[Решение] USG6300. User с binding IP не получает DNS от L2TP сервера

Опубликовано 2019-2-28 22:12:07 120 0 2 0

Модель оборудования: USG66**

Версия VRP: V500R001C60SPC500

 

Краткое описание проблемы: При подключении по L2TP+IPSec VPN клиент не получает настройки DNS-сервера, если в настройка клиента привязать (binding) к его учетной записи фиксированный адрес.

 

Настройки клиента: не имеют значения, воспроизводится на любом клиенте.

 

Последовательность действий для воспроизведения проблемы (пошаговая):

1. Создаем пользователя, для подключения по L2T+IPSec без привязки (binding) адреса. Для этого через web-интерфейсе настройки фаервола, переходим в раздел Object > User, переходим в редактирование определенного пользователя. Пример настройки ниже:

171922lz7040ik3tanyioy.png

В настройка пользователя выбирает No binding.

 

2. При подключении клиента, с использованием команды ipconfig /all (на клиенте) мы видим, что клиенту был выдан адрес из пула, но также были переданы адреса двух DNS-серверов: *.*.*.23 и *.*.*.25. Скриншот с примером ниже

 

171924f4zl54iigzavtea5.png

 

3. Если изменить настройки пользователя на фаерволе, задав привязку к фиксированному адресу, как показано на примере:

 

171926jv2anvnyenasb2ir.jpg

 

За пользователем закрепляется адрес *.*.*.11

 

4. Подключаемся клиентом и проверяем полученные настройки сетевого адаптера:

 

171928d9fdods9d2874wvo.jpg

 

Мы видим, что клиент получил правильный адрес, но отсутствуют IP-адреса DNS серверов (*.*.*.23 и *.*.*.25). 

 

Проблема: Как сделать так, что пользователю выдавались DNS-сервера при использовании фиксированной привязки (binding) IP-адреса к пользователю?    

 

Решение: Нужно посмотреть какой домен использeтся, посмотреть прописанную в нем service-scheme, и  уже в этой схеме указать DNS, например:

 

service-scheme webServerSchemeXXX

  ip-pool L2TP_pool

  dns 1.1.1.1

domain vpn

  service-scheme webServerSchemeXXX

  description L2TP_VPN

  service-type internetaccess l2tp

  internet-access mode password

  reference user current-domain

 

Указать можно только 1 DNS, все последующие будут его перезаписывать.

При подключении пользователь получит свой binding IP и этот DNS:

171930ukmncpoot7szpyn7.jpg

171932vpbcjxqcqoorbqcq.jpg

 

В документации этот момент описан без указания, что в случае с binding IP работает только этот способ назначения DNS:

http://support.huawei.com/hedex/hdx.do?docid=EDOC1000154459&id=sec_eudemon_ag_l2tp_0032&text=L2TP%252520FAQs&lang=en

171934nojyccbiuty4jfdt.jpg

 

 

 

Из группы: Network Этот пост был последний раз изменен пользователем user_2968737 в 2019-2-28 17:19.
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! Внимание! С целью защиты ваших юридических прав и интересов, а также прав и интересов сообщества и третьих лиц не публикуйте контент, который может создавать правовые риски для всех сторон. К такому контенту может относиться, помимо прочего, контент, содержащий политически неоднозначные высказывания, информацию порнографического характера, рекламу азартных игр, наркотиков или запрещенного товара; контент, раскрывающий объекты интеллектуальной собственности или нарушающий права интеллектуальной собственности третьих лиц, включая коммерческие тайны, товарные знаки, авторские и патентные права, персональные и конфиденциальные данные. Не предоставляйте данные вашего аккаунта и пароля другим лицам. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом, и за их последствия.“Более подробную информацию читайте в Заявлении о конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Быстрый ответ Вверх