Ubuntu 18.04 mit dnsmasq verursacht DNS-Lecks

1021
Kickass

Dieses Problem bringt mich dazu, mir die Haare auszureißen, da ich einfach nicht glauben kann, dass dnsmasq standardmäßig so arbeiten kann.

Es ist absolut absurd

ok so dnsmasq ist installiert 2.79-1

Der Server wird als VPN-Server verwendet, wobei Strongswan und IPSec verwendet werden.

/etc/dnsmasq.conf:

bind-interfaces interface=eth0 cache-size=500 no-negcache no-hosts domain-needed resolv-file=/etc/resolv.dnsmasq no-poll

/etc/resolv.conf:

nameserver 127.0.0.1

/etc/resolv.dnsmasq:

nameserver 8.8.8.8 nameserver 8.8.4.4

Jetzt kann ich DNS-Abfragen durchführen

ABER

Anfragen werden an 8.8.8.8 weitergeleitet. 8.8.8.8 sieht also die Client-IP nicht die Server-IP

Dadurch werden DNS-Lecks erstellt, und der VPN-Server ist praktisch unbrauchbar.

Wie kann dies eine Standardkonfiguration sein und wie kann ich dies beheben, damit die Server-NATs die DNS-Abfragen und die Client-IP immer geschützt sind?

BEARBEITEN

Eine andere Lösung wäre, den DNS-Server in strongswan config anzugeben, aber soweit ich gelesen habe, dass strongswan keine dynamischen IPs in der Eigenschaft rightdns zulässt, muss eine IP-Adresse angegeben werden, weshalb sie derzeit auf die öffentliche IP des VPN-Servers eingestellt ist . Oder wenn ich den VPN-Server auf der IPSec-Schnittstelle IP einstellen könnte; zum Beispiel 10.10.10.254.

Vielleicht gibt es einen einfachen Weg, das zu tun ???

0
Warum benennen Nameserver die Clients, die sie verwenden? davidgo vor 5 Jahren 0
Tut mir Leid, ich spreche nicht diese Sprache ... Kickass vor 5 Jahren 0
Welchen Kunden benutzen Sie? Verwenden Sie IKEv2 oder IKEv1? Ist L2TP beteiligt? grawity vor 5 Jahren 0
Ich habe mehrere Clients ausprobiert. Ich versuche, die eingebauten Funktionen so weit wie möglich beizubehalten, so dass Windows-Client, Gnome-Netzwerkmanager und Plugins sowie StrongSwan auf Android integriert sind. Kickass vor 5 Jahren 0
IKEv2 ausschließlich; kein L2TP Kickass vor 5 Jahren 0
Ich hatte es satt, zu versuchen, Dnsmasq zu zwingen, etwas zu tun, was es standardmäßig tun sollte, und habe auf ungebunden gewechselt. Das hat den Trick mit fast keiner Konfiguration nötig gemacht und ich habe DNSSEC ohne DNS-Lecks mit Leichtigkeit zum Laufen gebracht. Ehrlich gesagt ungebunden fühlte sich das Setup und die Funktionsweise viel natürlicher an. Sogar die Konfigurationen sind sinnvoller Kickass vor 5 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme