не удается разрешить имя VPN сервера, порт открыт

Андрей Корж

Системный администратор, специалист по оптимизации программного обеспечения и сетевых технологий

При подключении к интернету время от времени возникают проблемы, одна из которых – ошибка 868. Сообщение о ней периодически всплывает при попытках установить интернет-соединение. Мы расскажем, как исправить ошибку 868.

. 

Что это за ошибка

Проблема возникает при установке соединения домашнего компьютера с VPN сервером поставщика услуг. Таким способом подключения пользуются соединения типа L2TP или PPTP, например, оператор «Билайн».

Более ранние операционные системы в этом случае отображают всплывающее окно, в котором написано «Удаленное подключение не установлено, так как не удалось разрешить имя сервера удалённого доступа».

Для начала убедитесь, что интернет-кабель надежно вставлен в соответствующий разъем и подключение по локальной сети активно.

Для исправления ошибки разберемся, как она появляется.

Причины возникновения

Ошибка подключения 868 появляется независимо от вида установленной операционной системы. Суть ошибки в том, что портативное устройство не может определить адрес VPN сервера – системы, принимающей подключение при пользовании Интернетом.

Этот сервер через центральный офис просматривает сведения о филиалах. В случае домашней сети основным офисом является провайдер, а филиалом – клиент. При невозможности определить IP-адрес провайдера к нему невозможно подключиться.

Ошибка 868 при подключении к интернету Билайн появляется в результате того, что ПК не имеет сведений по наименованию сервера, к которому необходимо обратиться. Ошибка 868 при подключении VPN устраняется несколькими способами, которые мы рассмотрим далее.

Предварительные действия

Прежде чем приступить к более сложным методам, чтобы устранить код ошибки 868, стоит рассмотреть следующие несложные действия, которые могут привести к ее появлению:

1. Имеет ли устройство прямой доступ к интернету? Кабель сети должен быть плотно вставлен в сетевой разъем. Нередко бывает, что у пользователей он выскакивает.
2. Проверьте, работает ли маршрутизатор, подключен ли он в сеть.

Методы устранения ошибки

Если после проделанных предварительных действий ошибка 868 при подключении VPN не исчезла, рассматриваем следующие способы.

Подключение в центре сетей

Рассмотрим первый способ на примере ОС Windows 10.

1. В трее внизу справа щелкаем на значок интернета правой кнопкой мыши и выбираем «Параметры сети и Интернет».
2. Выбираем пункт «Настройка параметров адаптера».  Затем наблюдаем за доступными сетевыми подключениями.
3. Кликаем правой кнопкой мыши на нужное подключение к сети интернет, которое обычно называется «Высокоскоростное подключение», и после появления соответствующего контекстного меню смотрим первый пункт. Там должно быть «Отключить».
4. Если отображается функция «Включить», следовательно, сетевое подключение отсутствует. Запускаем его нажатием данной кнопки.

Настройки DNS-сервера

Пользователь  может иметь проблему на своей стороне с конфигурацией DNS-сервера, в результате чего появляется ошибка 868 у Билайна и интернет не запускается.

1. Открываем «Параметры сети и Интернет» и выбираем «Настройка параметров адаптера».
2. Правой кнопкой мыши кликаем на нужную сеть и в открывшемся контекстном меню открываем опцию «Свойства».
3. Появившееся окно свойств подразумевает выбор строки «IP версия 4» или для поздних операционных систем «TCP/IPv4».
4. В открывшемся окне должны стоять маркеры напротив «Получить IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически».
5. После того, как установлены все параметры, закрываем все окна с сохранением и проверяем подключение к Интернету. Если ошибка не исчезла, очищаем кэш DNS-сервера.
6. Открываем «Командную строку». Для этого в окне поиска, рядом с пуском (значок Windows) пишем одноименное название приложения. Прописываем команду «ipconfig /flushdns». Нажимаем «Enter».
7. Ждем, пока обрабатывается команда, закрываем окно, проверяем доступ к Интернету.

Если указаны альтернативные настройки, это определенно может стать причиной того, что ПК не удается разрешить имя VPN-сервера Билайн.

Отключена служба DNS

Некорректное функционирование службы DNS становится причиной возникновения значений 868. Проверку производим с соблюдением следующих действий.

1. Правой кнопкой мыши кликаем на кнопку «Пуск» и открываем контекстное меню, в котором выбираем пункт «Управление компьютером».
2. В появившемся окне открываем меню «Службы».
3. В открывшихся свойствах DNS-клиента выставляем параметры в соответствии с изображением: «Тип запуска – автоматически», «Состояние – выполняется».

Чтобы выставить соответствующие параметры, нажимаем кнопку «Остановить» и выбираем тип запуска. Нажимаем “Запустить”, закрываем окно и проверяем доступ в глобальную сеть.

Проверка адреса IPv4

1. Проверка текущего IP-адреса ПК: сочетанием клавиш Win+R отрываем диалоговое окно, где вводим команду cmd. Нажимаем «ОК».
2. В открывшейся командной строке прописываем команду «ipconfig» и нажимаем «Enter». Корректная настройка IP-адреса VPN сервера подразумевает отображение адреса, который начинается с 10.
3. Данная информация находится напротив строки IPv4-адрес в командной строке.

Если адрес начинается с любых других цифр, следовательно, проблему в подключении имеет клиент, а не провайдер. В этом случае перезагружаем маршрутизатор и перепроверяем.

Проблемы с сетевым экраном

Причиной возникновения проблем доступа в интернет может стать состояние сетевого экрана, а точнее – блокировка порта 53, который напрямую определяет наличие доступа к DNS-серверу.

1. Открываем «Панель управления» и выбираем категорию «Система и безопасность».
2. Открываем категорию «Брандмауэр Защитника Windows».
3. В появившемся окне выбираем «Дополнительные параметры».
4. Открывшееся меню файервола содержит правила. В разделе «Правила для входящих подключений» не должен быть заблокирован порт 53. Если он там есть, удаляем из списка правил, поскольку порт должен быть открыт.

Сетевой экран производит блокировку всего входящего трафика. Конфигурация брандмауэра требует тщательного изучения на возможные блокировки. Корректная настройка сопровождается наличием специальных знаний сетевых технологий.

Переустановка драйвера сетевого адаптера

В процессе подключения к интернету Beeline ошибка 868 может появляться из-за неисправной работы драйвера сетевого адаптера, в результате чего потребуется его переустановка.

1. Прежде чем переустановить драйвер, идентифицируем его. Открываем меню «Пуск» и в строке поиска вводим «Диспетчер устройств». В открывшемся меню выбираем «Сетевые адаптеры».
2. Открываем необходимый контроллер и заходим во вкладку «Драйвер».
3. Нажимаем на кнопку «Обновить драйвер».

Дожидаемся завершения обновления драйвера и снова пробуем подключиться к сети.

Заблокирован порт 53

Заблокированный порт 53 – это блокировка запросов DNS. Некоторые пользователи боятся, что их взломают и навредят системе, поэтому по незнанию блокируют все системы сетевых подключений. В правилах системы безопасности, брандмауэра операционной системы, содержится информация  по заблокированным портам протоколов TCP IP и UDP. Даже если появляется ошибка 868 порт открыт, это говорит о готовности системы к соединению, но оно не проходит.

Брандмауэр может блокировать все без исключения, поэтому для системы безопасности создаем разрешающее правило конкретно для порта 53.

Еще один вариант – пробуем полностью отключить брандмауэр и антивирусные программы.

Сканирование системы на вирусы

Безопасность операционной систем является основополагающим фактором для стабильной работы оборудования. Запускаем сканирования по средствам антивирусной программы, которая после обработки данных выдает перечень опасных для системы файлов. Производим удаление каждого вредоносного электронного документа. После чистки проводим повторную диагностику, перезагружаем систему и снова пробуем подключаться к глобальной сети.

Проблемы на оборудовании провайдера

Если вышеописанные рекомендации не помогли, проблема кроется в оборудовании провайдера. Для исключения этого варианта рекомендуется обратиться в службу технической поддержки провайдера. Если проблема появления ошибки 868 на их стороне, они вам об этом сообщат.

Ошибка появляется при использовании VPN

VPN выступает в качестве виртуальной частной сети, когда множество компьютеров объединяется в отдельно закодированную сеть с доступом в Интернет.  При использовании такого подключения также может появляться ошибка 868 порт открыт.

В этом случае запускаем брандмауэр в режим повышенной безопасности (Пуск → Администрирование → Требуемый пункт). Левая сторона окна имеет «Правила для исходящего подключения», где создаем правило для порта с протоколом TCP. В следующее диалоговое окно вводим значение 53 (Поле – «Определенные удаленные порты»). Отмечаем «Разрешить подключение», вводим любое имя и сохраняем. Те же действия проделываем с протоколом UDP.

Ничего не помогло

Если перечисленные рекомендации не помогают устранить всплывающую ошибку при подключении к сети, рекомендуется обратиться в техническую поддержку интернет провайдера. Будьте готовы сказать номер договора. Специалисты горячей линии вам помогут: в соответствии с вашей операционной системой продиктуют подробные инструкции по устранению ошибки.

Если на стороне провайдера нет никаких проблем с оборудованием и подключением к интернету, и дистанционно  решить проблему не удается, к вам в ближайшее время направят специалиста по сетевым технологиям.

Чтобы не усугубить проблему с подключением, не испортить настройки, пользуемся именно этим способом для устранения любых проблем, связанных с подключением к интернету.

vpn ошибка | Настройка оборудования

Ошибка 868 — Удаленное подключение не удалось установить, поскольку не удалось разрешить имя сервера удаленного доступа — как правило появляется при VPN-подключении (PPTP и L2TP) в операционных системах Windows 7, Windows 8 и Windows 8.1. Чаще всего с Ошибкой 868 обращаются абоненты Билайн, Аист, ТТК и Уфанет. В предыдущих версиях Windows такая ошибка не встречалась.

Причины появления ошибки 868.

1. Ошибка 868 появляется из-за того, что указан неправильный DNS-сервер.

Такое часто встречается, когда на подключении по локальной сети, которое смотрит в сторону провайдера, в настройках протокола Интернета TCP/IP прописан неправильный адрес DNS-сервера, либо он вообще не прописан и стоят пустые значения. Тогда, Windows при попытке подключения не может соединится с VPN-сервером, так как не может преобразовать хостнейм сервера в IP-адрес и потому выдается Ошибка 868. Решение следующее:
Нажимаем комбинацию клавиш Win+R и в строке открыть пишем команду ncpa.cpl

Нажимаем кнопку OK и попадаем в «Сетевые подключения» компьютера. Выбираем «Подключение по локальной сети», через которое подключены к провайдеру. Кликаем на нем правой кнопкой, в контекстном меню выбираем пункт Свойства. Откроется окно свойств Подключения по локальной сети. Вы списке компонентов выбираем «Протокол Интернета версии 4 (TCP/IPv4)»:

В подавляющем большинстве случаев в сети провайдера есть DHCP-сервер, который поможет получить IP-адрес, поэтому убедитесь, что стоят галочки «Использовать IP-адрес автоматически» и «Получить адрес DNS-сервера автоматически»:

Нажимаем ОК и проверяем подключение.

2. Ошибка появляется из-за того, что отключена служба DNS-клиента.

Служба  DNS-клиент в Windows XP, Windows 7, Windows 8 и Windows 8.1 включена по-умолчанию. Но бывают случаи, когда из-за системного сбоя или в результате работы вируса эта служба отключена. Тогда опять же не будет правильно обрабатываться запрос и Windows будет выдавать ошибку.
Проверим, активна ли служба DNS-клиент. Для этого нажимаем комбинацию клавиш Win+R и в строке Открыть пишем команду services.msc:

Попадаем в список системных служб Windows. Ищем службу «DNS-клиент (DNS-client)» и смотрим её состояние.

Она должна быть активна и запускаться в автоматическом режиме. Если это не так — исправьте и перезагрузите компьютер.

3. Ошибка появляется из-за того, что заблокирован порт 53.

Ещё одна причина появления Ошибки 868 — паранойя пользователей. Бесспорно, за безопасностью в Интернете надо следить и без брандмауэра(фаерволла) в Интернет лучше не выходить. Но у некоторых пользователей страх перед взломом преобладает над здравым смыслом и они начинают блокировать все что ни попадя, в том числе и запросы DNS. Поэтому открывайте правила вашей системы безопасности и проверяйте в них — не заблокирован ли порт 53 протокола TCP и UDP. Не смотрите при этом, что в ошибке написано «Порт открыт». Тут имеется ввиду, система готова к соединению, но оно не проходит.
Если у Вас в брандмауэр настроен таким образом, что блокирует абсолютно все, кроме того, что прописано в правилах — создайте разрешающее правило для порта 53 протокола TCP и UDP:

4. Ошибка появляется из-за проблем на оборудовании провайдера.

Да, к сожалению на оборудовании операторов связи тоже случаются сбои. Если возникли какие-то проблемы с DNS-сервером провайдера — у Вас тоже может появляться Ошибка 868. Чтобы исключить такой вариант развития событий — обратитесь в техническую поддержку. Если проблема на стороне оператора — Вам об этом сообщат.

Если ничего не помогло и Ошибка 868 все равно появляется.

Приведенные выше советы позволяют устранить ошибку 868 подключения Windows 7 и Windows 8 в подавляющем большинстве случаев. Если же они не помогли, то скорее всего Вам придется переустанавливать операционную систему.

Ошибка подключения 868 на Билайн в Windows 7, 8, 10

В России VPN-соединения используются провайдерами редко — это не очень удобное и не совсем практичное решение. Из крупных — только Билайн, где для подключения к локальной сети используется DHCP, а для Интернет-подключения — L2TP. При попытке соединения с VPN-сервером на компьютере может выскочить ошибка 868 — «Удаленное подключение не установлено, поскольку не удалось разрешить имя сервера удалённого доступа». Выше, на скриншоте, изображено окно ошибки на Windows 7. На операционных системах Windows 8 и Windows 10 она выглядит так:

Суть же одна — системе не удаётся получить IP-адрес сервера провайдера, к которому надо подключиться. Что делать в этом случае и как исправить ошибку подключения 868?! 

Шаг 1. Начните с того, что откройте свойствах VPN-соединения:

На вкладке «Общие» правильность адреса сервера:

У Билайн — он должен быть:

tp.internet.beeline.ru

В случае с Уфанет, МТС или Акадо телеком — уточните его в поддержке оператора.
Иногда бывает такое, что адрес случайно сменили. Само-собой, что подключиться больше не получится.

Шаг 2. Проверьте настройки DNS на сетевом подключении. Откройте свойства «Подключения по локальной сети Ethernet»:

Найдите пункт «Протокол Интернета Версии 4» и кликните по нему дважды:

Проверьте чтобы стояла галочка «Получить адрес DNS-сервера автоматически». Если там стоят какие-то другие адреса, то скорее всего работать ничего не будет. Дело в том, что обычно VPN-сервер находится в локальной сети провайдера и если прописаны не его ДНСы, то они в локалке вообще не работают.
Так же, можно попробовать уточнить адреса ДНС-серверов провайдера в технической поддержке.

Шаг 3. Сбросьте кеш клиента DNS. Для этого запускаем командную строку Windows — нажимаем клавиши WIN+R и пишем команду: cmd.

Нажимаем «ОК» и получаем окно командной строки:

Пишем команду:

ipconfig /flishdns

И нажимаем на Enter. Если команда отработала успешно, то получите ответ «Successfully flushed the DNS Resovker Cashe».

Шаг 4.  Проверяем работу ДНС-клиента Windows. Открываем рабочий стол и кликаем на значок «Компьютер».
В открывшемся меню выбираем пункт «Управление»:

Запуститься окно «Управление компьютером».
В меню находим раздел Службы и приложения >>> Службы:

Так же сюда можно попасть, если нажать клавиши Win+R и ввести команду: services.msc. Справа, в списке служб, находим пунт DNS-клиент и проверяем чтобы в столбце «Состояние» стояло значение «Выполняется», а «Тип запуска» — «Автоматически».
Так же попробуйте перезапустить её, кликнув по ссылке, отмеченной на рисунке стрелочкой.

Если ни один из шагов не помог — звоните в техподдержку Билайн или иного провайдера, услугами которого Вы пользуетесь. Больше никто не сможет помочь!

Ошибка 868 при подключении vpn: что делать?

Виртуальная частная сеть (vpn) объединяет множество компьютеров в отдельную (например, корпоративную) зашифрованную сеть с доступом в интернет. При подключении к такой сети нового ПК последние версии windows нередко выдают пользователю 868 код ошибки с оповещением, что «Порт открыт».

И в данной статье мы разберемся, что означает ошибка 868 при подключении vpn, и как исправить «удаленное подключение» на windows 7.

К слову, данный код ошибки никак не связан с поставляющим домашний интернет провайдером, и подобное сообщение виндовс одинаково «радует» как абонентов билайн, так и ростелеком, ттк, уфанет и т.д.

Что означает ошибка 868 «Порт открыт»?

Если у вас дома не подключается интернет, и windows 7 выдает сообщение «не удалось установить удаленное подключение», значит соединение данного ПК с vpn сервером невозможно по причине запрещенного имени этого сервера. То есть IP адрес сервера не значится в списке разрешённых адресов

Почему возникает ошибка подключения 868 на windows (7, 8, 10)?

• 1. Наиболее вероятной причиной данной ошибки является то, что при настройке подключения к интернету, в пункте TCP/IP вписан неверный IP сервера DNS. Возможно, что это поле вообще не имеет никаких данных, то есть пустое. В обоих случаях система не сможет создать подключение к VPN серверу, ввиду того, что имя хоста не преобразуется в IP.
• 2.  Возможно, не запущен (или полностью отключен) сервис DNS клиента. В принципе, этот сервис по умолчанию настроен на автоматический запуск при входе в систему, но, вследствие системного сбоя windows или вирусной атаки, DNS клиент может отключиться.

• 3.  Также часто бывает закрытым 53-й порт, вследствие его блокировки брандмауэром.
• 4.  Технические проблемы (плохие контакты или разрывы) в системе соединения (кабелях).
• 5. Проблемы с оборудованием у провайдера.

Как исправить 868 ошибку?

1. Зайдите в «Сетевые подключения»: (Панель управления → Центр управления сетями и общим доступом → Изменение параметров адаптера) или (Клавиши WIN+ R → ввести NCPA.CPL → OK). Щёлкните правой клавишей по «Локальной сети» и откройте окно свойств.

Далее откройте пункт «TCP/IPv4» и установите разрешающие пометки, для автоматического получения адресов IP и DNS сервера. Затем попробуйте подключиться к сети.

2. Откройте консоль «Службы». (Пуск → Администрирование → Службы) или (WIN+R → введите «SERVICES.MSC» → OK).

Если сервис DNS клиента не работает, настройте его запуск на «Автоматически» и принудительно запустите.

3. Запустите «Брандмауэр в режиме повышенной безопасности». (Пуск → Администрирование → Требуемый пункт) или (WIN+R → ввод «WF.MSC» → OK). Далее, в левой стороне окна выделите «Правила для исходящего подключения». В меню «Действие» щёлкните по пункту «Создать правило» и выберите «Для порта» с протоколом TCP. В следующем диалоге введите в поле «Определённых удалённых портов» номер 53. Далее пометьте «Разрешить подключение» и все профили. Введите какое-нибудь имя и «OK». После этого повторите процедуру с протоколом UDP.

4. Вызовите техника для проверки кабельного соединения.

5. Узнайте в технической поддержке о наличии проблем у провайдера.

Удаленное подключение не было выполнено, поскольку имя сервера удаленного доступа не было разрешено —

Если вы получите ‘Удаленное соединение не было установлено, потому что имя сервера удаленного доступа не было разрешеноСообщение об ошибке при подключении к VPN может быть связано с проблемой VPN-сервера или с подключением к вашему ПК. Еще во времена Windows 7 эта ошибка получала специальный код ошибки, который был 868, однако в Windows 10 код ошибки был удален.

В наши дни виртуальные частные сети используются почти везде, и некоторые из нас используют их в качестве основного соединения. Однако, если вы попали в гущу таких ошибок, связанных с VPN, все может быть очень неприятно. Тем не менее, вам не нужно больше беспокоиться, так как эта статья проведет вас через возможные решения, которые вы можете реализовать.

Причины «Удаленное подключение не было установлено, поскольку имя сервера удаленного доступа не удалось устранить» в Windows 10?

Ну, есть не так много факторов, которые могут вызвать проблему, однако всякий раз, когда это происходит, это обычно происходит по следующим причинам:

• VPN-сервер: в некоторых случаях ошибка может быть связана с проблемой сервера в сети, к которой вы пытаетесь подключиться.
• Подключение к системе. Другой причиной ошибки могут быть сетевые подключения вашей системы. Иногда это может быть связано с вашим DNS-кешем и т. Д.
• Сторонний антивирус: сторонний антивирус, установленный в вашей системе, также может вызвать ошибку. Ваш антивирус может накладывать ограничения, из-за которых появляется ошибка.

Вы можете изолировать свою проблему, следуя приведенным ниже решениям. Мы призываем вас следовать им в том же порядке, как указано ниже, чтобы быстро решить проблему.

Решение 1. Сброс DNS и сброс Winsock

Как мы упоминали выше, ошибка иногда может быть вызвана из-за вашего кеша DNS. Кроме того, ваши сетевые подключения также могут играть роль в возникновении ошибки. Следовательно, чтобы обойти проблему, вам придется очистить кэш DNS и сбросить Winsock. Вот как это сделать:

1. Нажмите Windows Key + X и выберите Командная строка (администратор) из списка, чтобы открыть командную строку с повышенными правами.
2. Когда откроется командная строка, введите следующую команду:

   ipconfig / flushdns

   Очистка кеша DNS

   ipconfig / registerdns

3. После этого введите следующие команды:

   ipconfig / release
   ipconfig / renew

   Обновление IP
4. Затем, чтобы сбросить Winsock, введите следующую команду и нажмите Enter:

   Netsh winsock reset

   Сброс Winsock
5. Перезагрузите систему, а затем проверьте, устраняет ли она проблему.

Решение 2. Отключите сторонний антивирус

Вы также можете попытаться решить эту проблему, отключив сторонний антивирус. Установленные антивирусы накладывают определенные ограничения на работу вашей системы, включая сетевые подключения. Поэтому, чтобы исключить возможность возникновения проблемы у стороннего антивируса, его необходимо отключить. После отключения попробуйте снова подключиться к VPN.

Решение 3. Отключите брандмауэр Защитника Windows

Брандмауэр Защитника Windows отвечает за управление входящими и исходящими запросами на подключение. В некоторых случаях вы не можете подключиться к VPN, поскольку брандмауэр Защитника Windows блокирует запрос. В таком случае вам придется отключить его на некоторое время и посмотреть, решит ли он проблему. Чтобы отключить брандмауэр Windows, выполните следующие действия.

1. Перейти к Стартовое меню и открыть Панель управления.
2. Установить Просмотр по в Большие иконки а затем нажмите Брандмауэр Защитника Windows.
3. На левой стороне, нажмите ‘Включение или отключение брандмауэра Защитника Windows».
4. Удостовериться ‘Отключить брандмауэр Защитника Windows’Выбирается под обеими настройками и затем нажимается OK.
   Отключение брандмауэра Защитника Windows
5. Проверьте, решает ли это проблему.

Если это по-прежнему не решает вашу проблему, вам придется связаться с вашим провайдером VPN и отправить свои запросы там.

Разрешение DNS в Windows 10 через VPN-соединение не работает

Я запустил новую установку Windows 10 на виртуальной машине, чтобы протестировать ее, увидев эту проблему на каждой физической машине Win10, которая у меня есть. Я проверил все ответы в этой теме, и ни один из них не сработал. Я обнаружил, что решение состоит в том, чтобы объединить ответы, размещенные здесь «Кинаном» и «ECC-Dan»:

http://answers.microsoft.com/en-us/windows/forum/windows_10-networking/win-10-dns-resolution-of-remote-network-via-vpn/513bdeea-0d18-462e-9ec3-a41129eec736 ? page = 1

Панель управления> Центр управления сетями и общим доступом> Изменить настройки адаптера> Щелкните правой кнопкой мыши адаптер Ethernet или Wi-Fi> Свойства> дважды щелкните IPv4> Дополнительно> Снимите флажок Автоматическая метрика> введите 15 для метрики интерфейса> ОК> ОК.

На той же странице свойств дважды щелкните IPv6> Дополнительно> Снимите флажок Автоматическая метрика> введите 15 для метрики интерфейса> ОК> ОК.

Проблема решена только после изменения обоих параметров. Я тестировал замену одного из них обратно, и он снова сломался. После изменения обоих я запустил nslookup из командной строки, и он вернул DNS-сервер в удаленной сети, к которой подключен VPN, где, как в противном случае, он вернул бы локальный DNS-сервер.Затем я использовал захват Wireshark на интерфейсе Ethernet, выполнил несколько запросов на случайные веб-сайты и убедился, что DNS-пакеты не были захвачены. Это доказывает, что после внесения изменений DNS-запросы отправляются ТОЛЬКО через VPN-соединение, а не одновременно по всем соединениям (что известно как утечка DNS в Win10). Так что это тоже часть решения проблемы утечки DNS Win10:

https://medium.com/@ValdikSS/beware-of-windows-10-dns-resolver-and-dns-leaks-5bc5bfb4e3f1#.7ppsn1nda

Обратите внимание, что для устранения утечки DNS сначала необходимо выполнить описанные выше действия. Затем вам нужно установить два значения реестра. В связанных статьях указан только один, который сам по себе не решает проблему в новых сборках Win10. Установите эти значения реестра:

  Ключ: HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ DNSClient
Значение: DisableSmartNameResolution
Данные: 1

Ключ: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Dnscache \ Parameters
Значение: DisableParallelAandAAAA
Данные: 1
  

Только после этого поведение вашего DNS-клиента вернется к тому, что было в Win7.Вы должны задаться вопросом, как это прошло через QA в Microsoft.

Windows 10: удаленный VPN-клиент не может определить DNS домена

КБ ID 0001402

Проблема

Я настраивал решение VPN на испытательном стенде, пока смотрел на Always On VPN. Когда я заметил, что у меня проблема с удаленными VPN-подключениями в Windows 10. Они могли подключиться нормально, но я не мог разрешить какие-либо полные доменные имена для своего домена?

Решение

По умолчанию все (Windows) VPN-подключения являются «принудительным туннелем» (это означает, что для них выбран параметр «Использовать шлюз по умолчанию в удаленной сети»).Это также означает, что (если только ваш сервер удаленного доступа не является шлюзом по умолчанию для вашей сети) у вас обычно нет доступа в Интернет при подключении к VPN.

Теперь я подключился нормально, и я мог пинговать IP-адреса в своей корпоративной сети, но я не мог пинговать свои серверы по их доменному имени, на самом деле Windows пыталась разрешить мое доменное имя в общедоступный IP-адрес ?

Погуглите эту проблему, и вам просто предложат «Отключить IPv6 на вашей сетевой карте, и это сработает (если вы хотите, чтобы ваши удаленные пользователи были принудительно туннелированы»).Но отключение IPv6 вряд ли можно исправить?

Также, если вам нужен доступ в Интернет для ваших удаленных клиентов (обычно называемый «разделенным туннелем»), то даже с отключенным IPv6 проблема возвращается!

Почему это происходит? Что ж, даже с включенным принудительным туннелем вы все равно можете использовать локальную локальную сеть (подключитесь к своей VPN и пропингуйте свой домашний шлюз, принтер или точку беспроводного доступа, если вы мне не верите!) Это подключение имеет приоритет над вашей удаленной VPN. соединение, чтобы доказать это, запустите команду netstat -rn .

Из приведенного выше вы можете видеть, что мой адаптер Ethernet имеет метрику 6, а мой VPN-коннектор (в данном случае называемый шаблоном подключения) имеет метрику 23. И САМЫЙ НИЗКИЙ WINS , поэтому ваши DNS-запросы выходят из строя. ваше локальное интернет-соединение НЕ по туннелю VPN!

Как это исправить?

Ну, пока Microsoft не исправит это в Windows 10 (это нормально в Windows 8 и более ранних версиях), вам придется самостоятельно манипулировать метриками, вот так;

На вашем физическом адаптере ;

Пуск> ncpa.cpl {enter}> щелкните правой кнопкой мыши свой сетевой адаптер> «Свойства»> «Протокол Интернета версии 4″> «Свойства».

Дополнительно> Снимите флажок «Автоматическая метрика»> Установите метрику интерфейса на 20 > ОК> ОК> ОК.

на вашем VPN-коннекторе;

Пуск> ncpa.cpl {enter}> Щелкните правой кнопкой мыши свой VPN-коннектор> Свойства> Протокол Интернета версии 4> Свойства.

Дополнительно> Снимите флажок «Автоматическая метрика»> Установите метрику интерфейса на 10 > ОК> ОК> ОК.

Теперь ваши DNS-запросы должны работать!

Статьи по теме, ссылки, источники или внешние ссылки

NA

DNS через VPN не работает в Windows 10

DNS-серверы и суффиксы, настроенные для VPN-подключений, используются в Windows 10 для разрешения имен с помощью DNS в режиме Force Tunneling (включен параметр « Использовать шлюз по умолчанию в удаленной сети »), если ваше VPN-подключение активно.В этом случае вы не можете разрешить DNS-имена в своей локальной сети или получить доступ в Интернет через внутреннюю локальную сеть.

В то же время вы можете проверить связь с любыми ресурсами в вашей локальной сети (попробуйте проверить связь с IP-адресом вашего шлюза, соседнего компьютера или принтера). Они доступны только по IP-адресам, но не по именам хостов. Дело в том, что Windows 10 пытается разрешить имена хостов в вашей локальной сети через DNS-серверы, указанные в настройках VPN-подключения.

Я нашел несколько рекомендаций по отключению протокола IPv6 для вашего локального (LAN) интерфейса, и это поможет, если вы хотите использовать режим принудительного туннелирования.

Если вы используете Split Tunneling (опция « Использовать шлюз по умолчанию в удаленной сети » не отмечена) для вашего VPN-соединения, вы можете получить доступ к Интернету из вашей локальной сети, но вы не можете разрешить DNS-адреса в удаленной VPN. сеть (отключение IPv6 здесь не помогает).

Вы должны понимать, что Windows отправляет DNS-запрос от сетевого интерфейса, который имеет наивысший приоритет (меньшее значение метрики интерфейса). Например, ваше VPN-соединение работает в режиме раздельного туннелирования (вы хотите получить доступ в Интернет из вашей локальной сети и ваших корпоративных ресурсов через VPN).

Проверьте значения всех метрик сетевого интерфейса из PowerShell:

Get-NetIPInterface | Сортировка объектов Интерфейсметрика

На снимке экрана выше показано, что локальное соединение Ethernet имеет более низкую метрику (25), чем интерфейс VPN (100). Таким образом, трафик DNS проходит через интерфейс с меньшим значением метрики. Это означает, что ваши DNS-запросы отправляются на ваши локальные DNS-серверы, а не на DNS-серверы для VPN-подключения.В этой конфигурации вы не можете разрешать имена в подключенной внешней сети VPN.

Кроме того, здесь следует упомянуть новую функцию DNS-клиента для Windows 8.1 и Windows 10. Smart Multi-Homed Name Resolution (SMHNR) был добавлен в эти версии ОС для более быстрого ответа на запросы DNS. По умолчанию SMHNR отправляет одновременные DNS-запросы на все DNS-серверы, известные системе, и использует ответ, полученный первым (запросы LLMNR и NetBT также отправляются). Это небезопасно, поскольку внешние DNS-серверы (указанные для вашего VPN-соединения) потенциально могут видеть ваш DNS-трафик (утечка ваших DNS-запросов).Вы можете отключить SMHNR в Windows 10 через GPO: Конфигурация компьютера -> Административные шаблоны -> Сеть -> DNS-клиент-> Отключить интеллектуальное многосетевое разрешение имен = Включено.

Или вы можете отключить SMHNR с помощью следующих команд (в Windows 8.1):

Set-ItemProperty -Path "HKLM: \ Software \ Policies \ Microsoft \ Windows NT \ DNSClient" -Name DisableSmartNameResolution -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ Dnscache \ Parameters "-Name DisableParallelAandAAAA -Value 1 -Type DWord

В Windows 10 Creators Update (1709) и новее запросы DNS отправляются на все известные DNS-серверы один за другим (не параллельно).Вы можете повысить приоритет определенного DNS-сервера, если снизите его показатели.

Таким образом, изменение метрики интерфейса позволяет отправлять DNS-запросы через соединение (LAN или VPN), где разрешение имен является для вас самым приоритетным.

Таким образом, чем ниже значение метрики интерфейса, тем выше приоритет соединения. Windows автоматически назначает метрики интерфейсов IPv4 в зависимости от их скорости и типа. Например, соединение LAN со скоростью> 200 Мбит / с имеет значение метрики, равное 10, а соединение Wi-Fi со скоростью 50-80 Мбит / с имеет значение 50 (см. Таблицу https: / /служба поддержки.microsoft.com/en-us/help/299540/an-explanation-of-the-automatic-metric-feature-for-ipv4-routes).

Вы можете изменить метрику интерфейса из графического интерфейса Windows, PowerShell или с помощью команды netsh .

Например, вы хотите, чтобы ваши DNS-запросы отправлялись через VPN-соединение. Вы должны увеличить показатели ваших подключений к локальной сети, чтобы их значения превышали 100 (в моем примере).

Перейдите в Панель управления -> Сеть и Интернет -> Сетевые подключения , откройте свойства подключения Ethernet, выберите свойства TCP / IPv4 и перейдите на вкладку Advanced TCP / IP Settings .Снимите флажок Автоматическая метрика и измените метрику интерфейса на 120 .

Вы можете сделать то же самое с помощью следующей команды PowerShell (используйте индекс интерфейса вашей локальной сети, который вы можете получить с помощью командлета Get-NetIPInterface):

Set-NetIPInterface -Index 11 -InterfaceMetric 120

Или используя netsh (укажите имя вашего LAN-соединения):

netsh int ip set interface interface = "Ethernet0" metric = 120

Таким же образом вы можете уменьшить значение метрики в свойствах вашего VPN-соединения.

Также вы можете изменить настройки вашего VPN-подключения, изменив режим на Split Tunneling и указав DNS-суффикс для подключения с помощью PowerShell:

Get-VpnConnection
Set-VpnConnection -Name "VPN_work" -SplitTunneling $ True
Set-VpnConnection -Name "VPN_work" -DnsSuffix yourdomainname.com

: удаленное соединение не было установлено, потому что имя сервера удаленного доступа не разрешено

Если вы получаете сообщение об ошибке « Удаленное соединение не было выполнено, потому что имя сервера удаленного доступа не разрешило », пока подключение к VPN может быть связано либо с проблемой с сервером VPN, либо с подключением вашего ПК.Еще во времена Windows 7 этой ошибке был присвоен специальный код ошибки, который был 868, однако в Windows 10 код ошибки был удален.

VPN используются почти повсеместно, и некоторые из нас используют их в качестве основного соединения. Однако, если вы столкнулись с такими ошибками, связанными с VPN, все может быть очень неприятно. Тем не менее, вам больше не о чем беспокоиться, поскольку эта статья проведет вас через возможные решения, которые вы можете реализовать.

Что ж, существует не так много факторов, которые могут вызвать проблему, однако всякий раз, когда она возникает, обычно это происходит по следующим причинам —

• VPN-сервер: В некоторых случаях ошибка может быть связана с проблема с сервером в сети, к которой вы пытаетесь подключиться.
• Системное соединение: Другой причиной ошибки могут быть сетевые соединения вашей системы.Иногда это может быть связано с вашим кешем DNS и т. Д.
• Сторонний антивирус: Сторонний антивирус, установленный в вашей системе, также может вызвать ошибку. Ваш антивирус может накладывать ограничения, из-за которых возникает ошибка.

Вы можете изолировать проблему, следуя приведенным ниже решениям. Мы настоятельно рекомендуем вам следовать им в том же порядке, что и ниже, чтобы быстро решить эту проблему.

Как мы упоминали выше, ошибка иногда может быть вызвана из-за вашего кеша DNS.Кроме того, ваши сетевые подключения также могут играть роль в создании ошибки. Следовательно, чтобы обойти эту проблему, вам придется очистить кеш DNS и сбросить Winsock. Вот как это сделать:

1. Нажмите Windows Key + X и выберите Командная строка (администратор) из списка, чтобы открыть командную строку с повышенными привилегиями.
2. Когда откроется командная строка, введите следующую команду:

    ipconfig / flushdns 

   Очистка кеша DNS

    ipconfig / registerdns 

3. После этого введите следующие команды:

    ipconfig / release
   ipconfig / Renew 

   Обновление IP-адреса
4. Затем, чтобы сбросить Winsock, введите следующую команду и нажмите Enter:

    Netsh winsock reset 

   Сброс Winsock
5. Перезагрузите систему и проверьте, устраняет ли она проблему.

Вы также можете попробовать решить проблему, отключив сторонний антивирус. После установки антивирусы накладывают определенные ограничения на активность вашей системы, в том числе на сетевые подключения. Поэтому, чтобы исключить возможность того, что ваш сторонний антивирус может вызвать проблему, вам придется отключить его. После отключения попробуйте снова подключиться к VPN.

Брандмауэр Защитника Windows отвечает за управление входящими и исходящими запросами на подключение.В некоторых случаях вы не можете подключиться к своей VPN, потому что брандмауэр Защитника Windows блокирует запрос. В таком случае вам придется на время отключить его и посмотреть, решит ли он проблему. Чтобы отключить брандмауэр Windows, выполните следующие действия:

1. Перейдите в меню «Пуск» и откройте панель управления .
2. Установите View by на Большие значки , а затем щелкните Брандмауэр Защитника Windows .
3. Слева нажмите « Включить или выключить брандмауэр Защитника Windows ».
4. Убедитесь, что « Отключить брандмауэр Защитника Windows » выбрано в обеих настройках, а затем нажмите OK. Отключение брандмауэра Защитника Windows
5. Проверьте, решает ли это проблему.

Если это все равно не решит вашу проблему, вам нужно будет связаться со своим провайдером VPN и отправить туда свои запросы.

«Невозможно разрешить адрес хоста» в OpenVPN

OpeVPN — отличный инструмент для реализации безопасных соединений точка-точка.

Но часто один неверный шаг во время настройки может разорвать соединение и привести к ошибкам.

Одна из таких ошибок в OpenVPN — « не может разрешить адрес хоста ».

В Bobcares мы помогаем пользователям устранять ошибки подключения OpenVPN в рамках наших услуг Managed VPN.

Сегодня мы обсудим четыре основных причины ошибки не может разрешить адрес хоста в OpenVPN и способы их устранения.

Не удается разрешить адрес хоста в OpenVPN — что это означает?

Клиенты обычно сталкиваются с этой ошибкой при попытке установить соединение OpenVPN.Эта ошибка означает, что DNS-серверы отказались разрешить имя хоста. Здесь наши инженеры службы поддержки проверяют журналы сервера, и подробные сведения об ошибке выглядят следующим образом:

 2019-01-21 20:19:01 УПРАВЛЕНИЕ:> СОСТОЯНИЕ: 1489260308, РАЗРЕШИТЬ ,,,
2019-01-21 20:19:01 РЕШЕНИЕ: не удается разрешить адрес хоста: vpn.xx.xx.xx.xx.com: имя узла или имя сервера предоставлены или неизвестны 

Не удается разрешить адрес хоста в OpenVPN — Причины и Исправления

Теперь давайте посмотрим на основные причины этой ошибки и способы их устранения нашими выделенными инженерами.

1) Ограничения брандмауэра

Одной из распространенных причин этой ошибки является локальный брандмауэр клиента, блокирующий соединение с сервером OpenVPN. Кроме того, правила брандмауэра могут блокировать DNS-соединения в системе. Точно так же антивирусная программа, установленная в системе клиента, также может препятствовать работе VPN.

Итак, в таких случаях наши специалисты службы поддержки временно отключают приложения безопасности и антивирусную программу одно за другим. Таким образом, мы можем определить, какое приложение блокирует подключения, и исправить его настройки.

Кроме того, мы гарантируем, что в брандмауэре разрешено следующее.

• Интерфейс резервного копирования цикла или само имя хоста.
• Интерфейс, созданный OpenVPN.
• UDP-пакетов на порт 53 для DNS-запросов.

Кроме того, мы гарантируем, что порты, необходимые для связи OpenVPN, включены в настройки маршрутизатора.

2) Неверное имя хоста

Точно так же опечатка в имени хоста или неактивный хост, указанный в настройках OpenVPN, может привести к этой ошибке.

Во-первых, наши специалисты службы поддержки подтверждают, активен ли хост, с помощью команды ping .

  ping vpn.xx.xx.xx.xx.com  

В дополнение к этому мы проверяем возможность подключения DNS имени хоста с помощью команд dig и nslookup .

  копать vpn.xx.xx.xx.xx.com
nslookup vpn.xx.xx.xx.xx.com  

Таким образом мы подтверждаем, использует ли клиент действительное и правильное имя хоста.

Если мы обнаружим какие-либо проблемы с именем хоста, мы свяжемся с клиентом и обновим его, чтобы использовать правильное имя хоста. В качестве альтернативы мы обновляем клиента, чтобы он использовал явный IP-адрес вместо имени домена.

3) DNS-серверы

Если это не работает, эта ошибка может быть вызвана настройками DNS.

Иногда DNS-серверы не разрешают имя сервера, переводя его в IP-адрес. Это может быть связано с подменой DNS в некоторых странах, где веб-сайты подвергаются цензуре.Другими словами, DNS-серверы в этих странах отказываются разрешать имя хоста или предоставляют неправильный IP-адрес, что приводит к неработающей ссылке.

Наши специалисты службы поддержки легко исправляют это, помогая клиенту переключить DNS-серверы на своем компьютере на серверы за пределами страны. Доступно множество бесплатных DNS-серверов, таких как Google, OpenDNS и т. Д.

 Google DNS: 8.8.8.8 и 8.8.4.4
Сервер OpenDNS :  208.67.222.222 и 208.67.220.220 

Например, в системе Mac мы изменяем DNS-серверы из Системные настройки> Сеть> Выберите соединения, через которые вы подключаетесь> Дополнительно> DNS> DNS-серверы > Обновите новые DNS-серверы> ОК> Применить.

Самое главное, мы обновляем клиентов, чтобы также изменить настройки сетевого адаптера.

4) Конфигурация клиента OpenVPN

Точно так же эта ошибка также может быть вызвана неверно настроенной конфигурацией клиента OpenVPN. Пример конфигурации OpenVPN выглядит так.

 клиент
Dev Tun
протокол TCP
удаленный vpn.xx.xx.xx.xx.com 1194
resolv-retry бесконечно
удаленный сервер сертификатов TLS
без привязки
постоянный ключ
настойчивый туннель
глагол 3
pkcs12 D: \\ {cert}.p12 

Одна неверная запись в этом файле может повлиять на работу службы VPN. В таких случаях наши специалисты по серверам получают конфигурацию клиента OpenVPN и исправляют неправильные записи, чтобы решить проблему. Иногда нам нужно переключить протокол с TCP на UDP в конфигурации, чтобы решить проблему.

4) Неверная запись файла хоста

Кроме того, неправильные записи в файле / etc / hosts вашей системы могут привести к этой ошибке.В идеале запись localhost должна находиться в файле / etc / hosts вашей системы, чтобы можно было разрешить имя localhost. Отсутствие записи localhost или опечатка в этом файле создадут проблемы.

Здесь наши инженеры службы поддержки получают информацию о записи / etc / hosts от клиентов и следят за тем, чтобы первая запись была указана ниже.

  127.0.0.1 localhost  

[И нужен ли вам эксперт по серверам для решения ваших ошибок OpenVPN.Здесь вам могут помочь наши опытные системные эксперты.]

Заключение

Короче говоря, « не может разрешить адрес хоста» Ошибка в OpenVPN может возникать из-за ограничений брандмауэра, ошибок конфигурации клиента OpenVPN и т. Д. . Сегодня мы обсудили четыре основных причины этой ошибки и способы их устранения нашими специалистами службы поддержки.

ПРЕДОТВРАТИТЕ СЕРВЕР ОТ ВЫБОРА!

Никогда больше не теряйте клиентов из-за низкой скорости сервера! Позвольте нам помочь вам.

Наши специалисты по серверам будут контролировать и поддерживать ваш сервер 24/7, чтобы он оставался молниеносно быстрым и безопасным.

НАЧАТЬ

— не удается разрешить хост через VPN-соединение из Mac OS X

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме сбоя сервера.

Закрыт 6 лет назад.

Преамбула

Я установил VPN-соединение со своего Macbook, и он, похоже, успешно подключается.

Однако я не могу получить доступ к своему рабочему компьютеру, потому что имя хоста не определяется:

  $ ping myusername
ping: не удается разрешить myusername: Неизвестный хост
  

Новое решение

Попробовав все, что мог, я обнаружил, что эта команда делает мне доступными как сеть VPN, так и Интернет:

  sudo route add -net 192.168.7.218 192.168.7.117 255.255.0.0
  

DNS-серверы компании доступны по их IP-адресам. Как мне настроить сеть , чтобы использовать их для всего, что начинается с 192.168?

Старый способ обхода

Я нашел временный обходной путь, который позволяет мне получить доступ к сети через VPN, изменив два параметра:

Ставлю галочку в

Я вручную ввожу имя домена поиска в настройках DNS интерфейса VPN:

Выполнения этих двух шагов достаточно, чтобы мой рабочий компьютер стал доступен для проверки связи:

  $ nslookup myusername
Сервер: 192.168.10.16
Адрес: 192.168.10.16 # 53

Имя: myusername.universe.mycompany
Адрес: 192.168.11.56

$ ping myusername
PING myusername.universe.mycompany (192.168.11.56): 56 байтов данных
64 байта из 192.168.11.56: icmp_seq = 0 ttl = 126 time = 126.164 мс
  

Однако, поскольку я туннелировал весь трафик для прохождения через VPN, я больше не могу получить доступ к Интернету:

  $ пинг google.com
PING google.com (74.125.232.48): 56 байтов данных
Тайм-аут запроса для icmp_seq 0
Тайм-аут запроса для icmp_seq 1
  

Вопрос

Как правильно настроить сеть, чтобы она понимала, когда использовать VPN, а когда использовать обычное соединение? Мне это нужно для правильного разрешения имен серверов Windows.

Если мне нужно опубликовать какой-либо вывод команды консоли, я готов это сделать, если вы дадите мне знать, какой именно.
Любая помощь приветствуется, так как сейчас для меня это своего рода ограничитель шоу.

Спасибо!

Устранение проблем с разрешением DNS | OpenVPN

Введение

Компании часто используют собственный DNS-сервер, который они используют для преобразования имен DNS в частные IP-адреса, чтобы упростить доступ к системам для пользователей. Например, проще сказать пользователю запустить клиентскую программу удаленного рабочего стола и подключиться к серверу server1 вместо того, чтобы указывать ему подключение к 192.168.70.243. Чтобы узнать, что такое DNS, прочтите эту статью. Сервер доступа OpenVPN поддерживает отправку инструкции подключающемуся клиенту OpenVPN на использование определенного DNS-сервера. На самом деле он поддерживает отправку 2 DNS-серверов в случае, если первый не отвечает. Это можно настроить в пользовательском интерфейсе администратора в разделе «Настройки VPN». Сервер доступа также поддерживает отправку дополнительных инструкций для зон разрешения DNS, которые работают как тип разделенного DNS, когда на сервер VPN отправляются только запросы для определенной зоны DNS, и суффикс DNS по умолчанию, который дает Windows подсказку: autocomplete ‘частичное имя хоста в полное доменное имя или полное доменное имя.

К сожалению, не все операционные системы одинаково относятся к DNS. Некоторые системы будут пробовать сразу все DNS-серверы и принимать ответ от первого, чтобы ответить. Другие смогут использовать разделенный DNS, а другие нет. Это может привести к определенным проблемам. В приведенном ниже руководстве представлен способ проверки, действительно ли DNS-запрос, который вы выполняете со своего клиентского устройства OpenVPN, проходит через VPN-туннель к серверу доступа OpenVPN. И оттуда, конечно же, на целевой DNS-сервер.Эта информация важна для определения того, является ли проблема на стороне клиента или на стороне сервера.

Проверка разрешения DNS из клиентской системы

Предположим, у вас есть DNS-сервер, настроенный в пользовательском интерфейсе администратора сервера доступа, в разделе «Настройки VPN». Мы предполагаем, что вы не используете поля DNS Resolution Zones или DNS Default Suffix. С этим параметром все DNS-запросы должны идти от клиента OpenVPN через сервер доступа OpenVPN, а затем на указанный DNS-сервер.В нашем примере мы запускаем публичный DNS-сервер Google 8.8.8.8, и наши результаты тестирования также будут отражать это в образцах выходных данных.

Установите клиентскую программу OpenVPN в выбранную клиентскую систему. В нашем примере мы будем использовать клиентскую систему Windows 10 Professional с установленным клиентом OpenVPN Connect и подключенным к серверу доступа OpenVPN. Затем откройте сеанс консоли или сеанс SSH с сервером доступа OpenVPN и получите привилегии root. Мы будем использовать инструмент tcpdump для отслеживания активности на портах 53 TCP и UDP, портах по умолчанию, на которых обрабатываются запросы DNS.Мы очистим кеш локального DNS-преобразователя на стороне клиента, а затем разрешим несколько доменов, просто пропингуя их по имени. В нашей тестовой ситуации подключено лишь несколько клиентов, а активность DNS-запросов очень низкая, поэтому мы можем легко ее отслеживать. Если вы тестируете производственную систему и команда tcpdump выдает слишком много результатов, вы можете добавить фильтр grep по IP-адресу, чтобы фильтровать запросы, поступающие только с IP-адреса вашего конкретного VPN-клиента, для чтения и определения местоположения DNS-запроса. результаты проще.

На сервере доступа выполните следующие команды:

 apt-get обновление
apt-get install tcpdump 

После установки TCPdump запустите его со следующими параметрами:

 tcpdump -eni любой порт 53 

Или, если вы хотите отфильтровать его по IP-адресу вашего VPN-клиента (при необходимости измените):

 tcpdump -eni любой порт 53 | grep "172.27.10.22" 

Когда это работает в фоновом режиме, перейдите в операционную систему вашего VPN-клиента и откройте командную строку.Например, в Windows вы можете запустить программу cmd , чтобы открыть командную строку DOS в старом стиле. Открыв его, используйте следующие команды для очистки кеша локального преобразователя DNS, чтобы он не извлекал результаты из собственной локальной памяти, а затем выполнял фактический запрос.

Очистить кеш локального DNS-преобразователя в Windows:

 ipconfig / flushdns 

Разрешить некоторые доменные имена:

 пинг www.google.com
пинг www.openvpn.net
пинг www.facebook.com 

Результат каждого из них должен выглядеть примерно так:

 Pinging www.google.com [216.58.212.228] с 32 байтами данных:
Ответ от 216.58.212.228: байты = 32 время = 4 мс TTL = 56
Ответ от 216.58.212.228: байты = 32 время = 3 мс TTL = 56
Ответ от 216.58.212.228: байты = 32 время = 3 мс TTL = 56
Ответ от 216.58.212.228: байты = 32 время = 3 мс TTL = 56
Статистика пинга для 216.58.212.228:
 Пакетов: отправлено = 4, принято = 4, потеряно = 0 (потеря 0%),
Приблизительное время в оба конца в миллисекундах:
 Минимум = 3 мс, максимум = 4 мс, средний = 3 мс 

На сервере доступа OpenVPN вы должны увидеть результаты, которые выглядят примерно так:

 18:03:07.976553 В IPv4 Ethernet (0x0800), длина 76: 172.27.232.2.49531> 8.8.8.8.53: 53268+ A? www.google.com. (32)
18: 03: 07.976579 Out 00: 0c: 29: c7: 60: e9 ethertype IPv4 (0x0800), длина 76: 192.168.47.133.49531> 8.8.8.8.53: 53268+ A? www.google.com. (32)
18: 03: 07.981162 В 34: 31: c4: 8e: b5: 67 ethertype IPv4 (0x0800), длина 92: 8.8.8.8.53> 192.168.47.133.49531: 53268 1/0/0 A 216.58.211.100 (48 )
18: 03: 07.981181 Исходящий IPv4 Ethernet (0x0800), длина 92: 8.8.8.8.53> 172.27.232.2.49531: 53268 1/0/0 A 216.58.211.100 (48) 

Приведенный выше результат tcpdump показывает, что DNS-запрос был получен от VPN-клиента по адресу 172.27.232.2, и что он был направлен на DNS-сервер по адресу 8.8.8.8, и запрос заключался в поиске записи A (IP-адреса) для DNS-имя www.google.com. Первая строка показывает, что этот запрос поступает на сервер доступа OpenVPN от VPN-клиента. Вторая строка показывает запрос, покидающий сервер доступа через сетевой интерфейс с MAC-адресом 00: 0c: 29: c7: 60: e9.В нашей тестовой настройке это сетевой интерфейс сервера доступа, который выходит в Интернет, что имеет смысл, поскольку DNS-сервер 8.8.8.8 находится в Интернете. Третья строка показывает, что результат DNS был получен, а четвертая строка показывает, что этот результат был передан обратно VPN-клиенту. В этом случае разрешение DNS работает.

Split-DNS при использовании зон разрешения DNS

Split-DNS — это принцип разрешения только определенных зон (доменов) через DNS-сервер, выдвинутый VPN-сервером, а остальное через ваши уже существующие локальные DNS-серверы.На сервере доступа есть поле в пользовательском интерфейсе администратора в разделе настроек VPN, которое называется Зоны разрешения DNS . Если вы введете здесь один домен или список (разделенных запятыми) доменов, то клиенты получат инструкцию разрешать только эти домены через DNS-сервер, выдвинутый VPN-сервером, а остальные разрешить через локальный DNS-сервер клиента. .

Обратите внимание, что не все клиенты OpenVPN поддерживают это, а также существуют некоторые различия в поведении между версиями OpenVPN.Наилучших результатов можно достичь при использовании клиентского программного обеспечения OpenVPN Connect v3.

Когда вы используете разделенный DNS, вы не увидите DNS-сервер, который помещается в ваш ipconfig или вывод ifconfig. DNS-сервер не будет реализован на уровне конфигурации сетевого интерфейса. Вместо этого он будет реализован в системе DNS в таблице политики разрешения DNS. Например, в Mac OS это можно запросить с помощью утилиты командной строки scutil , а в Windows — с помощью netsh , чтобы запросить таблицу политик разрешения в ОС.Такая таблица представляет собой просто список доменов и DNS-серверов, через которые они должны разрешаться. Ниже мы покажем пример вывода того, как выглядит разделенный DNS и нормальное разрешение DNS через VPN-туннель. Некоторые лишние данные были удалены из выходных данных этих примеров.

Команды для просмотра конфигурации сети и политики разрешения DNS в Windows:

 ipconfig / все
пространство имен netsh показывает эффективную политику 

Команды для просмотра конфигурации сети и политики разрешения DNS в Mac OS:

 ifconfig
scutil -dns 

Пример вывода в Windows при использовании разделенного DNS:

 (OpenVPN) Подключение по локальной сети:
Описание .. . . . . . . . . . : Адаптер TAP-Windows V9 для OpenVPN Connect
DNS-серверы. . . . . . . . . . . : fec0: 0: 0: ffff :: 1% 1
                                    fec0: 0: 0: ffff :: 2% 1
                                    fec0: 0: 0: ffff :: 3% 1

Адаптер Ethernet Ethernet:
Описание . . . . . . . . . . . : Intel (R) 82574L Гигабитное сетевое соединение
DNS-серверы. . . . . . . . . . . : 192.168.47.254

Параметры таблицы политики разрешения эффективных имен DNS
Настройки для .openvpn.net
-------------------------------------------------- --------------------------
Общий (DNS-серверы): 1.2.3.4 

В приведенных выше выходных данных вы можете видеть, что теперь используется разделенный DNS, потому что DNS-сервер, назначенный обычному сетевому интерфейсу, называемому Ethernet, который подключается к нашей локальной сети, имеет DNS-сервер 192.168.47.254, который является нашим локальным DNS-сервером, а в таблице политики разрешения имен есть зона для .openvpn.net, которая разрешается через 1.2.3.4, которая представляет собой DNS-сервер, выдвинутый сервером VPN. Это означает, что * .openvpn.net будет разрешен через DNS-сервер VPN, а остальные будут разрешены через локальный DNS-сервер 192.168.47.254. Также обратите внимание, что интерфейс VPN получает 3 IPv6-адреса DNS-серверов, назначаемых самостоятельно, которые назначаются не OpenVPN, а самой ОС. Это не должно влиять на разрешение DNS.

Пример вывода в Windows, когда разделенный DNS не используется :

 (OpenVPN) Подключение по локальной сети:
  Описание . . . . . . . . . . . : Адаптер TAP-Windows V9 для OpenVPN Connect
  DNS-серверы. . . . . . . . . . . : 1.2.3.4

Параметры таблицы политики разрешения эффективных имен DNS
Настройки для.-------------------------------------------------- --------------------------
Общий (DNS-серверы): 1.2.3.4 

В приведенных выше выходных данных вы можете видеть, что разделенный DNS — это , а не , который используется, потому что DNS-сервер назначен самому адаптеру сетевого интерфейса, и существует только одна зона верхнего уровня для разрешения DNS (точка означает все зоны ). Это означает, что в данной конфигурации не используется разделенный DNS, и поэтому все запросы DNS перенаправляются на сервер в 1.2.3.4.

Поиск и устранение неисправностей

Ниже вы можете увидеть ряд типичных проблем, которые мы пытаемся объяснить здесь и где искать решение.

Ping-запрос не смог найти домен (…). Проверьте имя и повторите попытку. Это может произойти, если DNS-серверы, используемые вашей клиентской системой, плохо настроены, недоступны или если DNS-сервер, который она использует, не знает домен, который вы пытаетесь разрешить. Например, с локальными DNS-серверами в вашей собственной сети вполне возможно, что они знают только локальные компьютерные системы и не знают сетевых имен, таких как openvpn.net или что-то в этом роде. Обычно в таком случае вы можете настроить DNS-сервер для пересылки DNS-запросов на общедоступный DNS-сервер, который знает ответ на эти запросы, чтобы он мог отвечать как на запросы локальных имен, так и на общедоступные имена. Полезным шагом в этой ситуации может быть повторный запуск tcpdump, как описано в разделе «Тестирование разрешения DNS из клиентской системы» выше, и проверка того, что выводит tcpdump.
Если вы видите такой результат:

 18: 07: 10.082330 В Ethernet IPv4 (0x0800), длина 94: 172.27.232.2.54519> 8.8.8.8.53: 50281+ А? thisdomainreallydoesnotexist.com. (50)
18: 07: 10.082356 Out 00: 0c: 29: c7: 60: e9 ethertype IPv4 (0x0800), длина 94: 192.168.47.133.54519> 8.8.8.8.53: 50281+ A? thisdomainreallydoesnotexist.com. (50)
18: 07: 10.082507 В Ethernet IPv4 (0x0800), длина 94: 172.27.232.2.57858> 8.8.8.8.53: 65054+ AAAA? thisdomainreallydoesnotexist.com. (50)
18: 07: 10.082521 Выход 00: 0c: 29: c7: 60: e9 ethertype IPv4 (0x0800), длина 94: 192.168.47.133.57858> 8.8.8.8.53: 65054+ AAAA? этот домен действительно не существует.com. (50)
18: 07: 10.103610 В 34: 31: c4: 8e: b5: 67 ethertype IPv4 (0x0800), длина 167: 8.8.8.8.53> 192.168.47.133.54519: 50281 NXDomain 0/1/0 (123)
18: 07: 10.103641 Исходящий IPv4-адрес Ethernet (0x0800), длина 167: 8.8.8.8.53> 172.27.232.2.54519: 50281 NXDomain 0/1/0 (123) 

Конкретно здесь важен пункт NXDomain . Это означает, что этот DNS-сервер не знает имя, которое мы пытаемся разрешить. Другой DNS может все еще знать это имя. но этого нет. Однако в приведенном выше примере мы целенаправленно выбрали имя, которое не существует (или, по крайней мере, его не было, когда мы запускали тест — конечно, возможно, кто-то может зарегистрировать имя в будущем), чтобы убедиться, что мы видим ошибку .Если вы столкнулись с этой проблемой, вы можете попробовать использовать программу nslookup на компьютере с прямым доступом к DNS-серверу и использовать ее для прямого запроса конкретного DNS-сервера, чтобы убедиться, что он знает домен.

Если вы видите такой результат, повторяемый несколько раз:

 18: 19: 29.935439 Out 00: 0c: 29: c7: 60: e9 ethertype IPv4 (0x0800), длина 76: 192.168.47.133.60180> 1.2.3.4.53: 16427+ AAAA? www.google.com. (32)
18: 19: 29.935479 В ethertype IPv4 (0x0800), длина 76: 172.27.232.3.51334> 1.2.3.4.53: 37513+ А? www.google.com. (32) 

Затем вы можете заметить, что вы видите, что запрос поступает от клиента VPN, проходит через сервер доступа и выходит в Интернет, но ответа нет. Обычно это означает, что этот DNS-сервер недоступен или вообще не является DNS-сервером. В этом примере я выбрал IP-адрес 1.2.3.4, который, как мне известно, не является DNS-сервером. Очевидно, что запрос будет повторяться несколько раз, но в конечном итоге завершится ошибкой.Очевидное решение здесь — выбрать работающий DNS-сервер или, чтобы убедиться, что на пути нет брандмауэра, заблокировать запросы от VPN-клиентов к DNS-серверу. В некоторых случаях, когда маршрутизация используется для предоставления VPN-клиентам доступа к серверам в частной сети за сервером доступа, это связано с отсутствием маршрута. В таком случае пакеты от VPN-клиентов попадают на целевой DNS-сервер, но он не может ответить, поскольку получает пакеты из подсети, на которую не знает, как ответить.