[MEGOLDVA] VPN névfeloldás macOS alatt - AWS

macOS

A megoldás: 

https://hup.hu/comment/2938594#comment-2938594

---

BYOD dolgozom, de mivel a cég nem támogat mac-et, így azzal a feltétellel kaptam engedélyt a saját eszközök használatára, hogy a support team nem tud nekem segítséget nyújtani, mert ugye mac.

Annyi baj legyen, gondoltam.

Beállítgattam a VPN-t, és itt jött a probléma. A VPN-re fel tudok csatlakozni, de a névfeloldás nem megy. Ha IP alapján hívom be a belsős oldalakat, akkor működik, de a domain neveket nem oldja fel. Van egy .ovpn file, ami a konfigurációt tartalmazza, de nem láttam benne DNS-re utaló bejegyzést.

Emlékszem, hogy mac alatt be kellett/lehetett állítani valamit, amiből tudja, hogy melyik DNS szervert használja, ha VPN-en vagyok.

A cuccaink nagy része AWS-ben van. Körbenéztem a Route53 beállításai között, de itt elfogyott a tudományom.

Tudja valaki, hogy merre tudnék tovább lépni?

Köszi!

Szerk: a Windowsos laptop itt van mellettem, azon működik a VPN rendesen, szóval ha van valami beállítás, amit onnan le tudnék lesni, az nem probléma.

Szerk2: az AWS Client VPN for Mac-et használom, ha az számít bármit is.

  • 617 megtekintés

( arpi_esp v | 2023. 07. 04., k – 13:14 )

ezt az AWS izet nem ismerem, mac-en openvpn-t a Tunnelblick-el szoktak hasznalni. de amugy a DNS konfigot a szervertol kellene kapnia.

( andras0602 | 2023. 07. 04., k – 14:12 )

Ez az AWS client vpn for mac OpenVPN alapú. Egy kis Google segíthet.

De ha téged ez az egész nem érdekel, ellenben pontosan tudod, hogy milyen DNS neveket tolnak le neked, akkor te magad is terelheted a cégeset a cégesre, a publikusat meg amerre szeretnéd (Google, Quad9, Cloudflare, stb.).
Elég egyszerű megoldás pl. dnscrypt-proxy-val. A publikus kéréseidet DoH keresztül publikus irányba, a munka releváns kéréseket pedig a megszokott módon, UDP-vel a céges névszerver felé.
A BYOD-ból eredően így az is kevésbé látszik majd, hogy mit normálatlankodsz HO-ban. ;)

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

A BYOD-ból eredően így az is kevésbé látszik majd, hogy mit normálatlankodsz HO-ban. ;)

Jogos, amit írsz, és délután el is gondolkodtam, hogy hogy oldjam ezt meg túl sok hackelés nélkül.

Most, hogy leültem a gép elé, mellettem a laptoppal, eszembe jutott az éjjeli topicom, és rájöttem, hogy tök egyszerű a dolog...

Csak két Mac (vagy egy iPad) kell hozzá, és a Universal Control :)

A gép, amin dolgozom, az mehet VPN-re fel, közben a másik ugyanúgy irányítható ugyanazzal a billentyűzettel, egérrel. Olyan mint egy második monitor, aminek a tartalma nem megy keresztül a VPN-en :)

Nem mellesleg valószínüleg így szeparálva (fő gép meló, másodlagos meg szórakozás) jobban is tudnék a munkára koncentrálni, főleg, hogy mint sokan mások, valószínüleg én is elkaptam ezt az édíécsdít, vagy micsodát.

Én is.

A mai tapasztalat eddig pozitív volt. Végre elővettem újra az laptop-álló-állványomat és néha felállva dolgoztam a laptopról, máskor leültem a Mac Mini elé és azon dolgoztam egy kicsit. A standupot a Mini elől a székben ülve, a délelőtti meetinget a laptopról, a kanapén ülve hallgattam végig :)

Nem mellesleg végre be tudok majd járni az irodába is (séta, vagy bicikli), nem kell a dög nehéz Dell-t cipelnem.

Már csak egy iPad Pro 13" kéne (nem tudom, hogy várjak-e vele az új megjelenéséig), hogy dokumentációt, Jira-t, Confluence-t, GitHub PR-okat is kényelmesen tudjak olvasgatni kanapéról, vagy egy kávézóban. Erre az iPad Mini kicsi. Azon jelenleg általában valami YouTube megy full screen, de szerintem beállítom majd valami dashboardnak, hogy mutassa a remindereimet, meg a következő meetinget, stb.

Szerk: ja, amúgy az Air-t migráltam a Mac Miniről (amit migráltam az M1 Air-ről, amit migráltam a 2015 13" MBP-ről, amit... :)), szóval gyakorlatilag mindegy, hogy melyiket használom, ugyanúgy van minden beállítva. A jövőben meg, ami változtatás fontos, azt megcsinálom a másikon is úgyis, ami meg nem, azzal meg nem kell foglalkozni :)

Melóban meg arra kell figyelnem, hogy mindig pusholjam a brancheimet.

Ja meg arra, hogy kilépjek az IntelliJ-ből, mert szokása összeakadni a licencnek, ha több gépen használod egy időben.

Nálam a céges gép VPN-je(nem OpenVPN, menedzselt gép) miatt nem működik néha a Universal Clipboard, egyébként nem rossz. Ami furcsa volt, hogy ha hozzáérek a céges gép TouchPad-jéhez, de a másikon egerezek és az egérmutató épp a másik géphez csatlakoztatott monitoron van, akkor visszaugrik a céges gép monitorjára. Ami végülis logikus, csak szokatlan, hogy ugrál a mutató az egyik monitorról a másikra.

( XMI | 2023. 07. 04., k – 14:26 )

Szerkesztve: 2023. 07. 04., k – 14:31

Arra figyelj, hogy Mac alatt ketfele DNS rendszer van. A brew-val es hasonlo modon felrakott command line toolok (pl host, nslookup, dig) mast hasznalnak, mint a nativ Mac-es alkalmazasok. Nekem nem openvpn van, hanem valami ceges Cisco-s, ami kifejezetten tudathasadasos allapotot idez elo. Csak a nativ DNS-ben tudja feloldani a VPN-en keresztuli domain neveket (beleertve az AWS-ben futo, R53 private resolver-es zonakat), a szokasos host es nslookup es tarsai ekozben a helyi otthoni routeremet tekintik DNS szervernek, es ertelemszeruen nem oldanak fel semmit a VPN-en keresztul.

A Mac sajat nativ DNS kezeleset hasznalva a dscacheutil nevu command line toolal tudsz lekerdezest csinalni:

dscacheutil -q host -a name <fqdn>

A standard unix CLI toolok konfigja a /etc/resolv.conf alatt van.

A nativ DNS konfig pedig az

scutil --dns

commanddal kerdezheto le. Itt lehet kb millio konkret domain-suffix specifikus kivetel, kb mintha egy nagyon bonyolult dnsmasq konfigod lenne, azzal a kulonbseggel, hogy ez nem ad localhost:53-on DNS szolgaltatast.

Régóta vágyok én, az androidok mezonkincsére már!

( persicsb | 2023. 07. 04., k – 15:04 )

Ha ez egy sima OpenVPN valójában, akkor miért nem importálod közvetlenül OpenVPN kliensbe az ovpn fájlt? Miért az Amazon rebrandelt custom kliensével dolgozol?

Mert nem értek hozzá :)

De eddig elég jó tippeket kaptam fentebb, kipróbálom ezt is!

Szerk: kipróbáltam az OpenVPN klienst, de nem sok szerencsével. Valószínüleg azért használunk AWS VPN klienst (ez a cégesen támogatott), mert 2FA van. Ez úgy manifesztálódik, hogy az AWS VPN kliens megnyit egy oldalt a böngészőben, amit utána rögtön be lehet zárni. Gondolom ez az authentikációval van összefüggésben (ha jól emlékszem nem kellett usernév/jelszóval szórakoznom, amikor beállítottam az AWS VPN klienst).

Mindenesetre próbálkozom tovább.

( Hevi v | 2023. 07. 04., k – 17:35 )

Köszi a segítséget mindenkinek fentebb!

Az összes komment segített kontextusba helyezni a dolgokat, szóval egy kis guglizás után ráakadtam erre a szálra és erre a commentre:

Having MacOS M2 with 13.3.1, I have (I had) the same issue with all VPN connections (regardless the system used, at least with SonicWall, Fortinet, WatchGuard, Ivanti).

I found a quite dirty but worky solution: after the connection being established, and the /etc/resolv.conf being updated, I explicitly set the DNS back to something public.

For example:

networksetup -setdnsservers "Wi-Fi" 8.8.8.8

That did the thing for all aforementioned VPN clients.

https://discussions.apple.com/thread/254321365?answerId=259019612022#25…

Én jelenleg kézzel szerkesztem a /etc/resolve.conf-ot: kikommenteltem a

nameserver 127.0.0.1

sort, és most úgy néz ki, hogy működik a névfeloldás rendesen!

Köszi a segítséget mégegyszer mindenkinek!