问题
我在我的域上部署了RRAS(PPTP - EAP和IKEv2 - PEAP),一切运行正常,但事实是 DNS后缀 没有提供给 苹果电脑 要么 Linux的 客户端。这意味着他们必须将FQDN用于网络上的所有内容(例如 ping server1.ad.domain.com 作品, ping server1 没有)。
所有 视窗 客户端(无论是否加入域)都会收到后缀,因此可以使用单个标签联系其他计算机(即不使用FQDN)。
在办公室本地运行时,所有客户端(无论操作系统)都能正常通信。
注意 :所有内容都配置为在同一子网上。
可能的原因
在过去几周调查此问题后,我认为这可能是由于没有收到该问题的Mac / Linux客户端 DHCP选项 (特别是 备选方案15 我已经成立了 服务器选项 在DHCP上并将其值设置为我的 内部域名 )。
我的印象是VPN客户端得到了 DNS服务器 来自RRAS服务器本身(他们正在做的)以及我想要设置的任何其他内容的详细信息必须在DHCP服务器上配置(例如,通过选项15的后缀)。
为了从DHCP服务器向VPN客户端提供这些选项,我相信我需要将RRAS服务器设置为 DHCP中继代理 我配置了以下内容:
- 服务器地址 (
Routing and Remote Access>DHCP Relay Agent>Properties):192.168.1.2(我的DHCP服务器的IP地址) - 接口 :内部(自动添加)和以太网(我的LAN NIC) - 我真的不确定这是否正确 - 我需要两者吗?
有了这个设置,Mac和Linux客户端仍然没有收到DNS后缀(我猜他们仍然没有收到 DHCP选项15 )。
RRAS服务器配置
我认为可能感兴趣的RRAS服务器的配置细节如下:
- OS :Windows Server 2016(Hyper-V客户端)
- 域 :加入域名
- NIC :单个NIC(NAT后面)
- 静态IP :192.168.1.7
- DNS服务器 (手动设置):192.168.1.2,192.168.1.1
- 后缀 :从组策略获取其主要后缀
- IPv4地址分配 :静态池(53个地址,不包括在DHCP服务器上的分配)
- 广播名称解析 - [勾选]
Mac(High Sierra) - scutil --DNS 产量
当Mac客户端连接到VPN并运行时 scutil --dns 命令,我得到以下输出。
DNS configuration
resolver #1
nameserver[0] : 192.168.1.2
nameserver[1] : 192.168.1.1
if_index : 9 (ipsec0)
flags : Request A records
reach : 0x00000002 (Reachable)
resolver #2
domain : local
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300000
resolver #3
domain : 254.169.in-addr.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300200
resolver #4
domain : 8.e.f.ip6.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300400
resolver #5
domain : 9.e.f.ip6.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300600
resolver #6
domain : a.e.f.ip6.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 300800
resolver #7
domain : b.e.f.ip6.arpa
options : mdns
timeout : 5
flags : Request A records
reach : 0x00000000 (Not Reachable)
order : 301000
DNS configuration (for scoped queries)
resolver #1
search domain[0] : Home
nameserver[0] : 192.168.9.1
if_index : 5 (en0)
flags : Scoped, Request A records
reach : 0x00020002 (Reachable,Directly Reachable Address)
resolver #2
nameserver[0] : 192.168.1.2
nameserver[1] : 192.168.1.1
if_index : 9 (ipsec0)
flags : Scoped, Request A records
reach : 0x00000002 (Reachable)
正如你在中看到的那样 DNS配置(用于范围查询) 部分,没有 搜索域名 列出的VPN连接(解析器#2)(即它没有在连接上设置后缀)。
如果我手动设置后缀为 搜索域名 在Mac上的VPN连接上,一切正常。
Linux(Ubuntu 18.04) - systemd-resolve --status 产量
当Ubuntu客户端连接到VPN并运行时 systemd-resolve --status 命令,我得到以下输出。
Global
DNS Domain: Home
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 3 (ppp0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.1.2
192.168.1.1
Link 2 (wlp2s0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.9.1
DNS Domain: Home
如你所见, 链接 对于VPN连接没有列出一个 DNS域名 (即它没有在连接上设置后缀)。
我试过的其他事情
我尝试了各种各样的事情,让它正常工作,这些是我记得的:
- 添加 DHCP选项119 到了 DHCP服务器选项 然后尝试它作为一个 范围选项 相反(使用配置 这个 指导,然后使用不同的方法 这个 ) -
no difference注意 :我认为只有当你想要额外的后缀超出选项15中设置的后缀时才需要选项119
- 为RRAS服务器添加了一个额外的虚拟网卡,并将其配置为DHCP(而不是静态IP),然后将其用作“广播名称解析”网卡 -
no difference - 改变了RRAS服务器 IPv4地址分配 至 DHCP 而不是静态池 -
no difference - 在RRAS服务器的NIC上手动设置连接后缀 -
no difference
我已经撤消了以上所有内容。
我确信这纯粹是我错过了配置的东西,所以希望有人可以指出我哪里出错了。
如果您还需要输出,信息等,那么我可以提供它们(我可以完全访问服务器)。
干杯,
枷锁