Удаленный vpn сервер ip или dns хост

Обновлено: 06.07.2024

На этом шаге вы настроите параметры DNS и брандмауэра для VPN-подключения.

Настройка разрешения имен DNS

При подключении удаленных VPN-клиентов они используют те же DNS-серверы, что используются внутренними клиентами, что позволяет им разрешать имена так же, как и остальные внутренние рабочие станции.

Поэтому необходимо убедиться, что имя компьютера, используемое внешними клиентами для подключения к VPN-серверу, совпадает с альтернативным именем субъекта, определенным в сертификатах, выданных VPN-серверу.

Чтобы удаленные клиенты могли подключаться к VPN-серверу, можно создать запись DNS A (узел) в внешней зоне DNS. Запись A должна использовать альтернативное имя субъекта сертификата для VPN-сервера.

Добавление записи ресурса узла (A или AAAA) в зону

На DNS-сервере в диспетчер сервера выберите средства, а затем — DNS. Откроется диспетчер DNS.
В дереве консоли диспетчера DNS выберите сервер, которым требуется управлять.
В области сведений в поле имя дважды щелкните зоны прямого просмотра , чтобы развернуть представление.
В области сведения о зонах прямого просмотра щелкните правой кнопкой мыши зону прямого просмотра, к которой нужно добавить запись, а затем выберите новый узел (a или AAAA). Откроется диалоговое окно новый узел .
В поле имянового узла введите альтернативное имя субъекта сертификата для VPN-сервера.
В поле IP-адрес введите IP-адрес VPN-сервера. Вы можете ввести адрес в формате IP версии 4 (IPv4), чтобы добавить запись ресурса узла (A) или формат IP версии 6 (IPv6) для добавления записи ресурса узла (AAAA).
Если вы создали зону обратного просмотра для диапазона IP-адресов, включая введенный IP-адрес, установите флажок создать связанную запись указателя (PTR) . При выборе этого параметра создается дополнительная запись ресурса указателя (PTR) в зоне обратных передач для этого узла на основе информации, введенной в поле имя и IP-адрес.
Выберите Добавить узел.

Настройка пограничных брандмауэров

Брандмауэр пограничной сети отделяет внешнюю сеть периметра от общедоступного Интернета. Визуальное представление этого разделения см. на рисунке в статье Always on общие сведения о технологии VPN.

Брандмауэр пограничной сети должен разрешать и перенаправлять определенные порты на VPN-сервер. Если на пограничном брандмауэре используется преобразование сетевых адресов (NAT), может потребоваться включить перенаправление портов для UDP-портов 500 и 4500. Перешлите эти порты на IP-адрес, назначенный внешнему интерфейсу VPN-сервера.

При маршрутизации входящего и исходящего преобразования сетевых адресов (NAT) на VPN-сервере или за его пределами необходимо открыть правила брандмауэра, чтобы разрешить передачу UDP-портов 500 и 4500, входящих в общий интерфейс на VPN-сервере.

В любом случае, если брандмауэр поддерживает глубокую проверку пакетов и у вас возникли трудности при установке клиентских подключений, следует попытаться ослабить или отключить глубокую проверку пакетов для сеансов IKE.

Сведения о том, как внести эти изменения в конфигурацию, см. в документации по брандмауэру.

Настройка брандмауэра внутренней сети периметра

Брандмауэр внутренней сети периметра разделяет организацию или корпоративную сеть из внутренней сети периметра. Визуальное представление этого разделения см. на рисунке в статье Always on общие сведения о технологии VPN.

В этом развертывании VPN-сервер удаленного доступа в сети периметра настроен как клиент RADIUS. VPN-сервер отправляет трафик RADIUS на NPS в корпоративной сети и получает трафик RADIUS от NPS.

Настройте брандмауэр, чтобы разрешить передачу трафика RADIUS в обоих направлениях.

Сервер NPS в организации или корпоративной сети работает как сервер RADIUS для VPN-сервера, который является клиентом RADIUS. Дополнительные сведения о инфраструктуре RADIUS см. в разделе сервер политики сети (NPS).

Порты трафика RADIUS на VPN-сервере и сервере NPS

По умолчанию NPS и VPN прослушивают трафик RADIUS на портах 1812, 1813, 1645 и 1646 на всех установленных сетевых адаптерах. если при установке NPS включить Windows брандмауэр с повышенной безопасностью, то исключения брандмауэра для этих портов создаются автоматически в процессе установки как для IPv6, так и для трафика IPv4.

если серверы сетевого доступа настроены на отправку трафика radius через порты, отличные от этих по умолчанию, удалите исключения, созданные в Windows брандмауэре с повышенной безопасностью во время установки NPS, и создайте исключения для портов, используемых для трафика RADIUS.

Использовать те же порты RADIUS для конфигурации брандмауэра внутренней сети периметра

При использовании конфигурации порта RADIUS по умолчанию на VPN-сервере и сервере NPS убедитесь, что в брандмауэре внутренней сети периметра открыты следующие порты:

Если вы не используете порты RADIUS по умолчанию в развертывании NPS, необходимо настроить брандмауэр таким образом, чтобы он разрешал трафик RADIUS на используемых портах. Дополнительные сведения см. в статье Настройка брандмауэров для трафика RADIUS.

Дальнейшие действия

Шаг 6. настройка клиента Windows 10 Always On VPN-подключениях. на этом шаге вы настраиваете клиентские компьютеры Windows 10 для взаимодействия с этой инфраструктурой с vpn-подключением. для настройки Windows 10 VPN-клиентов можно использовать несколько технологий, в том числе Windows PowerShell, Microsoft Endpoint Configuration Manager и Intune. Для всех трех требуется профиль VPN в формате XML, чтобы настроить соответствующие параметры VPN.

Вопрос так и стоит

Иными словами, IP адрес внутренней сетки пингуется, а по имени не идет.

Т.е. DNS-ы работают "не в той" последовательности.

Печаль в том, что заработают в "той" последовательности, отвалится родная сеть. Ну она не полностью отвалится, PPTP подключение будет продолжать работать.

Все верно, подключение будет, и будет работать. но как быть с именами?

Видимо, это стоит оставить до лучших времен, когда Microsoft , что нибудь придумает.

Поскольку красивых решений никто не смог предложить, кроме как ручками передвигать адреса DNS серверов, или прописывать в файле hosts, локальные привязки имен к адресам.

итого прошло 9 лет. есть ли адекватное решение. я не нашла

как было описано выше, исходная ситуация такая:

1) LAN адаптер, который подключен к LAN1 и получает ip адрес и DNS для сети LAN1

2) VPN соедиение в сеть заказчика LAN2, адаптер VPN содениения получает ip адрес и dns из сети заказчика.

2) VPN соединение L2tp\IPsec в сеть заказчика (в офис), адаптер VPN соединения получает ip адрес и dns из сети заказчика

никакие записи в hosts не прописывались

The DNS Client service queries the DNS servers in the following order:

The DNS Client service sends the name query to the first DNS server on the preferred adapter’s list of DNS servers and waits one second for a response.
If the DNS Client service does not receive a response from the first DNS server within one second, it sends the name query to the first DNS servers on all adapters that are still under consideration and waits two seconds for a response.
If the DNS Client service does not receive a response from any DNS server within two seconds, the DNS Client service sends the query to all DNS servers on all adapters that are still under consideration and waits another two seconds for a response.
If the DNS Client service still does not receive a response from any DNS server, it sends the name query to all DNS servers on all adapters that are still under consideration and waits four seconds for a response.
If it the DNS Client service does not receive a response from any DNS server, the DNS client sends the query to all DNS servers on all adapters that are still under consideration and waits eight seconds for a response.

If the DNS Client service receives a positive response, it stops querying for the name, adds the response to the cache and returns the response to the client.

If the DNS Client service has not received a response from any server within eight seconds, the DNS Client service responds with a time-out. Also, if it has not received a response from any DNS server on a specified adapter, then for the next 30 seconds, the DNS Client service responds to all queries destined for servers on that adapter with a time-out and does not query those servers. Only computers running Windows 2000 or Windows Server 2003 return this time-out.

If at any point the DNS Client service receives a negative response from a server, it removes every server on that adapter from consideration during this search. For example, if in step 2, the first server on Alternate Adapter A gave a negative response, the DNS Client service would not send the query to any other server on the list for Alternate Adapter A.

Итак, вы хотите узнать, выбрать ли DNS или DNS для вашего домашнего сервера? В этой статье мы сравним VPN с DNS или, как некоторые скажут, VPN с сервисами Smart DNS. К концу этой статьи вы должны знать различия между ними, а также преимущества использования одного или другого. Это позволит вам принять обоснованное решение. Выберите этот лучший VPN и DNS для вашего домашнего сервера с этим небольшим, но полезным руководством.

VPN против DNS: что это?

Для начала нужно понять основные понятия. Что такое VPN? Что такое DNS? Как они могут помочь мне защитить мой просмотр и позволить мне получать доступ к геолокационному контенту (например, телеканалам Netflix и США за пределами доступных стран)? Некоторое время назад мы написали небольшое руководство, в котором говорили об использовании VPN с Kodi . В этой статье вы можете найти общее представление о том, что такое VPN-сервис.

По сути, если вы используете службу VPN, вы заставляете удаленные веб-сайты «думать», что просматриваете их из какого-то другого места. Что действительно происходит, так это то, что вы подключаетесь через сервер, который перенаправляет ваше соединение. Это может иметь дополнительное преимущество: шифровать ваше общение, защищать вашу конфиденциальность и предоставлять вам доступ к геолокационному контенту. Шифрование может защитить вас во время просмотра или потоковой передачи контента (например, с помощью аддонов Kodi).

Могу ли я защитить свой просмотр с помощью DNS?

Если вы сравниваете услуги VPN и Smart DNS, вам необходимо знать, что служба DNS или Smart DNS не защищает вашу конфиденциальность или активность в Интернете. Все, что он делает – это разрешает доступ к геолокированному контенту. Конечно, при попытке выбрать лучшие альтернативы VPN и DNS важно сравнить их и выбрать то, что соответствует вашим потребностям. В качестве альтернативы вы можете использовать SmartDNS и VPN почти по той же цене, что и VPN.

VPN против Smart DNS: что я должен получить?

В этот момент может показаться, что вы должны получить VPN, поскольку он делает больше вещей. Он сохраняет вас в безопасности и разблокирует контент для вас. Интеллектуальный DNS позволяет разблокировать только контент с географической привязкой и ничего не делать в интересах вашей конфиденциальности. Однако службы Smart DNS имеют преимущества перед VPN, что может заставить вас задуматься о том или ином.

Какой сервис VPN и DNS лучший?

Качество имеет цену, поэтому держитесь подальше от услуг VPN или DNS, которые утверждают, что предлагают эти функции бесплатно: связанные с этим риски значительно перевешивают возможные выгоды. Однако это не означает, что лучший сервис должен быть дорогим. Используя программное обеспечение, такое как IPVanish или StrongVPN, вы получите поддержку компаний, которые стремятся предоставить своим клиентам лучший опыт. Если вы не можете решить, что получить, вы можете положиться на такие сервисы, как StrongVPN, которые предлагают возможности VPN и DNS почти по цене только VPN ( ). Таким образом, все ваши потребности в сетевой безопасности и гео-разблокировке контента будут удовлетворены.

Решение при сравнении VPN с DNS может быть трудным, но в конечном итоге это будет зависеть от того, что вам нужно и что вы хотите сделать. Заинтересованы в получении контента на вашем HTPC? Используйте один из 10 лучших фильмов-дополнений Kodi или 10 лучших приложений для потоковой передачи Android , и не забудьте правильно использовать VPN или DNS, если вам это нужно!

09.04.2020

Windows 10, Windows Server 2016

комментариев 18

В Windows 10 при активном VPN подключении в режиме Force Tunneling (включена опция “Use default gateway on remote network”/ “Использовать основной шлюз в удаленной сети”) для разрешения имен через службу DNS используются DNS сервера и суффиксы, настроенные для VPN подключения. Соответственно, вы теряете возможность резолвить DNS имена в своей локальной сети и пользоваться Интернетом через внутреннюю LAN.

При этом с Windows 10 можно выполнить ping до ресурсов в вашей LAN сети (пропингуйте ваш шлюз, соседний компьютер или принтер), но по имени они не доступны, т.к. Windows пытается разрешить имена в локальной сети через DNS сервера, указанные для VPN соединения.

В Google я нашел рекомендации по отключению IPv6 на локальном (LAN) подключении и это работает (если вы хотите использовать Force-Tunneling).

Если для VPN подключения используется режим Split Tunneling (снята галка “Use default gateway on remote network”), вы можете пользоваться интернетом через свою локальную сеть, но не можете резолвить DNS адреса в удаленной VPN сети (в этом случае не помогает отключение IPv6).

Нужно понимать, что Windows отправляет DNS запрос с сетевого интерфейса, у которого высший приоритет (меньшее значение метрики интерфейса). Допустим, ваше VPN подключение работает в режиме Split Tunneling (вы хотите пользоваться интернетом через свою LAN и корпоративными ресурсами через VPN подключение).

С помощью PowerShell проверьте значение метрик всех сетевых интерфейсов:

Get-NetIPInterface | Sort-Object Interfacemetric

На картинке выше видно, что у локального Ethernet подключения указана более низкая метрика (25), чем у VPN интерфейса (в этом примере 100). Соответственно, DNS трафик идет через интерфейс с более низким значением метрики. Это значит, что ваши DNS запросы отправляются на ваши локальные DNS сервера, а не на DNS сервера VPN подключения. Т.е. в такой конфигурации вы не можете резолвить адреса во внешней VPN сети.

Computer Configuration -> Administrative Templates -> Network -> DNS Client-> Turn off smart multi-homed name resolution = Enabled.

Или командами (для Windows 8.1):

Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name DisableSmartNameResolution -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" -Name DisableParallelAandAAAA -Value 1 -Type DWord

В Windows 10 Creators Update (1709) и выше DNS запросы отправляются на все известные DNS сервера по порядку, а не параллельно. Вы можете увеличить приоритет конкретного DNS, если уменьшите его метрику.

Соответственно, изменение метрики позволит вам отправлять DNS запросы через тот сетевой интерфейс (LAN или VPN), разрешение имен через который для вас более приоритетно.

Вы можете изменить метрику интерфейса через графический интерфейс, PowerShell или команду netsh.

Например, вы хотите, чтобы DNS запросы отправлялись через VPN подключение. Вам нужно увеличить метрики ваших локальных LAN подключений, чтобы они стали больше 100 (в моем примере).

Откройте Панель управления -> Сеть и Интернет -> Сетевые подключения, откройте свойства вашего Ethernet подключения, выберите свойства протокола TCP/IPv4, перейдите на вкладку “Дополнительные параметры TCP/IP”. Снимите галку “Автоматическое назначение метрики” и измените метрику интерфейса на 120.

Тоже самое можно сделать командами PowerShell управления сетью (используйте индекс вашего LAN интерфейса, полученный с помощью командлета Get-NetIPInterface ):

Set-NetIPInterface -InterfaceIndex 11 -InterfaceMetric 120

Или netsh (нужно указать имя вашего LAN подключения)

netsh int ip set interface interface="Ethernet 3" metric=120

Аналогично вы можете уменьшить значение метрики в свойствах VPN подключения.

Также вы можете изменить настройки вашего VPN подключения, изменив режим на SplitTunneling и указать DNS суффикс для подключения c помощью PowerShell:

Читайте также: