routingiem
Nie byłbym taki pewnien, bo serwery DNS mają możliwość takiej konfiguracji, aby odpowiadały tylko na zapytania o zasoby skonfigurowane lokalnie. Np. unbound ma deny_non_local i refuse_non_local.
Z doświadczenia wiem, że diagnostykę sieci dobrze jest wykonywać w takiej kolejności, w jakiej działają poszczególne elementy.
Niemniej, moim zdaniem najlepszym rozwiązaniem wszelkich problemów z VPNami do sieci Klientów/Pracodawców jest:
- Budowa własnej infrastruktury sieciowej.
- Uruchomienie klientów VPN do sieci Klientów/Pracodawców na własnych routerach.
- Uruchomienie serwera VPN na własnej infrastrukturze.
- Łączenie się ze swoim serwerem VPN i dostęp za pomocą własnej infrastruktury do sieci Klientów/Pracodawców.
Tak, tak, ale adres youtube'a ma zapewne zcacheowany w systemie lokalnie bo pewnie już na niego wchodził i nie działa, zapytanie do DNSa pewnie nawet nie leci
Nie wiem po co bawić się w gdybanie i diagnostykę skoro to nie jest żaden unikalny ani rzadki problem, tylko prawie każdy kto korzystał w firmowego vpna przez to przechodził
To należy tak użyć tych tooli, aby nie korzystać z lokalnego cache.
0
Po zainstalowaniu openVPN i łączeniu się z konsoli i wpisaniu DNS firmowego w pliku resolv.conf działają strony firmowe i zewnętrzne, dlaczego? Wolałbym jednak mieć to skonfigurowane w tym interfejsie GUI standardowym ubuntu.
0
kilka prostych pytań aby zacząć:
ten wyklikany VPN to tez jest openvpn ? bo nie napisales jaki rodzaj wyklikanego ? jezeli to ten sam typ sprawdzałeś jak sie roznia parametry uruchomienia openvpn GUI/CMD?
jaka reakcja ping jak nie dziala?
pokazesz tabele rutingu porównaj obie wersje ?
dziala cokolwiek poza firma na IP , czy to na pewno problem z DNS?
0
ten wyklikany to standardowy w ubuntu (Ustawienia -> Sieć -> VPN)
reakcja na ping google.com
4 packets transmitted, 0 received, 100% packet loss, time 3071ms
nie działa nic poza firmowymi stronami
0
biurostron napisał(a):
ten wyklikany to standardowy w ubuntu (Ustawienia -> Sieć -> VPN)
reakcja na ping google.com
4 packets transmitted, 0 received, 100% packet loss, time 3071ms
nie działa nic poza firmowymi stronami
Podstawowa diagnostyka:
$ dig google.com
$ dig @1.1.1.1 google.com
$ traceroute -n google.com
0
dig google.com
; <<>> DiG 9.16.1-Ubuntu <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35371
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;google.com. IN A
;; ANSWER SECTION:
google.com. 69 IN A 216.58.209.14
;; Query time: 20 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: śro lip 27 16:00:09 CEST 2022
;; MSG SIZE rcvd: 55
dig @1.1.1.1 google.com
; <<>> DiG 9.16.1-Ubuntu <<>> @1.1.1.1 google.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
traceroute google.com
traceroute to google.com (216.58.215.110), 64 hops max
1 tuMojeIpWsieciFirm 14,648ms 12,969ms 10,987ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
0
Problemem jest trasa domyślna prowadząca przez VPN, który nie zapewnia łączności z Internetem.
Rozwiązanie: konfiguracja typu split tunnel (https://en.wikipedia.org/wiki/Split_tunneling)
Dodatkowo rozdzieliłbym DNS - tak, aby do firmowego DNS leciały jedynie zapytania dotyczące zasobów firmy. Np. w konfiguracji unbound odpowiada za to dyrektywa forward-zone.
Przy czym odradzam robienie tego na laptopach lub stacjach roboczych. Tak, jak napisałem wcześniej, najlepiej jest to zrobić na routerze.
0
Podpowiesz coś więcej jak skonfigurować split tunnel? jakiś przykład, nie jestem adminem i średnio to kumam :)
0
Split tunneling opiera się na odpowiedniej konfiguracji routingu.
Wygląda na to, że w Twoim przypadku odpowiednia będzie konfiguracja typu split-include.
Jeśli upierasz się przy Ubuntu, to https://askubuntu.com/questions/1369075/use-a-vpn-only-for-some-specific-routes:
- powinna być zaznaczona opcja "Use this connection only for resources on its network"
- lista tras powinna uwzględniać firmową adresację wewnętrzną
Aktualny adres bramy można sprawdzić poleceniem ip route.
Tyle, że tym wszystkim powinien zająć się admin w firmie, do której się łączysz, lub przynajmniej zrobić instrukcję.
Inaczej to trochę zgadywanie, np. co do adresacji wykorzystywanej w sieci firmowej.
0
Zależy jeszcze jaki to vpn, ale jeśli to Network Manager, to prawie na pewno jest w gui gdzieś opcja, żeby używać vpn tylko dla zasobów tej sieci vpn - to ustawia routing tak, żeby przez przez vpn nie szedł cały ruch: