Re: VPN и корпоративный DNS

To: debian-russian@lists.debian.org
Subject: Re: VPN и корпоративный DNS
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Sat, 18 Mar 2017 18:57:44 +0300
Message-id: <[🔎] 20170318185744.54cadc21@arkturus.local>
In-reply-to: <[🔎] CAMRqRqxJ2i54f3ipv62uhRDsQ3s1wU9XrSN4vQKBBh8mDBk-XQ@mail.gmail.com>
References: <CAMRqRqx1H1Uhc2jPGtUQBwp+Ma_qjk6UR5iPmmupR4r61bQJiQ@mail.gmail.com> <[🔎] CAMRqRqzRGDriHf1xcOc=8SQtnB+XhVJHngtRbbioSE3t9weCkA@mail.gmail.com> <[🔎] 20170318151732.64e82c9f@arkturus.local> <[🔎] CAMRqRqxJ2i54f3ipv62uhRDsQ3s1wU9XrSN4vQKBBh8mDBk-XQ@mail.gmail.com>

On Sat, 18 Mar 2017 15:56:41 +0300
Max Dmitrichenko <dmitrmax@gmail.com> wrote:

> 18 марта 2017 г., 15:17 пользователь Victor Wagner
> <vitus@wagner.pp.ru> написал:
> 
> 
> > Это совершенно необязательно. Вообще dnsmasq умеет прекрасно
> > взаимодействовать с resolvconf-ом и получать от него адреса основных
> > DNS-серверов. Хотя вот утверждать что появление в этой компании еще
> > и networkmanager не приведет к какому-нибудь непониманию не
> > возьмусь. 
> 
> А я берусь утверждать, что в этой компании это будет кучей малой.
> Если его не снести, то происходит следующее:
> 1) NM записывает в /etc/resolv.conf 127.0.0.1 и запускает dnsmasq
> 2) Изменение состояния любого интерфеса вызыает цепочку скриптов
> /etc/network/if-*.d , среди которых есть скрипт resolvconf

На интерфейсы openvpn это обычно не распространяется.

> 3) resolvconf перезаписывает /etc/resolv.conf, dnsmasq после этого
> курит в сторонке.

Так надо resolvconf настроить, чтобы не забывал прописать 127.0.0.1 в
перезаписываемый resolv.conf.

> 
> Интереснее делать то, что уже до вас сделано и работает путем
> добавления одной строчки в конфиг?

Когда работает - хорошо. А когда не работает - становится очень плохо
потому что nm в качестве коннект-скрипта подставляет openvpn бинарник.
И чтобы подправить его на коленке нужно по крайней мере скачать
исходник пакета. А потребность  в этом обычно возникет когда ты сидишь
в глухом лесу, с неба капает вода, а gprs еле теплится.

Поэтому я предпочитаю такие решения, которые можно прочитать и
ПРЕДСТАВЛЯТЬ СЕБЕ как они работают.  

Более того, прочитав хорошее решение начинаешь лучше представлять себе
как устроен мир.

Я когда увидел что NM работает с OpenVPN позволяя ее поднимать опускать
простому пользователю,  я подумал "как классно", надо все свои vpn
перевести на это. Но тут выяснилось что оно не умеет использвоать
готовые конфиги клиента openvpn предоставленные администратором сети,
надо настраивать через меню, а в меню, естественно предусмотрено только
процентов 10 из возможных опций конфигурации openvpn.

И в итоге пришлось отказаться от использования NM для этой цели и
запускать openvpn через старую добрую дебиановскую систему
инит-скриптов. Которую достаточно аккуратно подправили для
совместимости с systemd.

> 
> Интересное обычно побеждает лень, стало быть неинтересно )
> 
У меня как-то других дел хватает. Проще на рабочей машине веб-прокси
поднять, и не зависеть от того, насколько сисадмин корректно настроил
DNS в VPN-сегменте - из офиса-то все резолвится правильно.

Reply to:

References:
- Re: VPN и корпоративный DNS
  - From: Max Dmitrichenko <dmitrmax@gmail.com>
- Re: VPN и корпоративный DNS
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: VPN и корпоративный DNS
  - From: Max Dmitrichenko <dmitrmax@gmail.com>

Prev by Date: Re: VPN и корпоративный DNS
Next by Date: Re: VPN и корпоративный DNS
Previous by thread: Re: VPN и корпоративный DNS
Next by thread: Re: VPN и корпоративный DNS
Index(es):
- Date
- Thread