Mam skonfigurowanego OpenVPNa w trybie klienta, którym łączę się z podsiecią do biura.
Wszystko fajnie łączy się, widzę adresy IP w drugiej sieci. Natomiast niestety nie działa DNS, to w dziwny sposób.
Widać, że FreshTomato dodało DNSa uzyskanego przy połączneiu OpenVPN:
Kod źródłowy
root@krzemieniecka:/tmp/etc# cat /etc/resolv.dnsmasq
search xxx.lan
nameserver 10.100.0.110
nameserver 10.100.0.111
# dns for wan:
nameserver 217.113.224.35
nameserver 217.113.224.135
Natomiast za każdym razem, kiedy próbuję na routerze odpytać domene xxx.lan, dostaje NXDOMAIN:
Kod źródłowy
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: query[A] y.xxx.lan from 127.0.0.1
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 10.100.0.110
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 10.100.0.111
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 10.100.0.111
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 217.113.224.35
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: forwarded y.xxx.lan to 217.113.224.135
Jan 11 23:09:38 krzemieniecka daemon.info dnsmasq[10439]: reply y.xxx.lan is NXDOMAIN
Ale co ciekawe, nslookup na komputerze w sieci FreshTomato zwraca poprawny adres:
O co tu chodzi?
DNSMasq nie moze sie dogadać z serwerem, ale dlaczego skoro za routerem już mogę?
Dodam, że jako WAN mam zwykły kabel na DHCP, bez udziwnien w stylu PPPoE.
Połączony z 12 stycznia 2021 00:03:59:
Chyba sam znalazłem rozwiązanie.
Okazuje się, że OpenVPN nie współgra z "Enable DNS Rebind protection".
Po prostu serwer DNS zwraca adresy IP z puli lokalnej (nie dziwne, serwery są w sieci lokalnej), co dla DNSMasq jest ostrzeżeniem możliwego ataku DNS rebind.
Tylko, że wyłączenie tej opcji nie jest najlepszym rozwiązaniem, IMO.
Dlatego jakby ktoś miał podobny problem, to polecam dopisać do DNSMasq:
strict-order
rebind-domain-ok=/xxx.lan/
albo w ogóle wyłączyć przy VPN obsługę DNSa i z palca wpisać domene:
strict-order
server=/xxx.lan/10.100.0.110
rebind-domain-ok=/xxx.lan/
Edytowane przez NeoX dnia 12-01-2021 00:03