Wie löse ich Ressourceneinträge in meiner privaten gehosteten Zone mithilfe von Client-VPN auf?

Behebung

Um Endbenutzern das Abfragen von Datensätzen in einer privaten gehosteten Zone mithilfe von Client-VPN zu ermöglichen, gehen Sie wie folgt vor:

1. Bestätigen Sie, dass Sie „DNS-Auflösung“ und „DNS-Hostnamen“ in Ihrer Amazon Virtual Private Cloud (Amazon VPC) aktiviert haben. Diese Einstellungen müssen aktiviert sein, um auf private gehostete Zonen zugreifen zu können. Weitere Informationen finden Sie unter DNS-Attribute für Ihre VPC anzeigen und aktualisieren.
2. Erstellen Sie einen Client-VPN-Endpunkt, falls Sie dies noch nicht getan haben. Stellen Sie sicher, dass Sie den Parameter „DNS-Server-IP-Adresse“ mit der DNS-Server-IP-Adresse konfigurieren, die von den Endbenutzern für die DNS-Auflösungsabfragen erreicht werden kann. Sie können auch einen vorhandenen Client-VPN-Endpunkt ändern, um die DNS-Servereinstellungen zu aktualisieren.

Abhängig von Ihrer Serverkonfiguration und den Werten, die Sie für den Parameter „DNS-Server-IP-Adresse“ angeben, variiert die Auflösung der Domain der privaten gehosteten Zone:

• Mit dem Amazon DNS-Server (VPC-IPv4-Netzwerkbereich plus zwei) können Endbenutzer die Ressourceneinträge der privaten gehosteten Zone, die der VPC zugeordnet ist, auflösen.
• Mit einem benutzerdefinierten DNS-Server, der sich in derselben VPC wie die dem Client-VPN-Endpunkt zugeordnete VPC befindet — Sie können den benutzerdefinierten DNS-Server so konfigurieren, dass er DNS-Abfragen nach Bedarf verarbeitet. Um die Ressourceneinträge aufzulösen, konfigurieren Sie den benutzerdefinierten DNS-Server als Weiterleitung, um DNS-Abfragen für die private gehostete Domain an den Standard-VPC-DNS-Resolver weiterzuleiten. Um den benutzerdefinierten DNS-Server für alle Ressourcen in der VPC zu verwenden, stellen Sie sicher, dass Sie die DHCP-Optionen entsprechend konfigurieren.
  Hinweis: Der benutzerdefinierte DNS-Server kann sich auch in einer Peer-VPC befinden. In diesem Fall ist die benutzerdefinierte DNS-Serverkonfiguration dieselbe wie oben. Stellen Sie sicher, dass Sie Ihre private gehostete Zone beiden VPCs zuordnen.
• Wenn sich ein benutzerdefinierter DNS-Server vor Ort befindet und der Parameter „DNS-Server-IP-Adresse“ im Client-VPN deaktiviert/leer ist — Die DNS-Abfragen für die private Hostedzone-Domain werden an den Route 53-Inbound-Resolver weitergeleitet. Sie müssen auf dem lokalen benutzerdefinierten DNS-Server bedingte Weiterleitungsregeln erstellen, um Abfragen über AWS Direct Connect oder AWS Site-to-Site VPN an die IP-Adresse des Route 53-Eingangsresolvers in der VPC weiterzuleiten.
  Hinweis: Wenn das Client-Gerät keine Route zum lokalen DNS-Server hat, wenn die Client-VPN-Verbindung hergestellt wird, schlagen die DNS-Abfragen fehl. In diesem Fall müssen Sie dem benutzerdefinierten lokalen DNS-Server in der Routentabelle des Clientgeräts manuell eine bevorzugte statische Route hinzufügen.
• Wenn der Parameter „DNS-Server-IP-Adresse“ deaktiviert ist — Das Client-Gerät verwendet den lokalen DNS-Resolver, um DNS-Abfragen zu lösen. Wenn Ihr lokaler Resolver auf einen öffentlichen DNS-Resolver eingestellt ist, können Sie Datensätze in privaten Hosting-Zonen nicht auflösen.

Hinweis: Das Folgende bezieht sich auf jede der vier Arten von DNS-Serverkonfigurationen:

• Wenn der Volltunnelmodus aktiviert ist, wird der Routentabelle des Client-Geräts eine Route für den gesamten Datenverkehr durch den VPN-Tunnel hinzugefügt. Endbenutzer können eine Verbindung zum Internet herstellen, wenn die Autorisierungsregeln und die entsprechenden Routen zur zugehörigen Subnetz-Routing-Tabelle des Client-VPN-Endpunkts hinzugefügt werden.
• Wenn der Split-Tunnel-Modus aktiviert ist, werden die Routen in der Routentabelle des Client-VPN-Endpunkts zur Routentabelle des Client-Geräts hinzugefügt.

Weitere Informationen

Wie funktioniert DNS mit meinem AWS-Client-VPN-Endpunkt?