[Решение] USG6300. User с binding IP не получает DNS от L2TP сервера

236 0 2 0

Модель оборудования: USG66**

Версия VRP: V500R001C60SPC500

 

Краткое описание проблемы: При подключении по L2TP+IPSec VPN клиент не получает настройки DNS-сервера, если в настройка клиента привязать (binding) к его учетной записи фиксированный адрес.

 

Настройки клиента: не имеют значения, воспроизводится на любом клиенте.

 

Последовательность действий для воспроизведения проблемы (пошаговая):

1. Создаем пользователя, для подключения по L2T+IPSec без привязки (binding) адреса. Для этого через web-интерфейсе настройки фаервола, переходим в раздел Object > User, переходим в редактирование определенного пользователя. Пример настройки ниже:

171922lz7040ik3tanyioy.png

В настройка пользователя выбирает No binding.

 

2. При подключении клиента, с использованием команды ipconfig /all (на клиенте) мы видим, что клиенту был выдан адрес из пула, но также были переданы адреса двух DNS-серверов: *.*.*.23 и *.*.*.25. Скриншот с примером ниже

 

171924f4zl54iigzavtea5.png

 

3. Если изменить настройки пользователя на фаерволе, задав привязку к фиксированному адресу, как показано на примере:

 

171926jv2anvnyenasb2ir.jpg

 

За пользователем закрепляется адрес *.*.*.11

 

4. Подключаемся клиентом и проверяем полученные настройки сетевого адаптера:

 

171928d9fdods9d2874wvo.jpg

 

Мы видим, что клиент получил правильный адрес, но отсутствуют IP-адреса DNS серверов (*.*.*.23 и *.*.*.25). 

 

Проблема: Как сделать так, что пользователю выдавались DNS-сервера при использовании фиксированной привязки (binding) IP-адреса к пользователю?    

 

Решение: Нужно посмотреть какой домен использeтся, посмотреть прописанную в нем service-scheme, и  уже в этой схеме указать DNS, например:

 

service-scheme webServerSchemeXXX

  ip-pool L2TP_pool

  dns 1.1.1.1

domain vpn

  service-scheme webServerSchemeXXX

  description L2TP_VPN

  service-type internetaccess l2tp

  internet-access mode password

  reference user current-domain

 

Указать можно только 1 DNS, все последующие будут его перезаписывать.

При подключении пользователь получит свой binding IP и этот DNS:

171930ukmncpoot7szpyn7.jpg

171932vpbcjxqcqoorbqcq.jpg

 

В документации этот момент описан без указания, что в случае с binding IP работает только этот способ назначения DNS:

http://support.huawei.com/hedex/hdx.do?docid=EDOC1000154459&id=sec_eudemon_ag_l2tp_0032&text=L2TP%252520FAQs&lang=en

171934nojyccbiuty4jfdt.jpg

 

 

 

Из группы: Network Этот пост был последний раз изменен пользователем user_2968737 в 2019-02-28 12:19.
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх