IPSec-соединение не использует удаленный DNS-сервер для удаленного домена.

Вопрос или проблема

Я пытаюсь настроить подключение IPSec VPN с клиента Windows 10. Моя локальная сеть использует, скажем, домен example.local и подсеть 192.168.6.0/24. Удаленная сеть использует example.com и имеет несколько подсетей с соответствующими VLAN, но хосты, с которыми я хочу взаимодействовать, находятся в подсети 192.168.2.0/24.

Почти всё работает, но машина не использует удаленный DNS для поиска в удаленном домене. То есть я могу пинговать или иным образом взаимодействовать с хостами в удаленной сети, но только если я обращаюсь к ним по IP.

Я НЕ выбрал опцию “Использовать основной шлюз в удаленной сети” в интерфейсе VPN на устройстве Windows, и я этого не хочу. Я хочу, чтобы только трафик, который действительно должен обращаться к удаленной сети, использовал интерфейс VPN (разделенный туннель).

Я УСТАНОВИЛ параметры в интерфейсе VPN для использования правильных DNS-серверов из удаленной сети. Я добавил DNS-серверы снова в расширенные параметры и установил параметр “DNS суффикс для этого подключения” как example.com.

Теперь, будучи подключенным, если я запускаю ipconfig /all, я вижу (среди прочего) как example.local, так и example.com в списке поиска DNS-суффиксов. Я также проверил, что могу достичь удаленных DNS-серверов и разрешить хосты в удаленной сети с помощью nslookup, но только если я указываю удаленный сервер вручную.

Я ожидаю, что при вводе полностью квалифицированного имени хоста, такого как HostA.example.com, поскольку домен соответствует удаленному домену, должны использоваться удаленные DNS-серверы. Другие домены, которые не соответствуют, должны использовать локальный DNS. Но этого не происходит. Также было бы приемлемо (не столь хорошо, но хотя бы приемлемо) всегда использовать удаленный DNS, пока активна VPN-связь, но на данный момент этого тоже не происходит. Опять же, я не хочу использовать основной шлюз (хочу разделенный туннель).

Что мне нужно сделать, чтобы DNS правильно разрешался для удаленных хостов, пока VPN активен?

Ответ или решение

Для решения проблемы с использованием удаленного DNS-сервера для удаленного домена через IPSec VPN-соединение на Windows 10, важно понять несколько ключевых аспектов настройки и работы сети. Вы столкнулись с ситуацией, при которой DNS-запросы для домена example.com не обрабатываются удаленным DNS-сервером, хотя такая функциональность ожидаема. Рассмотрим шаги, которые могут помочь устранить эту проблему:

Формирование проблемы:

Разделение сетевых туннелей: Вы настроили VPN-соединение, чтобы трафик маршрутизировался исключительно для нужд удаленной сети (split tunneling), что является разумным подходом с точки зрения оптимизации трафика.
DNS-настройки: Хотя удаленные DNS-серверы и необходимый DNS-суффикс заданы в настройках VPN, ваши DNS-запросы все равно обрабатываются локальной сетью, если их не направлять явно через nslookup.

Опора на факты:

DNS суффиксный список: Вы видите оба домена в списке DNS суффиксов (example.local и example.com), что указывает на то, что конфигурация VPN добавляет нужный DNS-суффикс. Это свидетельствует о том, что клиентская машина способна использовать нужные домены.
Проблемы с автоматическим разрешением: Автоматическая отправка запросов к удаленному DNS не осуществляется корректно, что требует ручного вмешательства для его исправления.

Решения для устранения проблемы:

Проверка приоритета DNS-серверов: Убедитесь, что удаленные DNS-серверы имеют более высокий приоритет, чем локальные. В конфигурации Windows это может быть неочевидно, и потребуется ручная регулировка порядка DNS-серверов в сетевых настройках VPN.
Альтернативное решение для конфигурации VPN: Попробуйте использовать групповые политики или PowerShell скрипты для более точной конфигурации параметров DNS, ограничив их действие исключительно для определённых доменов.
Настройка настроек Split DNS: Некоторые VPN-клиенты поддерживают функцию Split DNS, которая позволяет назначить определенные доменные запросы на конкретные DNS-серверы. Убедитесь, что ваш VPN-клиент поддерживает и настроен на использование этой функции.

Внедрение и мониторинг:

Мониторинг: После внесения изменений проведите тестирование, используя команды ping и nslookup для различных доменов, чтобы убедиться в правильности маршрутизации запросов.
Документация изменений: Ведите тщательную документацию по всем внесенным изменениям, чтобы в будущем иметь возможность повторить или изменить конфигурацию без потерь времени и ошибок.

Эти шаги должны обеспечить корректную работу разрешения DNS через VPN так, как вы этого ожидаете, при проверке всех ключевых факторов, которые могут мешать тому, чтобы DNS-запрос обрабатывался нужным сервером.