Hi, ich versuche mich daran die Reihenfolge der zur Verfügung stehenden DNS-Server zu beeinflussen. Verbinde ich mich mit einem VPN, werden die mit der VPN-Konfiguration gelieferten DNS-Server des entfernten Netzes in die resolv.conf als erste Einträge hinzugefügt. Die Folge ist, dass lokale Hostnamen nicht mehr aufgelöst werden da die externen DNS diese (und die ganze Zone .intern) nicht kennen. Abgesehen davon werden ja nun sämtliche DNS Anfragen an den entfernten DNS gesendet. Das belastet das VPN nur unnötig. Lt. sysconfig/network/config und netconfig(8) soll man dieses Verhalten per NETCONFIG_DNS_RANKING ändern können. Aber NETCONFIG_DNS_RANKING="-vpn" bewirkt hier keine Änderung des Verhaltens. Muss ich nach der Änderung in der sysconfig/network/config noch etwas anstoßen damit der Wert genutzt wird? Ein Lösung wäre es sicherlich die (vorgegebene) VPN-Konfig zu bearbeiten und dort die externen DNS zu entfernen ... dann wäre das Verhalten fast wie gewünscht, die FQDN im VPN müsste ich dann anders auflösen ... aber der Weg eben nicht. ;-) Perfekt wäre es wenn der resolver abhängig von der Zone den passenden DNS ansprechen würde. (Domain des VPN -> Frage den DNS der mit der VPN-Konfig kam; alles andere -> frage den lokalen DNS) Ideen? Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
Hallo Bernd, hallo zusammen, Am Donnerstag, 30. März 2023, 10:51:04 CEST schrieb Bernd Nachtigall:
Perfekt wäre es wenn der resolver abhängig von der Zone den passenden DNS ansprechen würde. (Domain des VPN -> Frage den DNS der mit der VPN-Konfig kam; alles andere -> frage den lokalen DNS)
Wenn Du selbst lokal einen DNS-Resolver (z. B. unbound oder dnsmasq) betreibst, geht das recht problemlos - Du musst dem lokalen DNS nur sagen, welcher DNS-Server für *.meinvpn.de zuständig ist. (Und dem VPN verbieten, Deine resolv.conf zu ändern ;-) Ich mache das mit unbound - Config auf Anfrage. (Ich nutze für VPN-Ziele feste DNS-Server, dynamisch je nach DHCP-Auskunft des VPN habe ich das noch nicht gebraucht.) Positiver Nebeneffekt eines lokalen DNS-Resolvers ist, dass Du auch noch andere Nettigkeiten machen kannst - ich "erde" z. B. tausende Werbe- und Tracking-Domains, damit der Ad-Blocker weniger zu tun hat ;-) Gruß Christian Boltz -- For the internet search graveyard I beg a pardon, yes it is a comma not a colon - the guy that named ";" a semi-colon will forever be hated by me as it is in some sense also a semi-comma. [ChristianEhrhardt in https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1686621]
participants (2)
-
Bernd Nachtigall
-
Christian Boltz