Re: VPN и корпоративный DNS
Max Dmitrichenko -> debian-russian@lists.debian.org @ Sat, 18 Mar 2017 15:56:41 +0300:
>> Это совершенно необязательно. Вообще dnsmasq умеет прекрасно
>> взаимодействовать с resolvconf-ом и получать от него адреса основных
>> DNS-серверов. Хотя вот утверждать что появление в этой компании еще и
>> networkmanager не приведет к какому-нибудь непониманию не возьмусь.
>>
> А я берусь утверждать, что в этой компании это будет кучей малой. Если его
> не снести, то происходит следующее:
> 1) NM записывает в /etc/resolv.conf 127.0.0.1 и запускает dnsmasq
> 2) Изменение состояния любого интерфеса вызыает цепочку скриптов
> /etc/network/if-*.d , среди которых есть скрипт resolvconf
> 3) resolvconf перезаписывает /etc/resolv.conf, dnsmasq после этого курит в
> сторонке.
А почему он у меня так не делает? В смысле, resolvconf в курсе о
существовании dnsmasq и прочих кэширующих неймсерверов. Или наоборот,
они о нем в курсе.
А вот NM у меня отсутствует. Видимо, он-то и вмешивается в ситуацию...
> Кроме того, я не очень представляю себе механизм, которым resolvconf мог бы
> накормить dnsmasq инфой для сплита, то есть помимо самого nameserver'а,
> скормить префиксы и локальные домены.
resolvconf не может.
>> Гораздо интереснее написать такой connect-script для openvpn, чтобы
>> подключал корпоративные DNS-ы для каких надо доменов при поднятии vpn,
>> а при опускании - убирал.
>>
> Интереснее делать то, что уже до вас сделано и работает путем добавления
> одной строчки в конфиг?
... до тех пор, пока не выяснится, что VPN с работы пропихивает свои NS
как дефолтные (а вовсе не для своих доменов), да и роутинг на три сетки
из тех полутора десятков, что он выставляет, выставлять ни в коем случае
не надо. Для чего таки приходится лезть в коннект-скрипт.
Reply to: