OpenVPN для доступа в корп.сеть (без интернета) и запросы к серверу на резолв интернет-доменов

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

vkapas
Сообщения: 190
ОС: Ubuntu 14.04, 16.04

OpenVPN для доступа в корп.сеть (без интернета) и запросы к серверу на резолв интернет-доменов

Сообщение vkapas »

OpenVPN-сервер на Ubuntu 14 используется для допуска во внутреннюю локальную сеть, без доступа в интернет.
Однако от OVPN-клиентов постоянно идут запросы на резолвинг интернет-доменов.
  • Нормально ли это?
  • Можно ли сделать так, чтобы поступали/обрабатывались запросы на резолв только локальных хостов (pc1, pc2 etc)?


/var/log/dnsmasq/dnsmasq.log:

Код: Выделить всё

Jun 25 00:18:07 server dnsmasq[4749]: query[A] su.ff.avast.com from 10.8.0.25
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 5.45.62.53
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 77.234.45.60
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 77.234.45.61
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 77.234.45.70
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 77.234.45.63
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 5.45.62.117
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 77.234.45.64
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 5.45.62.118
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 5.45.62.54
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 77.234.45.65
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is 5.45.62.116
Jun 25 00:18:07 server dnsmasq[4749]: query[AAAA] su.ff.avast.com from 10.8.0.25
Jun 25 00:18:07 server dnsmasq[4749]: cached su.ff.avast.com is NODATA-IPv6
Jun 25 00:18:16 server dnsmasq[4749]: query[A] mail.yandex.ru from 10.8.0.33
Jun 25 00:18:16 server dnsmasq[4749]: forwarded mail.yandex.ru to 192.168.100.1
Jun 25 00:18:16 server dnsmasq[4749]: reply mail.yandex.ru is 93.158.134.125
Jun 25 00:18:16 server dnsmasq[4749]: reply mail.yandex.ru is 87.250.251.125
Jun 25 00:18:16 server dnsmasq[4749]: reply mail.yandex.ru is 213.180.204.125
Jun 25 00:18:16 server dnsmasq[4749]: reply mail.yandex.ru is 87.250.250.125
Jun 25 00:18:16 server dnsmasq[4749]: reply mail.yandex.ru is 213.180.193.125
Jun 25 00:18:44 server dnsmasq[4749]: query[A] WPAD from 127.0.0.1
Jun 25 00:18:44 server dnsmasq[4749]: forwarded WPAD to 192.168.100.1
Jun 25 00:18:44 server dnsmasq[4749]: query[AAAA] WPAD from 127.0.0.1
Jun 25 00:18:44 server dnsmasq[4749]: forwarded WPAD to 192.168.100.1
Jun 25 00:19:12 server dnsmasq[4749]: query[A] fpdownload2.macromedia.com from 10.8.0.73
Jun 25 00:19:12 server dnsmasq[4749]: forwarded fpdownload2.macromedia.com to 192.168.100.1
Jun 25 00:19:12 server dnsmasq[4749]: reply a1293.d.akamai.net is 37.29.19.82
Jun 25 00:19:12 server dnsmasq[4749]: reply a1293.d.akamai.net is 37.29.19.105
Jun 25 00:19:59 server dnsmasq[4749]: query[A] fpdownload2.macromedia.com from 10.8.0.57
Jun 25 00:19:59 server dnsmasq[4749]: cached fpdownload2.macromedia.com is <CNAME>
Jun 25 00:19:59 server dnsmasq[4749]: forwarded fpdownload2.macromedia.com to 192.168.100.1
Jun 25 00:19:59 server dnsmasq[4749]: reply a1293.d.akamai.net is 37.29.19.82
Jun 25 00:19:59 server dnsmasq[4749]: reply a1293.d.akamai.net is 37.29.19.105
Jun 25 00:19:59 server dnsmasq[4749]: query[A] fpdownload2.macromedia.com from 10.8.0.57
Jun 25 00:19:59 server dnsmasq[4749]: cached fpdownload2.macromedia.com is <CNAME>
Jun 25 00:19:59 server dnsmasq[4749]: cached fpdownload2.wip4.adobe.com is <CNAME>
Jun 25 00:19:59 server dnsmasq[4749]: cached fpdownload.macromedia.com.edgesuite.net is <CNAME>
Jun 25 00:19:59 server dnsmasq[4749]: cached a1293.d.akamai.net is 37.29.19.105
Jun 25 00:19:59 server dnsmasq[4749]: cached a1293.d.akamai.net is 37.29.19.82


/etc/dnsmasq.conf:

Код: Выделить всё

addn-hosts=/etc/hosts.openvpn-clients
log-queries
log-dhcp


/etc/openvpn/server.conf:

Код: Выделить всё

port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.100.0 255.255.255.0"
client-config-dir ccd
learn-address /var/lib/openvpn/ovpn-learnaddress.sh
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option WINS 10.8.0.1"
push "dhcp-option NBT 4"
client-to-client
keepalive 10 120
tls-auth easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
max-clients 20
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
crl-verify keys/crl.pem
Спасибо сказали:

Аватара пользователя
nerve
Сообщения: 280
ОС: OpenBSD

Re: OpenVPN для доступа в корп.сеть (без интернета) и запросы к серверу на резолв интернет-доменов

Сообщение nerve »

убери из конфига это:

Код: Выделить всё

push "dhcp-option DNS 10.8.0.1"

а парочку локальных ресурсов пропиши клиентам в hosts
Спасибо сказали:

Аватара пользователя
s.xbatob
Сообщения: 1119
ОС: Fedora

Re: OpenVPN для доступа в корп.сеть (без интернета) и запросы к серверу на резолв интернет-доменов

Сообщение s.xbatob »

С dnsmasq -- вряд ли. Надо bind разворачивать, там прописывать локальную зону и фальшивую коренную.
Спасибо сказали:

vkapas
Сообщения: 190
ОС: Ubuntu 14.04, 16.04

Re: OpenVPN для доступа в корп.сеть (без интернета) и запросы к серверу на резолв интернет-доменов

Сообщение vkapas »

nerve, спасибо, но DNS добавлял именно для того, чтобы избежать возни с клиентскими hosts'ами. Такой вариант пока не рассматриваю.

s.xbatob, спасибо за наводку, посмотрю в его сторону. Хотя, мне кажется, инструмент избыточный, мне всего лишь нужен резолв нескольких локальных хостнеймов для 5-10 клиентов.
Спасибо сказали:

Аватара пользователя
s.xbatob
Сообщения: 1119
ОС: Fedora

Re: OpenVPN для доступа в корп.сеть (без интернета) и запросы к серверу на резолв интернет-доменов

Сообщение s.xbatob »

vkapas писал(а):
26.06.2017 14:02
s.xbatob, спасибо за наводку, посмотрю в его сторону. Хотя, мне кажется, инструмент избыточный, мне всего лишь нужен резолв нескольких локальных хостнеймов для 5-10 клиентов.

Локальные записи можно и в dnsmasq добавить с помощью --host-record= добавить. Но как на нём заблокировать запросы к остальным доменам - я не знаю.
Спасибо сказали:

Аватара пользователя
nerve
Сообщения: 280
ОС: OpenBSD

Re: OpenVPN для доступа в корп.сеть (без интернета) и запросы к серверу на резолв интернет-доменов

Сообщение nerve »

vkapas писал(а):
25.06.2017 00:36
Можно ли сделать так, чтобы поступали/обрабатывались запросы на резолв только локальных хостов (pc1, pc2 etc)?

vkapas писал(а):
26.06.2017 14:02
DNS добавлял именно для того, чтобы избежать возни с клиентскими hosts'ами.
мне всего лишь нужен резолв нескольких локальных хостнеймов для 5-10 клиентов.

после того как впн поднялся, клиент начинает использовать твой днс. соответственно повлиять на отправку/поступление запросов ты не можешь.
возможно поможет опция no-resolv в конфиге /etc/dnsmasq.conf.
Спасибо сказали:

vkapas
Сообщения: 190
ОС: Ubuntu 14.04, 16.04

Re: OpenVPN для доступа в корп.сеть (без интернета) и запросы к серверу на резолв интернет-доменов

Сообщение vkapas »

nerve писал(а):
26.06.2017 15:32
возможно поможет опция no-resolv в конфиге /etc/dnsmasq.conf.

К сожалению, не помогло. Запросы перестали форвардиться к DNS, которые использует OVPN-сервер (его адрес указан в /etc/resolv.conf), но получать их он не перестал.
Спасибо сказали: