web-dev-qa-db-ja.com

Mac上のCiscoAnyConnectVPNを介してDNSサーバーを再注文または「優先順位付け」する

Mac(10.13.6)にCisco AnyConnectがあり、DNS解決は内部ホスト名に対して正しく機能します。 scutilの出力は正常に見えます:

2015MBP:~ craig$ scutil --dns
DNS configuration

resolver #1
  search domain[0] : dns1.mycompany.com
  search domain[1] : dns2.mycompany.com
  search domain[2] : hsd1.ma.comcast.net
  nameserver[0] : 10.xx.xx.xx (<-- AN INTERNAL COMPANY IP)
  nameserver[1] : 10.xx.xx.xx (<-- AN INTERNAL COMPANY IP)
  flags    : Request A records, Request AAAA records
  reach    : 0x00000002 (Reachable)
  order    : 1

resolver #2
  domain   : local
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300000

resolver #3
  domain   : 254.169.in-addr.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300200

resolver #4
  domain   : 8.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300400

resolver #5
  domain   : 9.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300600

resolver #6
  domain   : a.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 300800

resolver #7
  domain   : b.e.f.ip6.arpa
  options  : mdns
  timeout  : 5
  flags    : Request A records, Request AAAA records
  reach    : 0x00000000 (Not Reachable)
  order    : 301000

DNS configuration (for scoped queries)

resolver #1
  search domain[0] : hsd1.ma.comcast.net
  nameserver[0] : 192.168.1.1
  if_index : 5 (en0)
  flags    : Scoped, Request A records, Request AAAA records
  reach    : 0x00020002 (Reachable,Directly Reachable Address)

ただし、必要のないものに会社のDNSを使用していることに気付きました。

2015MBP:~ craig$ nslookup Apple.com
Server:         10.xx.xx.xx.   (<-- SAME COMPANY IP FROM ABOVE)
Address:        10.xx.xx.xx#53

Non-authoritative answer:
Name:   Apple.com
Address: 17.178.96.59
Name:   Apple.com
Address: 17.142.160.59
Name:   Apple.com
Address: 17.172.224.47

ホスト名の解決のためにISPに優先順位を付け、最初に失敗したルックアップに対してのみVPN DNSにフォールバックするようにmacOSに指示する方法はありますか?

networkingmacvpndnscisco-anyconnect
1
Craig Otis

これはanyconnectで修正する方法についてのあなたの質問に正確に答えるものではないことを理解していますが、openconnectを使用することであなたが探している結果を達成することができました。 VPN経由でルーティングする必要のあるアドレス/範囲がわかっている場合は、それらの静的ルートを手動で追加して、DNSサーバー@workを含むVPNインターフェースを経由することができます。次に、ルートを設定したら、メインインターフェイスのDNS設定で非プライマリオプションとして仕事用DNSサーバーを追加できます。二次/三次/四次/など。稼働中のDNSサーバーは、プライマリDNSで結果が見つからない場合にのみ照会されます。ルートを適切に設定すると、DNSクエリはVPNを介して自動的にルーティングされ、残りの作業用トラフィックもルーティングされます。

ただし、DNSを分割しているアプリケーションを使用している場合は、問題が発生する可能性があるため、そのことに注意してください。

*デフォルトルート(ネットワークアダプター1のデフォルトルートではなく、anyconnectによって設定されたルート)を削除するか、VPN接続のDNSサーバー設定を変更することで、anyconnectでそれを行うことができると思いますが、問題は、anyconnectが毎回設定を変更することです再接続します。 openconnectを使用すると、VPNが起動しているときはいつでも機能するVPNアダプターを介して永続的なルートを設定できました。

さらに詳しい情報が必要な場合はお知らせください。回答を編集できます。

1
apocalysque

設定は通常、ASA自体で構成されます。すべてのDNSクエリをVPNトンネル経由で送信するか、VPNトンネルと物理インターフェイス間で分割するかを指定できます。クライアントマシン(MAC)で使用して、最初にローカルDNSを介してDNS解決を強制し、次にVPNクライアントを介して提供されるDNSサーバーにフォールバックするために使用できる設定を認識していません。

0
Abu Zaid

他の人々は、異なるVPNクライアントで同じ問題を抱えているようです。 https://Apple.stackexchange.com/questions/73076/mac-os-x-mountain-lion-dns-resolving-uses-wrong-order-on-vpn-via-dial)にいくつかの回答があります-up-conne それは役立つかもしれません。

0
Tony