Přidělení DNS z OpenVPN

[Pavouk106]

Ahoj,

přemístil jsem část své sítě na jiné geografické místo a pro spojení mezi všemi počítači dále využívám OpenVPN. Protože ale počítače mají i doménová jména (v rámci vnitřní sítě), rád bych využíval i tato jména. Problém je jednoduchý, DNS server je jen na jednom místě, ale já jej chci prostřednictvím OVPN využívat i z toho druhého.

"Nakreslil" jsem obrázek Vpravo nahoře je DNS a OpenVPN server, který je "schovaný" za routerem s VIP a má potřebné forwardy nastavené. Chci na PC vlevo dole používat jako DNS server PC vpravo nahoře. Ovšem jen za předpokladu, že OpenVPN si navzájem "potřáslo rukama" = spojení OVPN je v pořádku. Pokud není v pořádku, chci používat DNS přidělené od wifi AP -> LAN routeru (případně je používat i tak, ale až jako druhý/třetí v pořadí - nevím, jak v resolv.conf fungují priority).
Pozn.: wifi AP -> Lan router je Nanostation Loco M5 (považuju v tohle případě za nevýznamné zařízení). Router s VIP je Mikrotik v mé plné kontrole. Oba (resp. všechny) počítače valí na Linuxu.

Doufám, že jsem to dal dohromady nějak přehledně, i když tomu zároveň moc nevěřím

Předem díky za pomoc

[Reklama]

[ZAJDAN]

asi bych navrhl to openVPN nahodit na tom mikrotiku a nechat si IP přidělovat z něj pomocí DHCP serveru, kde je možno nastavit i přiřazení DNS, WINS apod.

[ZAJDAN]

a na Linuxovém openVPN je to tuším volba:
push "dhcp-option DNS XXX.XXX.XXX.XXX"
kde při úspěšném spojení oVPN client obdrží DNS adresu

[franc]

a na Linuxovém openVPN je to tuším volba:
push "dhcp-option DNS XXX.XXX.XXX.XXX"
kde při úspěšném spojení oVPN client obdrží DNS adresu

A neplati toto pouze v pripade rezimu server? Mozna ma takzatel ten tunnel udelany jako staticke openvpn?
Na openvpn lze povesit UP/DOWN script, ktery lze zavolat bash a nej napr. udelat zmenu resolv.conf.

resolv.conf muze mit vice nameserver, jen bych si v tomto pripade jeste pohlidal nastaveni timeout, protoze
v linux je to nastaveno prisli nadlouho, tusim ~ 5s?

[ZAJDAN]

A neplati toto pouze v pripade rezimu server? Mozna ma takzatel ten tunnel udelany jako staticke openvpn?

ano to se zapise do conf na serveru, ale zajistí to to, že připojený klient dostane DHCP údaje jako: DNS, DOMAIN, WINS, NTP apod

[Reklama]

[Pavouk106]

ZAJDAN: V Tvém prvním příspěvku jsi asi špatně chápal situaci. Mikrotik je na vzdálené straně, u OpenVPN serveru. Já potřebuju to DNS přidělit OVPN klientovi, který je na obrázku dole - na druhé straně "internetu", tedy s MK není v kontaktu.

Nastavit přidělení DNS na serveru zkusím, to vypadá jako správná volba :-)

franc: UP/DOWN bych neměl s řešením od ZAJDANa potřebovat, pokud bude fachat jak předpokládám :-) Timeout - myslíš na přehození požadavku na další DNS server? To bych přenastavit mohl. Ovšem vyvstává další otázka:

resolv.conf mi generuje dhcpcd. Ja tam dotlačit DNS z OVPN, zároveň zanechat předchozí DNS (jen je posunout na nižší prioritu) a mít tam timeout?

[ZAJDAN]

myslím, že získání DNS z oVPN nepomůže, protože standartní trafic půjde přes default GW, kde se použije DNS pověšené na defaultní/primární síťovce a na oVPN půjde jen to co ukazuje routa pro daný subnet. Zkusil bych posílat veškerý trafic přes oVPN a tím by se snad mělo docílit, že bude využit i DNS na oVPN

push "redirect-gateway IP_adresa_vpn"

[franc]

Kuk sem
---
http://pyther.net/2010/12/openvpn-client-dns-script/
---

a na Linuxovém openVPN je to tuším volba:
push "dhcp-option DNS XXX.XXX.XXX.XXX"
kde při úspěšném spojení oVPN client obdrží DNS adresu

A neplati toto pouze v pripade rezimu server? Mozna ma takzatel ten tunnel udelany jako staticke openvpn?
Na openvpn lze povesit UP/DOWN script, ktery lze zavolat bash a nej napr. udelat zmenu resolv.conf.

resolv.conf muze mit vice nameserver, jen bych si v tomto pripade jeste pohlidal nastaveni timeout, protoze
v linux je to nastaveno prisli nadlouho, tusim ~ 5s?

[ZAJDAN]

ZAJDAN: V Tvém prvním příspěvku jsi asi špatně chápal situaci. Mikrotik je na vzdálené straně, u OpenVPN serveru. Já potřebuju to DNS přidělit OVPN klientovi, který je na obrázku dole - na druhé straně "internetu", tedy s MK není v kontaktu.

ten Mikrotik stojí v cestě tak i tak :_))), takže není problém spojení vyvolat na něj a nebo dokonce z něj (mé VPN clienta i server)
já osobně to tak dělám kvůli spotřebě el.energie, pač ten routerboard mi sežere zanedbatelné množství oproti PC....ovšem pokud Ti ten stroj běží tak i tak,  je to jedno a možná i lepší (protože pure Linux)

[Pavouk106]

ZAJDAN: PC běží tak jako tak :-) U OVPN používám autentizaci klíčema, to MK neumí (resp. nebyl jsem ani opakovaně schopnej to rozchodit... )

Jaký DNS se použije - já byc čekal, že při dotazu na DNS jde posloupnost jednoduše:
1. Mrknu do resolv.conf
2. Beru první IP
3. Při neúspěchu beru další IP
...

Takže bych čekal, že jako DNS s vezme přímo to, co mu dám. To si ověřím večer osobně tak, že při aktivním OVPN předělám ručně resolv.conf a uvidím :-)

franc: Díky, až budu u správnýho PC (a ne u Win XP za brutálnim FW), tak to i zkusím ;-)

[ZAJDAN]

mě se podařilo na MK oVPN pomocí klíčů rozběhat a frčí to pěkně...dokonce jsou tam fičury, které jsem na oVPN nikdy nenašel a to třeba jaká IP byla VPN klientovi přidělena, z jaké IP (Caller ID) přišel klient.....to všechno na MK je a velmi přehledné

[Pavouk106]

Já mu nikdy klíče nabyl schopnej dotlačit, furt to něco řvalo, když sem je importoval nebo dekódoval, nebo co se s tim všim dělá... Už je to nějakej čas. Zase se mi ale povedlo MK donutit při změně IP adresy na interface poslat tuhle novou adresu na DNS, aby jí změnilo :-) Ale stejně to nefacalo, jak jsem potřeboval, dělalo to duplicitní jména... Např místo pepa.doména.cz to udělalo záznam na DNS pepa.doména.cz.doména.cz Bylo to rozdílnou implementací funkce v Linux/RouterOS.

[ZAJDAN]

jakou máš verzi RoS?....bych ti s tím mohl pomoci

[Pavouk106]

Z halvy tuším, že jde o 6.0 (dost možná beta nebo rc). Stačil by mi hrubej postup, pořadí úkonů, já se s tim kyžtak už výhledově poperu, přes zimu bude čas :-)

[Ondřej Caletka]

resolv.conf mi generuje dhcpcd. Ja tam dotlačit DNS z OVPN, zároveň zanechat předchozí DNS (jen je posunout na nižší prioritu) a mít tam timeout?

K tomuto účelu má Roy Marples jinou utilitu s příznačným názvem resolvconf. Pamatuje si, odkud se který DNS server naučila a podle priorit je generuje do souboru resolv.conf