web-dev-qa-db-ja.com

VPNを使用している場合、DNS要求は誰が解決しますか?

VPNプロバイダーまたは元のISP(「自動」設定のままになっている場合)によって解決されますか?リクエストがISPによって解決されないように(プライバシーリスクを構成するため)、DNSサーバーを手動で構成する必要がありますか?

vpndns
41
user7848

要求は、構成されているIPに渡されます。したがって、DNSがまだISPのDNSである場合は、はい、それでもISPにドメイン名の解決を依頼することになります。

16
Lucas Kauffman

VPNの構成方法に応じて、VPNとインターネットに同じDNSを使用する場合と使用しない場合があります。 VPNは(通常)システム上の追加のIPスタックのようなものであり、個別のDNSサーバーアドレスを構成できます。しかし、すべてのシステムがこれを行うわけではありません。

  1. VPNがVPNセッションに新しいDNSを割り当てない場合は、メインのインターネットIPスタックで構成されたDNSサーバーを引き続き使用します。これは、外部DNSが内部アドレスを解決できない場合(または、内部アドレスを外部に知られたくない場合)に問題がある可能性があります。
  2. VPNがを実行する場合新しいDNSを割り当てます-たとえば DHCPオプション6 "DNSサーバー" を使用して、次のことができます。 VPN用とインターネット用の異なるDNSサーバー。 VPNサービスと同様に、OSはこれをサポートする必要があります。両方のスタックに同時にトラフィックを送信すると、これは「スプリットモード」になります。
  3. 最後のオプションは、VPNをトンネルモードで操作し、すべての通信(インターネットを含む)をVPNスタック経由で送信することです。この場合、VPNを使用しているときは、すべてのDNSがVPNのDNSを使用します。すべての内部トラフィックが確実にVPNに留まるため、これがおそらく最も安全な方法です。
49
Mark Beadles

ああ、私はこれはかなり答えられていることを知っていますが、結局のところ、真の答えはサーバーとクライアントの両方の構成方法に完全に依存しているため、ここで答えをもう少し明確にしたかったのです。つまり、vpnトンネルがすべてのトラフィックをリダイレクトする必要がないことと、VPNサーバーがdnsサーバーを割り当てる必要がないことです。

**詳細に入る前に、私はこれを言います。Windowsでは、CLIを開いて「nslookup localhost」と入力し、CLIを確認することで、DNSがVPNによって渡されているかどうかを確認できます。上。同様に、ubuntuを使用している場合は、「nmcli dev list iface eth0 | grep IP4」** *を使用できます。 VPNに接続する前後にこれを実行しても、リストされているDNSサーバーが変更されない場合は、VPNによってDNSが割り当てられていません。 *Linuxを使用している場合、VPNサーバーが設定されていても、ほとんどのVPN実装はDNSサーバーを割り当てません。

A)使用しているvpnの実装b)使用しているOSまたはc)サーバーとクライアントのvpn設定で許可されているかどうかに基づいて、VPNを介してdnsサーバーが割り当てられる場合と割り当てられない場合があります。もう1つのよくある間違いは、管理者またはroot権限なしでvpnクライアントを実行することです。 (これにより、いくつかのオプションのみが変更されることが多く、VPNが機能しているように見えます。)

支払い可能なほとんどのVPNサービスは、VPNトンネルを介してすべてのIPトラフィックをリダイレクトするように構成されます。 (openvpnでは、サーバーオプションは "redirect-gateway"です。)これにはDNSトラフィックが含まれます。すべてのトラフィックをリダイレクトするVPN接続では一般的ではありませんが、DNSサーバーも割り当てられないため、どちらかの質問。 DNSサーバーがVPNサーバーによって割り当てられていないが、ゲートウェイがリダイレクトされている場合、DNSトラフィックは宛先に到達する前にトンネルを通過するだけです。 (ルックアップは遅いですが機能します。)

企業環境で人気のある一般的でエレガントなvpn実装は、vpnサーバーにDNSサーバーを割り当てさせ、デフォルトゲートウェイをリダイレクトしないようにすることです。これにより、アプリケーションサーバーなどの内部DNSレコードを持つものへの接続が可能になります。これは、プライベートIPアドレスを持っているためです。一方、Webサイトなどの公的にアクセス可能なものは、パブリックにルーティング可能なIPアドレスを持っているため、通常のようにインターネットを通過します。 (これは、IPがVPNよりもルーティングされる方法の関数です。)

VPNの高度に構成可能な性質のため、vpnには本質的に無限の多様性とスタイルがありますが、ほとんどのvpnトーンはこれら2つのスタイルを中心に展開する傾向があることを知ってください。

(ああ、詳細についてはこの記事をチェックしてください。) OpenVPNルーティングとブリッジング

12
italics

私は答えを探していて、それをテストしました。次の設定を変更し、wiresharkでアダプターを監視しました。

Windowsでは、LANアダプターの優先順位を設定できます。あなたのVPNアダプタが独自のIP設定を受け取った場合。独自のdns-serverエントリを持つdhcpから、およびプライマリ物理LANアダプターにもdns-entryが構成されている場合、ウィンドウは最も優先度の高いアダプターからのdnsサーバーを使用します。 Windowsでは、オプションメニューでこの優先順位を設定できます。そこから、さまざまなLANアダプターを構成できます(IPアドレスなど)。 Altキーを押し(拡張メニューバーを表示するには)、[詳細設定]-> [詳細設定]に移動します。リストでは、優先順位は、矢印記号で変更できるアダプターの上から下の順序で決定されます。

3
Mario

Vpn接続を行った後の0.0.0.0ルートの設定方法によって異なります。それがあなたのVPN GWを通過する場合、どのIPを使用するかは関係ありませんが、どのように到達するかは関係ありません。

永続的なルートをいつでも定義して、ローカルGWがDNS要求を出力できるようにすることができます。

2
Scheed