Na ubuntu ver 20 dodałem sobie konfigurację VPN - standardowo wchodząc w Ustawienia -> Sieć -> VPN (Uwierzytelniania: typ: Hasło z certyfikatami (TLS)) W zakładce IPv4 podałem DNS mojej firmy. No i się połączyłem, działają strony wewnętrzne firmowe ale nie działa np. youtube i inne strony zewnętrzne. Próbowałem dopisywać DNS'y po przecinku np. 1.1.1.1 ale nic nie daje. Pomoże ktoś?
Doradzam sprawdzenie poprawności działania DNS narzędziami takimi jak nslookup i dig.
DNSy tylko tłumaczą hosty na adresy, ty masz problem z routingiem - pewnie sieć firmowa blokuje te strony
Dodaj zasady routingu tak żeby tylko adresy firmowe przechodziły przez vpn, a reszta normalnie
https://askubuntu.com/questions/84516/how-to-set-routes-for-my-vpn-connection
Tak jak napisali poprzednicy.
- Użyj
nslookup
lubdig
aby sprawdzić czy dostajesz adresy z DNSa na przykład dla youtuba. - Następnie użyj
traceroute
aby sprawdzić gdzie wędrują pakiety, gdy próbujesz połączyć się z youtube.
Na 99% jest tak jak napisał obscurity, cały ruch jest przekierowywany do sieci wewnętrznej firmy.
obscurity napisał(a):
DNSy tylko tłumaczą hosty na adresy, ty masz problem z routingiem
Nie byłbym taki pewnien, bo serwery DNS mają możliwość takiej konfiguracji, aby odpowiadały tylko na zapytania o zasoby skonfigurowane lokalnie. Np. unbound ma deny_non_local i refuse_non_local.
Z doświadczenia wiem, że diagnostykę sieci dobrze jest wykonywać w takiej kolejności, w jakiej działają poszczególne elementy.
Niemniej, moim zdaniem najlepszym rozwiązaniem wszelkich problemów z VPNami do sieci Klientów/Pracodawców jest:
- Budowa własnej infrastruktury sieciowej.
- Uruchomienie klientów VPN do sieci Klientów/Pracodawców na własnych routerach.
- Uruchomienie serwera VPN na własnej infrastrukturze.
- Łączenie się ze swoim serwerem VPN i dostęp za pomocą własnej infrastruktury do sieci Klientów/Pracodawców.
Podstawową zaletą takiego rozwiązania jest brak konieczności użerania się z mnogością różnych konfiguracji VPN na swoich stacjach - po prostu mamy raz skonfigurowany VPN do swojej sieci, a jak pojawia się Klient/Pracodawca wymagający jakiejś nietypowej konfiguracji, to dokładamy klienta u siebie w infrastrukturze (być może kupując wcześniej kolejny router) i nie musimy wprowadzać żadnych zmian np. na laptopach.
Kolejną zaletą jest to, że konfiguracja VPN i DNS na routerach jest zwykle bardziej elastyczna, niż np. na laptopie.
pms_enable_synaptics napisał(a):
obscurity napisał(a):
DNSy tylko tłumaczą hosty na adresy, ty masz problem z routingiem
Nie byłbym taki pewnien, bo serwery DNS mają możliwość takiej konfiguracji, aby odpowiadały tylko na zapytania o zasoby skonfigurowane lokalnie. Np. unbound ma deny_non_local i refuse_non_local.
Z doświadczenia wiem, że diagnostykę sieci dobrze jest wykonywać w takiej kolejności, w jakiej działają poszczególne elementy.
Niemniej, moim zdaniem najlepszym rozwiązaniem wszelkich problemów z VPNami do sieci Klientów/Pracodawców jest:
- Budowa własnej infrastruktury sieciowej.
- Uruchomienie klientów VPN do sieci Klientów/Pracodawców na własnych routerach.
- Uruchomienie serwera VPN na własnej infrastrukturze.
- Łączenie się ze swoim serwerem VPN i dostęp za pomocą własnej infrastruktury do sieci Klientów/Pracodawców.
Tak, tak, ale adres youtube'a ma zapewne zcacheowany w systemie lokalnie bo pewnie już na niego wchodził i nie działa, zapytanie do DNSa pewnie nawet nie leci
Nie wiem po co bawić się w gdybanie i diagnostykę skoro to nie jest żaden unikalny ani rzadki problem, tylko prawie każdy kto korzystał w firmowego vpna przez to przechodził
obscurity napisał(a):
pms_enable_synaptics napisał(a):
obscurity napisał(a):
DNSy tylko tłumaczą hosty na adresy, ty masz problem z routingiem
Nie byłbym taki pewnien, bo serwery DNS mają możliwość takiej konfiguracji, aby odpowiadały tylko na zapytania o zasoby skonfigurowane lokalnie. Np. unbound ma deny_non_local i refuse_non_local.
Z doświadczenia wiem, że diagnostykę sieci dobrze jest wykonywać w takiej kolejności, w jakiej działają poszczególne elementy.
Niemniej, moim zdaniem najlepszym rozwiązaniem wszelkich problemów z VPNami do sieci Klientów/Pracodawców jest:
- Budowa własnej infrastruktury sieciowej.
- Uruchomienie klientów VPN do sieci Klientów/Pracodawców na własnych routerach.
- Uruchomienie serwera VPN na własnej infrastrukturze.
- Łączenie się ze swoim serwerem VPN i dostęp za pomocą własnej infrastruktury do sieci Klientów/Pracodawców.
Tak, tak, ale adres youtube'a ma zapewne zcacheowany w systemie lokalnie bo pewnie już na niego wchodził i nie działa, zapytanie do DNSa pewnie nawet nie leci
Nie wiem po co bawić się w gdybanie i diagnostykę skoro to nie jest żaden unikalny ani rzadki problem, tylko prawie każdy kto korzystał w firmowego vpna przez to przechodził
To należy tak użyć tych tooli, aby nie korzystać z lokalnego cache.
Po zainstalowaniu openVPN i łączeniu się z konsoli i wpisaniu DNS firmowego w pliku resolv.conf działają strony firmowe i zewnętrzne, dlaczego? Wolałbym jednak mieć to skonfigurowane w tym interfejsie GUI standardowym ubuntu.
kilka prostych pytań aby zacząć:
ten wyklikany VPN to tez jest openvpn ? bo nie napisales jaki rodzaj wyklikanego ? jezeli to ten sam typ sprawdzałeś jak sie roznia parametry uruchomienia openvpn GUI/CMD?
jaka reakcja ping jak nie dziala?
pokazesz tabele rutingu porównaj obie wersje ?
dziala cokolwiek poza firma na IP , czy to na pewno problem z DNS?
ten wyklikany to standardowy w ubuntu (Ustawienia -> Sieć -> VPN)
reakcja na ping google.com
4 packets transmitted, 0 received, 100% packet loss, time 3071ms
nie działa nic poza firmowymi stronami
biurostron napisał(a):
ten wyklikany to standardowy w ubuntu (Ustawienia -> Sieć -> VPN)
reakcja na ping google.com
4 packets transmitted, 0 received, 100% packet loss, time 3071ms
nie działa nic poza firmowymi stronami
Podstawowa diagnostyka:
$ dig google.com
$ dig @1.1.1.1 google.com
$ traceroute -n google.com
dig google.com
; <<>> DiG 9.16.1-Ubuntu <<>> google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35371
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;google.com. IN A
;; ANSWER SECTION:
google.com. 69 IN A 216.58.209.14
;; Query time: 20 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: śro lip 27 16:00:09 CEST 2022
;; MSG SIZE rcvd: 55
dig @1.1.1.1 google.com
; <<>> DiG 9.16.1-Ubuntu <<>> @1.1.1.1 google.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
traceroute google.com
traceroute to google.com (216.58.215.110), 64 hops max
1 tuMojeIpWsieciFirm 14,648ms 12,969ms 10,987ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
Problemem jest trasa domyślna prowadząca przez VPN, który nie zapewnia łączności z Internetem.
Rozwiązanie: konfiguracja typu split tunnel (https://en.wikipedia.org/wiki/Split_tunneling)
Dodatkowo rozdzieliłbym DNS - tak, aby do firmowego DNS leciały jedynie zapytania dotyczące zasobów firmy. Np. w konfiguracji unbound odpowiada za to dyrektywa forward-zone
.
Przy czym odradzam robienie tego na laptopach lub stacjach roboczych. Tak, jak napisałem wcześniej, najlepiej jest to zrobić na routerze.
Podpowiesz coś więcej jak skonfigurować split tunnel? jakiś przykład, nie jestem adminem i średnio to kumam :)
Split tunneling opiera się na odpowiedniej konfiguracji routingu.
Wygląda na to, że w Twoim przypadku odpowiednia będzie konfiguracja typu split-include.
Jeśli upierasz się przy Ubuntu, to https://askubuntu.com/questions/1369075/use-a-vpn-only-for-some-specific-routes:
- powinna być zaznaczona opcja "Use this connection only for resources on its network"
- lista tras powinna uwzględniać firmową adresację wewnętrzną
Aktualny adres bramy można sprawdzić poleceniem ip route
.
Tyle, że tym wszystkim powinien zająć się admin w firmie, do której się łączysz, lub przynajmniej zrobić instrukcję.
Inaczej to trochę zgadywanie, np. co do adresacji wykorzystywanej w sieci firmowej.
Zależy jeszcze jaki to vpn, ale jeśli to Network Manager, to prawie na pewno jest w gui gdzieś opcja, żeby używać vpn tylko dla zasobów tej sieci vpn - to ustawia routing tak, żeby przez przez vpn nie szedł cały ruch: