DNS解析隧道分离测试-F5 APM

于 2023-09-05 10:51:54 发布
阅读量124 收藏
点赞数
分类专栏: DNS F5 文章标签: github linux 运维 负载均衡
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44184011/article/details/132337403
版权
F5 同时被 2 个专栏收录
7 篇文章 0 订阅
订阅专栏
DNS
4 篇文章 0 订阅
订阅专栏

在使用VPN的情况下,如果涉及到同时需要访问公私网的域名,那么对于私网域名应该到内网DNS服务器解析,对于客户端来说,怎么能将私网域名的DNS解析流量引导到隧道中,到达内网DNS服务器进行解析。这里使用F5的APM模块搭建VPN隧道,进行实验。
环境:
内网DNS服务器 10.1.10.240
公网DNS服务器 跟随系统
VPN隧道地址 10.1.10.20
1、不配置域名解析公私网分离,隧道下发内网DNS服务器地址
这里搭建了一个VPN,并且向客户端下发内网DNS服务器的地址。
使用wireshark抓包分析,左边抓的是公网网卡,右边抓的是内网网卡。使用dig命令测试公网域名解析,DNS解析全部走隧道,隧道获取不到结果。
在这里插入图片描述
2、配置域名解析公私网分离
curl访问公网域名,先到私网DNS服务器解析,再到公网DNS服务器解析。实现DNS的公私网分离。
在这里插入图片描述

更换域名验证,同上
在这里插入图片描述
3、实现原理测试

由于配置参数比较多,对DNS的相关参数进行了测试。最后得到结果,调整如下参数后,只剩下单边DNS解析流量,全部去往公网,无法访问和解析。说明该参数是实现域名解析公私网分离的关键。
在这里插入图片描述

在这里插入图片描述

4、原理分析

查看官方对该参数的解释,如下:
这里理解是将VPN的DNS设置为主用DNS,本地的DNS设置为备用DNS

`When this setting is enabled, APM continuously checks the DNS order on the network interface, and sets the network access-supplied entries first in the list if they change during a session. To use your local DNS settings as primary and the network access-supplied DNS settings as secondary, clear this setting. This might be useful w`hen split tunneling is in use and the client connects remotely.

查看VPN隧道建立后,本机的DNS配置:
可以看出来,隧道建立以后,自动把私网DNS加入到所有网卡的DNS里,包括公网网卡里。利用了windows对多DNS解析尝试的机制,来实现同时使用公私网DNS服务器进行解析。测试环境的内网DNS服务器,对于不存在的域名会直接回应REFUSED,所以客户端会直接尝试下一个DNS服务器。
如果DNS服务器对不存在的域名不作回应的话,Windows系统过1秒之后也会尝试下一个DNS服务器。

无线局域网适配器 WLAN 2:

   连接特定的 DNS 后缀 . . . . . . . : 
   描述. . . . . . . . . . . . . . . : Realtek 8811CU Wireless LAN 802.11ac USB NIC
   物理地址. . . . . . . . . . . . . : 24-69-8E-8E-D5-19
   DHCP 已启用 . . . . . . . . . . . : 是
   自动配置已启用. . . . . . . . . . : 是
   IPv4 地址 . . . . . . . . . . . . : 172.16.21.2(首选) 
   子网掩码  . . . . . . . . . . . . : 255.255.252.0
   获得租约的时间  . . . . . . . . . : 2023年8月17日 9:21:55
   租约过期的时间  . . . . . . . . . : 2023年8月18日 3:25:52
   默认网关. . . . . . . . . . . . . : 172.16.20.1
   DHCP 服务器 . . . . . . . . . . . : 172.16.20.1
   DNS 服务器  . . . . . . . . . . . : 10.1.10.240
                                       223.5.5.5
                                       223.6.6.6
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

5、windows server DNS解析机制
查了一下没有查到windows系统,只查到了windows server的DNS解析机制:

0	客户端查询列表的第一个 DNS 服务器
1	如果 1 秒后没有收到响应,则客户端查询列表中的第二个 DNS 服务器
2	如果再过 1 秒没有收到响应,客户端再次查询列表中的第二个 DNS 服务器
4	如果超过 2 秒没有收到响应,客户端同时查询列表中的所有服务器
8	如果再过 4 秒没有收到响应,客户端同时查询列表中的所有服务器
10	如果再过 2 秒没有收到响应,则客户端停止查询
三五青年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值