Sziasztok,
van az a jelenségem, hogy a Windows 10 egyszer csak elkezdte használni a DoH-ot (DNS over HTTPs) ami nagyon érdekes csakhát az vele a baj, hogy a belső hálózaton a kliens kérdezgesse csak a neki kijelölt (belső DNS szervereket). Ne nyúlkáljon ki nekem ki tudja, hogy hová?
Nem is tudom ez pontosan hogyan működik vagy hogyan kellene szabályozni.
Ami probléma akadt az nem biztos, hogy innen fakad de még rátesz erre egy lapáttal. Ugynis van egy cég akinek a domain neve például: ceg.hu. Ide akar beVPN-ezni a kliens majd a hálózat tagjaként a subnet.ceg.hu-ban elérni a hostokat. Ehhez a VPN kiépülése után a kapott belső DNS szervereket kellene szólongatnia. De! A cég domain kiszolgálójában van egy A record ami *.ceg.hu és a www.ceg.hu IP-jét adja vissza. Ezáltal amikor elindul a kliens gép és volt egy hivatkozás vagy egyéb ok miatt de fel akarja oldani a server.subnet.ceg.hu címet. Amint kijut a netre megkérdezi a DNS-eket amik a *.ceg.hu-s értéket adják vissza mert nincs ilyen bejegyzés a külső DNS-ben. Ezt be is cache-eli TTL szerint. A kliens kapcsolódik a VPN-hez és már hiába más a DNS kiszolgáló mivel be van cache-elve a server.subnet.ceg.hu ezért azt kapja és ez nem jó!
Kérdés, hogyan lehetne a VPN kapcsolat felépülésével a locális DNS cache ürítését kikényszeríteni? (#ipconfig /flushdns)
Hogyan lehet VPN kapcsolat során a DHCP azaz nem manuális beállítások esetén a DoH-ot letiltani!?
-thx-
- 197 megtekintés
Hozzászólások
Először is biztos vagy benne, hogy a Windows DoH-ozik? Nem véletlenül valamelyik alkalmazás (Firefox, Chrome stb.)?
Találtam két cikket, ami hátha segít:
- https://learn.microsoft.com/en-us/windows-server/networking/dns/doh-cli…
- https://4sysops.com/archives/secure-dns-requests-over-https-doh-in-wind…
- A hozzászóláshoz be kell jelentkezni
o.k. Nem tudom hogyan csinálja a windows. De pl. ha van egy File Manager beli elérési útvonal akkor azt az internet explorer illetve mostanság az edge kezeli. Vagy valamely része. Szóval lehet az edge csinálja de ha File managerbe beírod, hogy \\server.subnet.ceg.hu\ akkor feloldja a nevet. Ha gyorskeresőben vagy előzményben szerepelt akkor lehet nem is kell beírnod mert a windows maga tüsténkedik neked és feloldja a nevet. Szóval lehet valami 3th party software nem feltétlen az edge metódust használja. Vagy fene tudja. Na nem tudom ez manapság már hogyan zajlik?
Jók ezek a parancsoros vagy powershell-es minták csakhát ilyet nem lehet beírni a windows beépített VPN kapcsolódásakor. vagy legalább is én nem tudom, hogy kell. Szóval erre elviekben kellen legyen "rendes" megoldás is.
- A hozzászóláshoz be kell jelentkezni
Ugye ennek úgy kellene működnie, hogy kliensnek megmondom VPN paramétereket. Ő beállítja a saját számítógépébe és kapcsolódik a hálózatomhoz. Arr az időre én vagyok a főnök, de ha leszakad vagy lekapcsolódik akkor minden legyen az eredeti szerint.
- A hozzászóláshoz be kell jelentkezni