Comment fonctionne le DNS avec le point de terminaison AWS Client VPN ?

Lecture de 8 minute(s)

Je prévois de configurer un point de terminaison AWS Client VPN. Je dois spécifier les serveurs DNS que les utilisateurs finaux utilisent pour résoudre les noms de domaines.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Lorsque vous créez un nouveau point de terminaison de VPN client, spécifiez une adresse IP de serveur DNS. Utilisez la console de gestion AWS, la commande create-client-vpn-endpoint de l'AWS CLI ou l'opération d’API CreateClientVpnEndpoint pour spécifier les adresses IP dans le paramètre « Adresse IP du serveur DNS ». Utilisez la console, la commande modify-client-vpn-endpoint ou l'opération d'API ModifyClientVpnEndpoint pour modifier un point de terminaison existant.

Configurer le paramètre « Adresse IP du serveur DNS »

Pour une haute disponibilité, spécifiez deux adresses IP de serveur DNS. Si le serveur DNS principal est inaccessible, le client tente de renvoyer la requête au serveur DNS secondaire.

Remarque : lorsque le serveur DNS principal répond par SERVFAIL, la demande DNS n'est pas renvoyée au serveur DNS secondaire.

Vérifiez que les utilisateurs finaux peuvent accéder aux deux serveurs DNS spécifiés une fois connectés au point de terminaison d'un VPN client. Lorsque les serveurs DNS sont inaccessibles, il y a risque d’échec des requêtes DNS et de problèmes de connexion.

Le paramètre « Adresse IP du serveur DNS » est facultatif. Lorsqu’aucun serveur DNS n'est spécifié, l'adresse IP DNS configurée sur l'appareil de l'utilisateur final est utilisée pour résoudre les requêtes DNS.

Si le serveur DNS de votre VPN client est le point de terminaison entrant d’AmazonProvidedDNS ou d’Amazon Route 53 Resolver, tenez compte des points suivants :

Vous pouvez résoudre les enregistrements de ressources de la zone d’hébergement privée Route 53 associée à l’aide de l’Amazon Virtual Private Cloud (Amazon VPC).
Lorsque le « DNS privé » est activé, les noms d'hôtes publics Amazon RDS accessibles depuis l'interface VPN se résolvent via une adresse IP privée. Il en va de même pour les noms des points de terminaison des services AWS accessibles à partir du point de terminaison de l'interface Amazon VPC.
Assurez-vous que « Résolution DNS » et « Noms d'hôte DNS » sont activés pour l’Amazon VPC associé.

Le point de terminaison du VPN client utilise la source NAT pour se connecter aux ressources des Amazon VPC associés.

Comportement du DNS par type de tunnel

Une fois que l'appareil client a établi le tunnel VPN client, le paramètre « Adresse IP du serveur DNS » est appliqué au tunnel complet ou au tunnel partagé :

Tunnel complet : Le client ajoute une route pour tout le trafic via le tunnel VPN. L’ensemble du trafic, y compris les requêtes DNS, est acheminé via le tunnel. Si l’Amazon VPC n’a pas de route vers les serveurs DNS, les recherches échouent.
Tunnel partagé : Le client ajoute uniquement des routes à partir de la table de routage du VPN client. Pour acheminer le trafic DNS via le VPN, ajoutez une route pour les adresses IP du serveur DNS à la table de routage du VPN client.

Les exemples suivants s'appliquent à la fois aux environnements Windows et Linux. Sous Linux, les exemples supposent que le client utilise un gestionnaire de réseau générique.

Scénario 1 : Tunnel complet sans adresse IP de serveur DNS spécifiée

Exemple 1 :

CIDR IPv4 du client de l'utilisateur final : 192.168.0.0/16
CIDR du VPC du point de terminaison de VPN client : 10.123.0.0/16
Adresse IP du serveur DNS local : 192.168.1.1
Le paramètre Adresse IP du serveur DNS est désactivé et aucune adresse IP de serveur DNS n'est spécifiée

Le paramètre Adresse IP du serveur DNS étant désactivé, la machine hôte de l'utilisateur final utilise le serveur DNS local pour résoudre les noms de domaines.

Ce point de terminaison de VPN client est configuré en mode tunnel complet. Pour envoyer tout le trafic via le VPN (0/1 depuis utun1), le client ajoute une route qui pointe vers l'adaptateur virtuel. Cependant, le trafic DNS n'est pas envoyé via le VPN car le point de terminaison ne transmet pas la configuration du serveur DNS. Le client utilise plutôt la route statique pour l'adresse du serveur DNS local (192.168.1.1/32 sur en0). Une fois le nom de domaine résolu localement, le trafic d'application vers l'adresse IP résolue passe par le tunnel VPN.

$ cat /etc/resolv.conf | grep nameservernameserver 192.168.1.1
$ netstat -nr -f inet | grep -E 'utun1|192.168.1.1'0/1                192.168.0.1        UGSc           16        0   utun1
192.168.1.1/32     link#4             UCS             1        0     en0
(...)

$ dig amazon.com;; ANSWER SECTION:
amazon.com.        32    IN    A    176.32.98.166
;; SERVER: 192.168.1.1#53(192.168.1.1)
(...)

Exemple 2 :

CIDR IPv4 du client de l'utilisateur final : 192.168.0.0/16
CIDR du VPC du point de terminaison de VPN client : 10.123.0.0/16
Le serveur DNS local est configuré en tant qu'adresse IP publique (8.8.8.8)
Le paramètre Adresse IP du serveur DNS est désactivé et aucune adresse IP de serveur DNS n'est spécifiée

Dans cet exemple, le client utilise le serveur DNS public sur 8.8.8.8. Étant donné qu’il n'y a pas de route statique pour 8.8.8.8 via en0, la requête DNS passe par le tunnel VPN. Si le point de terminaison du client VPN n'a pas accès à Internet, le serveur DNS est inaccessible et la requête expire.

$ cat /etc/resolv.conf | grep nameservernameserver 8.8.8.8
$ netstat -nr -f inet | grep -E 'utun1|8.8.8.8'0/1                192.168.0.1      UGSc            5        0   utun1

$ dig amazon.com(...)
;; connection timed out; no servers could be reached

Scénario 2 : Tunnel partagé avec le paramètre « Adresse IP du serveur DNS » activé

Exemple

CIDR IPv4 du client : 192.168.0.0/16
CIDR de l’Amazon VPC du point de terminaison du VPN client : 10.123.0.0/16
Le paramètre Adresse IP du serveur DNS est activé et défini sur 10.10.1.228 et 10.10.0.43 (points de terminaison entrants de Route 53 Resolver)
Les points de terminaison du résolveur se trouvent dans un Amazon VPC (10.10.0.0/16) connecté depuis une passerelle de transit
L’Amazon VPC utilise une zone hébergée privée Route 53 (example.local)
La résolution DNS et les noms d'hôtes DNS sont actifs

Ce client VPN est configuré en mode tunnel partagé. La table de routage du VPN client contient :

$ netstat -nr -f inet | grep utun1(...)10.10/16           192.168.0.1        UGSc            2        0   utun1 # Route 53 Resolver inbound endpoints VPC CIDR
10.123/16          192.168.0.1        UGSc            0        0   utun1 # Client VPN VPC CIDR
(...)

Dans cet exemple, le paramètre « Adresse IP du serveur DNS » est activé. **10.10.1.228 ** et ** 10.10.0.43 ** sont configurés en tant que serveurs DNS. Lorsque le client établit le tunnel VPN, les paramètres du serveur DNS sont transmis à la machine hôte de l'utilisateur final.

$ cat /etc/resolv.conf | grep nameservernameserver 10.10.1.228 # Primary DNS server nameserver 10.10.0.43 # Secondary DNS server

La machine cliente émet une requête DNS qui passe par le tunnel VPN vers le VPC VPN client. La requête DNS est ensuite transmise au point de terminaison entrant de Route 53 Resolver via une passerelle de transit. Une fois le nom de domaine résolu en adresse IP, le trafic d’application passe également par le tunnel VPN. Ce flux se poursuit lorsque l'adresse IP de destination résolue correspond à une route de la table de routage du point de terminaison du VPN client.

Grâce à cette configuration, les utilisateurs finaux peuvent résoudre des noms de domaines externes via une résolution DNS standard. Il permet également la résolution des enregistrements dans les zones hébergées privées associées à l'Amazon VPC contenant les points de terminaison entrants de Route 53 Resolver.

$ dig amazon.com;; ANSWER SECTION:amazon.com.        8    IN    A    176.32.103.205
;; SERVER: 10.10.1.228#53(10.10.1.228)
(...)

$ dig test.example.local # Route 53 private hosted zone record ;; ANSWER SECTION:
test.example.local. 10 IN A 10.123.2.1
;; SERVER: 10.10.1.228#53(10.10.1.228)
(...)

$ dig ec2.ap-southeast-2.amazonaws.com # VPC interface endpoint to EC2 service in Route 53 Resolver VPC;; ANSWER SECTION:
ec2.ap-southeast-2.amazonaws.com. 60 IN    A    10.10.0.33
;; SERVER: 10.10.1.228#53(10.10.1.228)
(...)

$ dig ec2-13-211-254-134.ap-southeast-2.compute.amazonaws.com # EC2 instance public DNS hostname running in Route 53 Resolver VPC;; ANSWER SECTION:
ec2-13-211-254-134.ap-southeast-2.compute.amazonaws.com. 20 IN A 10.10.1.11
;; SERVER: 10.10.1.228#53(10.10.1.228)
(...)

Sujets: Networking & Content Delivery
Balises: AWS Client VPN AWS Virtual Private Network (VPN)
Langue: Français

AWS OFFICIELA mis à jour il y a 10 mois

Aucun commentaire

Contenus pertinents

Google Workspace - Enregistrement MX zone DNS
Senant
demandé il y a 3 ans
Propagation du DNS
Réponse acceptée
Olivier
demandé il y a 2 ans
Problème de vérification DNS sur Route 53 malgré propagation réussie
Herobrix
demandé il y a un an
Port 443 bloqué
Réponse acceptée
Daniel SAKOU
demandé il y a un an
Adresse DNS introuvable
Tikki
demandé il y a 2 ans
Pourquoi mes requêtes DNS ne sont-elles pas transmises aux serveurs DNS définis sur mon point de terminaison VPN client ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je associer un réseau cible à un point de terminaison d'un Client VPN ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je être averti lorsque le certificat associé au point de terminaison VPN client est sur le point d'expirer ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je révoquer l'accès à un point de terminaison d'un Client VPN pour un client spécifique ?
AWS OFFICIELA mis à jour il y a 3 ans