Połączony z VPN, bez żadnych serwerów DNS

1

Używam koncentratora VPN 30005 Cisco.

Internetowy diagram:

enter image description here

Klient cisco linux działa dobrze, mogę pingować google, a traceroute przechodzi przez 192.168.1.1, czyli mój router. Wykonuje normalne rozpoznawanie nazw wszystkich kroków.

Ale gdy klient Windows łączy się, żadne nazwy hostów nie mogą być rozwiązane. To nie są nawet wewnętrzne nazwy hostów (nie mam wewnętrznych rzeczy DNS), to wszystkie nazwy hostów. Nie mogę pingować google.com, ale mogę pingować 173.194.46.38.

W przypadku tracert pierwszym krokiem jest publiczny interfejs sieci VPN, następnie router, a następnie dalej do google (brak rozpoznawania nazw, tylko adresy IP).

Linux, connected to VPN
mark@Laptop:~$ traceroute google.com
traceroute to google.com (74.125.225.37), 30 hops max, 60 byte packets
 1  * * *
 2  192.168.1.1 (192.168.1.1)  9.569 ms  9.616 ms  9.665 ms
 3  mx80-07-001-resnet-wads-5.tc.mtu.edu (141.219.232.2)  13.059 ms  13.102 ms  13.119 ms
 4  mx960-07-001-rtr-z03-eerc.tc.mtu.edu (141.219.183.122)  13.501 ms  17.128 ms  17.147 ms
 5  mx80-07-002.tc.mtu.edu (141.219.183.97)  17.540 ms  20.541 ms  20.581 ms
 6  xe-0-0-3.hgtn-cor-mtu.mich.net (207.75.40.9)  20.597 ms  14.320 ms  14.290 ms
 7  vlan47.iron-mt-gigsw1.mich.net (198.108.22.41)  21.427 ms  18.776 ms  18.793 ms
 8  xe-5-0-1x69.eq-chi2.mich.net (198.108.22.97)  36.628 ms  38.027 ms  34.386 ms
 9  207.72.112.46 (207.72.112.46)  38.075 ms  37.717 ms  34.649 ms
10  209.85.254.120 (209.85.254.120)  38.147 ms  35.094 ms  34.896 ms
11  209.85.250.28 (209.85.250.28)  34.962 ms  28.178 ms  30.715 ms
12  ord08s06-in-f5.1e100.net (74.125.225.37)  30.733 ms  29.842 ms  28.085 ms

-----------------------------------------------------------------------------------------------------------------
Windows, connected to VPN
C:\Users\Mark>tracert 173.194.46.38

Tracing route to 173.194.46.38 over a maximum of 30 hops

  1     2 ms     2 ms     2 ms  141.219.233.110
  2     2 ms     2 ms     3 ms  192.168.1.1
  3     5 ms     2 ms     2 ms  141.219.232.2
  4     3 ms     2 ms     2 ms  141.219.183.122
  5     2 ms     2 ms     2 ms  141.219.183.97
  6     3 ms     2 ms     2 ms  207.75.40.9
  7     8 ms     7 ms     7 ms  198.108.22.41
  8    25 ms    25 ms    25 ms  198.108.22.97
  9    25 ms    25 ms    25 ms  207.72.112.46
 10    25 ms    25 ms    26 ms  209.85.254.120
 11    26 ms    26 ms    26 ms  209.85.243.53
 12    26 ms    25 ms    25 ms  173.194.46.38

Trace complete.

-----------------------------------------------------------------------------------------------------------------
VPN, from public interface. I can't figure out how to have it try from the private interface.
Traceroute start...
traceroute: Warning: google.com has multiple addresses; using 173.194.46.110
traceroute to google.com (173.194.46.110), 30 hops max, 40 byte packets
source interface: Public (141.219.233.110)
 1  mx80-07-001-resnet-wads-5.tc.mtu.edu (141.219.232.2)  0.388 ms  0.359 ms  0.342 ms
 2  mx960-07-001-rtr-z03-eerc.tc.mtu.edu (141.219.183.122)  0.360 ms  0.354 ms  0.327 ms
 3  mx80-07-002.tc.mtu.edu (141.219.183.97)  0.442 ms  0.406 ms  0.450 ms
 4  xe-0-0-3.hgtn-cor-mtu.mich.net (207.75.40.9)  0.437 ms  0.440 ms  0.403 ms
 5  vlan47.iron-mt-gigsw1.mich.net (198.108.22.41)  5.54 ms  6.83 ms  6.62 ms
 6  xe-5-0-1x69.eq-chi2.mich.net (198.108.22.97)  23.2 ms  23.1 ms  23.4 ms
 7  207.72.112.46 (207.72.112.46)  23.5 ms  23.2 ms  23.4 ms
 8  209.85.254.128 (209.85.254.128)  23.5 ms  27.5 ms  23.6 ms
 9  209.85.245.225 (209.85.245.225)  23.8 ms  23.8 ms  23.9 ms
10  ord08s13-in-f14.1e100.net (173.194.46.110)  23.5 ms  23.7 ms  23.4 ms
Trace complete.

Mam serwery DNS klienta w wersji 8.8.8.8 i 8.8.4.4 w ustawieniach interfejsu IPv4, a także serwery DNS routera.

Tabela routingu dla VPN to

Address         Mask            Next Hop        Interface   Protocol    Age     Metric
0.0.0.0         0.0.0.0         141.219.232.1   2           Default     0       1
141.219.232.0   255.255.254.0   0.0.0.0         2           Local       0       1
192.168.1.0     255.255.255.0   0.0.0.0         1           Local       0       1

Naprawdę nie rozumiem, co to znaczy. Zakładam, że wstępna klasa sieciowa, którą, mam nadzieję, przyjmie następną jesień, będzie pomocna w tym, ale teraz jest mniej niż użyteczna.

.

Ostatecznym celem jest po prostu lepsze korzystanie z publicznego Wi-Fi gdzieś, tylko po to, aby móc uruchomić wszystko przez VPN. Również udziały okien dostępu.

Co więc mogę zrobić, aby dowiedzieć się, co robię źle?

mtfurlan
źródło

Odpowiedzi:

0

Wyobrażam sobie, że rozpoznawanie nazw działa dobrze, gdy twoje komputery z systemem Windows łączą się z Internetem bez przechodzenia przez VPN. Jeśli tak, oznacza to, że problem leży w obsłudze ruchu na porcie 53 w Twojej sieci Schoold, i możesz spróbować obejść to, dodając określone trasy do serwerów nazw Google za pośrednictwem routera (192.168.1.1), co spowoduje, że żądania DNS zostaną usunięte twojej szkolnej VPN. Możesz spróbować tego jako eksperymentu, pamiętając, że musisz jawnie dodać 8.8.4.4/8.8.8.8 w ustawieniach IPv4, oprócz zapewnienia tras.

To dziwne zachowanie jest związane z praktyką bezpieczeństwa mającą na celu zapobieganie statycznym IP w sieci LAN, ponieważ są one trudniejsze do zidentyfikowania.

MariusMatutiae
źródło
Co masz na myśli, dodając określone trasy do serwerów nazw Google w routerze? Ustawiłem 8.8.8.8/8.8.4.4 jako serwery DNS na routerze (jak również na kliencie Windows, jak już wspomniałem). Czy o to Ci chodziło?
mtfurlan
Jedyne elementy routingu, które mogę znaleźć dla ddwrt, to rzeczy do radzenia sobie z podsieciami.
mtfurlan
Proponuję wypróbować rozwiązanie. Jeśli nie działa, wyłącz komputer z systemem Windows, a my wrócimy do pierwszego. Na komputerze z systemem Windows podaj polecenie: route add 8.8.8.0 mask 255.255.255.0 192.168.1.1 Sprawdź teraz, czy nazwy hostów można rozwiązać, ładując dowolną zewnętrzną stronę internetową.
MariusMatutiae
Dobra, po wykonaniu tego nie mogę pingować google.com. Tracert do wersji 8.8.8.8 jest taki sam do kroku 10 w tracert w pytaniu, a następnie trzy razy, a następnie do 8.8.8.8 w kroku 17. Czy jest to przydatne?
mtfurlan
Czytałem trochę o tym, jak działają tabele routingu i nie wiem, jak by to pomogło, ponieważ wciąż mogę pingować 8.8.8.8 przez VPN. Ponadto, gdyby tylko prosił szkolne serwery DNS o rozwiązanie nazw, nadal rozwiązywałoby to problem i działało poprawnie. (Nie patrz, jak to się mogło stać, ponieważ cały ruch przechodzi przez VPN).
mtfurlan