VPN-подключение: динамический маршрут, корп. DNS | GRE-туннель

[The_Immortal]

VPN-подключение: динамический маршрут, корп. DNS | GRE-туннель

Приветствую!

Господа, у меня общий вопрос по оптимальной организации соединения между домашней и корпоративной сетями, который состоит из нескольких подвопросов.

Итак, на работе имеется LAN-сеть (192.168.32.0/25) и VPN для выхода в Интернет (192.168.33.0/25). Внешний IP VPN-сервера: 91.215.218.123, он же DNS-сервер.
Дома всё тривиально: 192.168.1.0/24; внешние IP белые, динамические.

Необходимо организовать соединение между домашней и корпоративной сетями, но при этом:
а) без задействования шлюза корп. сети в виде общего;
б) DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена.

I. Маршрутизация.
Тут всё стандартно. На домашней Win-машине (192.168.1.20) задал постоянный маршрут для доступа к машинам корп. сети:

route add 192.168.32.0 MASK 255.255.255.128 192.168.33.85 IF 38 METRIC 1 -p

- где "IF 38" (192.168.33.85) - IP VPN'а.
В итоге в таблице имею следующее:

Спойлер

===========================================================================
Список интерфейсов
 38...........................VPN
 11...f4 d1 08 2b 64 ca ......Intel(R) Wireless-AC 9462
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.20     50
   91.215.218.123  255.255.255.255      192.168.1.1     192.168.1.20     51 // нафег не нужен
      192.168.1.0    255.255.255.0         On-link      192.168.1.20    306
     192.168.1.20  255.255.255.255         On-link      192.168.1.20    306
    192.168.1.255  255.255.255.255         On-link      192.168.1.20    306
     192.168.32.0  255.255.255.128         On-link     192.168.33.85     36 // добавленный маршрут
   192.168.32.127  255.255.255.255         On-link     192.168.33.85    291
    192.168.33.85  255.255.255.255         On-link     192.168.33.85    291
        224.0.0.0        240.0.0.0         On-link      192.168.1.20    306
        224.0.0.0        240.0.0.0         On-link     192.168.33.85    291
  255.255.255.255  255.255.255.255         On-link      192.168.1.20    306
  255.255.255.255  255.255.255.255         On-link     192.168.33.85    291
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
     192.168.32.0  255.255.255.128    192.168.33.85       1
===========================================================================

После этого я могу обращаться по IP к машинам корп. сети.
Однако тут возникает два нюанса:

1. После поднятия VPN'а автоматически создается совсем не нужный маршрут: "91.215.218.123 255.255.255.255 192.168.1.1 192.168.1.20 51" - каким образом его также автоматически удалять?
2. Сетевой администратор сообщил, что решение из разряда через одно место и что надо создавать маршрут динамически при изменении соответствующих интерфейсов. Действительно ли так правильнее? Попытался найти в гугле решение, но не обнаружил. Подскажите, пожалуйста, как это сделать: каким-либо скриптом или есть встроенные решения?


II. DNS-сервер.
"DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена." - для этого необходимо задействовать корп. DNS-сервер 91.215.218.123, но извне он недоступен.
Я решил обойти эту проблему следующим образом. Добавил в настройки интерфейса клиента (192.168.1.20) два DNS:
- предпочитаемый: 91.215.218.123 (корп. сеть);
- альтернативный: 192.168.1.1. (домашняя сеть).
И также добавил следующий постоянный маршрут:

route add 91.215.218.123 MASK 255.255.255.255 192.168.32.1 IF 38 METRIC 1 -p

В итоге таблица следующая:

Спойлер

Список интерфейсов
 38...........................VPN
 11...f4 d1 08 2b 64 ca ......Intel(R) Wireless-AC 9462
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.20     50
   91.215.218.123  255.255.255.255      192.168.1.1     192.168.1.20     51 // по-прежнему нафег не нужен
   91.215.218.123  255.255.255.255     192.168.32.1    192.168.33.85     36 // добавленный маршрут
      192.168.1.0    255.255.255.0         On-link      192.168.1.20    306
     192.168.1.20  255.255.255.255         On-link      192.168.1.20    306
    192.168.1.255  255.255.255.255         On-link      192.168.1.20    306
     192.168.32.0  255.255.255.128         On-link     192.168.33.85     36
   192.168.32.127  255.255.255.255         On-link     192.168.33.85    291
    192.168.33.85  255.255.255.255         On-link     192.168.33.85    291
        224.0.0.0        240.0.0.0         On-link      192.168.1.20    306
        224.0.0.0        240.0.0.0         On-link     192.168.33.85    291
  255.255.255.255  255.255.255.255         On-link      192.168.1.20    306
  255.255.255.255  255.255.255.255         On-link     192.168.33.85    291
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
     192.168.32.0  255.255.255.128    192.168.33.85       1
   91.215.218.123  255.255.255.255     192.168.32.1       1
===========================================================================

Соответственно, когда поднят VPN, то резолвинг всех имен идет через корп. DNS-сервер 91.215.218.123. Когда VPN тухнет, то вступает альтернативный домашний DNS-сервер 192.168.1.1.
Однако и здесь профессиональный сетевик меня тормазнул, сообщив, что таким макаром будет создаваться задержка.
Поэтому прошу подсказать вас как решить вопрос с DNS-сервером в моем случае по уму?


III. Альтернативное решение - GRE-туннель.
А вообще указанный выше товарищ порекомендовал поднять постоянный GRE-туннель на централизованном устройстве (роутере). Однако я немного в ступоре от данной рекомендации.
Во-первых, насколько я понял, GRE-тунель предполагает использование на двух концах статические IP-адреса. У меня же дома "внешние IP белые, динамические". Конечно, есть DDNS, но он вроде имя в организации GRE-туннеля неуместно.
Во-вторых, когда я уточнил, что будучи в разъездах в качестве роутера у меня будет использоваться Android-телефон, но на это я получил ответ, что под Android никаких проблем организовать GRE-туннель нет. Однако там та же ситуация: динамические IP-адреса и, более того, они ещё сидят за провайдерским NAT'ом.

Вопросы тут такие:
1. Возможно ли организовать GRE-туннель с белым динамическим IP-адресом на одном из концов?
2. Возможно ли организовать GRE-туннель с серым IP-адресом на одном из концов?
3. Освобождает ли GRE-туннель от прописывания такого же постоянного маршрута, который был указан в вопросе I?


Благодарю!!!

 

[Smith]

1. После поднятия VPN'а автоматически создается совсем не нужный маршрут:

у него метрика выше шлюза по умолчанию, этот маршрут не роляет.

Однако и здесь профессиональный сетевик меня тормазнул, сообщив, что таким макаром будет создаваться задержка.

да так будет в зависимости от ос. если это что-либо ниже вин10 то ос всегда пуляет запрос сначала на прймари, потом на альтернейт. если это в10 то пуляет сразу на оба и применяет тот который быстрее или хотя бы ответил.

route add 91.215.218.123 MASK 255.255.255.255 192.168.32.1 IF 38 METRIC 1 -p

я вообще удивлен, что после такого маршрута у вас что-то работает. вы подключаетесь на этот адрес через шлюз по умолчанию, если впн развалится больше подключиться видимо не получится.

Поэтому прошу подсказать вас как решить вопрос с DNS-сервером в моем случае по уму?

по уму не делать впн и днс на одном айпишнике. почему корпоративный днс который резолвит внутренние сервисы вообще смотрит наружу? Такой сервер с внешним адресом должен резолвить сервисы опубликованные в ДМЗ компании. Внутренние сервисы резолвятся внутренним днс, который использует внешний, как родительский.

Альтернативное решение - GRE-туннель.

по сути все протоколы туннелирования используют тот же гре.

использование на двух концах статические IP-адреса.

желательно.

вроде имя в организации GRE-туннеля неуместно

Вопросы тут такие:
1. Возможно ли организовать GRE-туннель с белым динамическим IP-адресом на одном из концов?
2. Возможно ли организовать GRE-туннель с серым IP-адресом на одном из концов?
3. Освобождает ли GRE-туннель от прописывания такого же постоянного маршрута, который был указан в вопросе I?

неуместно.
1) вам всегда надо указывать куда туннель должен установиться т.е. с динамическим адресом не прокатит.
2) возможно с нюансами
3) естественно нет. это точно такой же туннель где нужна маршрутизация.

по уму - это иметь в дмз отдельные впн сервер и днс. по уму - это иметь отдельный днс для локалки, внутри локалки. по уму - присылать адрес внутреннего днс при подключении к впн.

 

[The_Immortal]

у него метрика выше шлюза по умолчанию, этот маршрут не роляет.

По поводу метрики я видел, однако для чего лишний маршрут в системе?

я вообще удивлен, что после такого маршрута у вас что-то работает. вы подключаетесь на этот адрес через шлюз по умолчанию, если впн развалится больше подключиться видимо не получится.

Во-первых, без данного маршрута использовать DNS-сервер корп. сети не получится. А во-вторых, при отвале VPN данный маршрут волшебным образом из таблицы уходит и жить не мешает.

почему корпоративный днс который резолвит внутренние сервисы вообще смотрит наружу?

Повторюсь, резолвит он действительно всё подряд (почему так - не знаю), но делает это исключительно из-под внутренний сети, т.е. в качестве внешнего DNS-сервера на сторонней машине его использовать нельзя.

желательно.

U]с динамическим адресом не прокатит[/U].

Видимо, всё-таки обязательно?

по уму - это иметь в дмз отдельные впн сервер и днс. по уму - это иметь отдельный днс для локалки, внутри локалки. по уму - присылать адрес внутреннего днс при подключении к впн.

Понял. А каким образом мне максимально адаптироваться к имеющимся условиям?

P.S. Почему-то мне недоступны "спасибки" либо я их в упор не вижу...

 

[Smith]

Во-первых, без данного маршрута использовать DNS-сервер корп. сети не получится. А во-вторых, при отвале VPN данный маршрут волшебным образом из таблицы уходит и жить не мешает.

не волшебным. просто системе становится неизвестным где живет 192.168.32.1 т.к. пропадает и второй маршрут через впн соединение.

Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.32.0 255.255.255.128 192.168.33.85 1
91.215.218.123 255.255.255.255 192.168.32.1 1

мне странно, что добавив такой маршрут не рвется сразу впн. видимо я чего-то не знаю или это какая-то особенность. получается что после подключения, впн сессия поддерживается через впн сессию. это не должно работать )

кстати, подключение домашней сети в корпоративную это моветон. я бы сказал - дыра в безопасности. Так делать нельзя. Максимум, что можно сделать - дать доступ к вашему рабочему месту, для RDP сессии. И тогда все проблемы отпадут сами собой. т.е. на впн сервере - биндинг ip адреса к учетке, прописывание правила в фаерволе сервера впн на доступ только к вашему компу по порту 3389.
за такую фривольность, как вам дали надо драть руки из плеч

P.S. Почему-то мне недоступны "спасибки" либо я их в упор не вижу...

надо жмакать на весы, в левом нижнем углу сообщения.

 

[The_Immortal]

мне странно, что добавив такой маршрут не рвется сразу впн

Этот маршрут говорит о том, что DNS-сервер надо опрашивать через внутреннюю сеть. А какой маршрут был бы более уместным, чтобы было видно корпоративный DNS-сервер?

Максимум, что можно сделать - дать доступ к вашему рабочему месту, для RDP сессии. И тогда все проблемы отпадут сами собой

Нет, RDP проблемы не решает Много сервисов на клиенте, которые завязаны по SMB с ресурсами локальной сети. Это раз.

биндинг ip адреса к учетке

Какого именно IP? Они в лучшем случае динамические, в худшем - вообще серые. Это два.

надо жмакать на весы, в левом нижнем углу сообщения.

Видимо, двжиок глючит. Пытаюсь Вам поднять репу, а мне говорят, что перед этим я должен кого-то ещё похвалить, хотя я Вас и не хвалил.

 

[The_Immortal]

Что-то я запутался...

В общем, снес я все маршруты "91.215.218.123 MASK 255.255.255.255". По итогу таблица после подключения к VPN вот такая:

===========================================================================
Список интерфейсов
 38...........................VPN
 11...f4 d1 08 2b 64 ca ......Intel(R) Wireless-AC 9462
===========================================================================
 
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.20     50
      192.168.1.0    255.255.255.0         On-link      192.168.1.20    306
     192.168.1.20  255.255.255.255         On-link      192.168.1.20    306
    192.168.1.255  255.255.255.255         On-link      192.168.1.20    306
     192.168.32.0  255.255.255.128         On-link     192.168.33.85     36
   192.168.32.127  255.255.255.255         On-link     192.168.33.85    291
    192.168.33.85  255.255.255.255         On-link     192.168.33.85    291
        224.0.0.0        240.0.0.0         On-link      192.168.1.20    306
        224.0.0.0        240.0.0.0         On-link     192.168.33.85    291
  255.255.255.255  255.255.255.255         On-link      192.168.1.20    306
  255.255.255.255  255.255.255.255         On-link     192.168.33.85    291
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
     192.168.32.0  255.255.255.128    192.168.33.85       1
===========================================================================

При этом резолвинг корпоративных имен происходит через преподчитаемый DNS (91.215.218.123) - каким чудом, не могу вообще понять...
А резолвинг внешних имен через DNS-сервер моего роутера (192.168.1.1).
Сетевик же сказал как-то юзать один корпоративный DNS-сервер через что-то проксирующее... =/

 

[Smith]

ваш комп закешировал имена ресурсов скорее всего. ттл истечет и записи пропадут.

если у вас в конторе есть сетевик и админ - пускай они и рожают вам костыль лично я против BYOD т.к. это размазывает периметр безопасности. Если уж размазывать его то тогда хотя бы использовать нормальные решения аля cisco any connect.

 

[Smith]

есть костыльный костыль - в хост сделайте записи с нужными вам ип адресами. и никакие днсы не нужны

 

[The_Immortal]

есть костыльный костыль - в хост сделайте записи с нужными вам ип адресами. и никакие днсы не нужны

Это трешачий треш Да и он неудобен, т.к. клиентов-то не один. И не все они на Венде.

ваш комп закешировал имена ресурсов скорее всего. ттл истечет и записи пропадут.

Да нет, не пропало. Всё функционирует так, как указано в 6-ом сообщении.

если у вас в конторе есть сетевик и админ - пускай они и рожают вам костыль

Сетевик есть, но он очень специфический А в каком хоть направлении костыль?
Мне вот на текущем этапе хочется понять каким образом задействовать корп. DNS-сервер таким образом, чтобы тот резолвил бы и внутренние, и внешние адреса.

 

[Smith]

Ipconfig /flushdns сделайте и посмотрите, перестанут ли резолвиться хосты.

Я не совсем понимаю о каких клиентах идет речь.
Я представил себе картину что вы из дома конектитесь в корпорат и что-то там делаете со своего компа. В таком случае клиент эт вы и ваш комп. Сетка у вас там малюсенькая, всего 126 хостов. Попросите список доменов зоны и сделайте себе из него файлик хостс.

Да и если у вас ваша схема уже взлетела, то какая разница на сколько она фейшуйная. У вас явно не требуется никаких сертификаций, нет отдела пентеста, безопасников и прочего сброда запрещальщиков.

 

[The_Immortal]

Ipconfig /flushdns сделайте и посмотрите, перестанут ли резолвиться хосты.

Сделал, не перестали.

Да и если у вас ваша схема уже взлетела, то какая разница на сколько она фейшуйная.

Ну мне вот очень не нравится двойной DNS-сервер... =/ Хотелось бы обойтись одним корпоративным, как это и посоветовал сетевик, намекнув на что-то проксирующее... Вы случайно не в курсе, что он мог иметь в виду?

 

[Smith]

Вы случайно не в курсе, что он мог иметь в виду?

думаю что локальный кэширующий днс. ставите виртуалочку с линушком, накатываете туда pdnsd или еще какой, указываете там ваши родительсткие днсы. а в системе указываете адрес этой виртуалочки, как днс сервера. Можно раскатать днс в виндозном wsl.

По мне так если есть ит задача ее должен реализовывать ит персонал. и не важно странный он или нет )

 

[The_Immortal]

По мне так если есть ит задача ее должен реализовывать ит персонал. и не важно странный он или нет )

Абсолютно с Вами согласен. Но я и есть ИТ-персонал, однако не по этим вопросам. Тем не менее повлиять конкретно на специалиста никакой возможности нет (да это ему и не надо), поэтому пытаюсь решить до конца задачу самостоятельно.

локальный кэширующий днс

Наткнулся на Хабре на статью "Делаем свой локальный DNS (PDNSD), с блэкджеком и быстрее Google Public DNS" (ссылки постить мне пока запрещено), где увидел следующее:

Именно включение параллельного опроса и дает нам основное преимущество в скорости, т.к. при нахождении результата в кеше любого из провайдеров мы получаем результат очень быстро, и не ждем полного и медленного разресолвивания если у первого провайдера нет ответа в кэше.

А потом вспомнил Ваши слова:

если это в10 то пуляет сразу на оба и применяет тот который быстрее или хотя бы ответил

Правильно ли я понимаю, что в случае с Win 10 преимущества по сравнению с самопальным локальный кэширующим днс никакой нет?

ставите виртуалочку с линушком, накатываете туда pdnsd или еще какой, указываете там ваши родительсткие днсы. а в системе указываете адрес этой виртуалочки, как днс сервера. Можно раскатать днс в виндозном wsl.

Вообще я хотел сделать это на роутере Keenetic KN-1810, однако pdnsd под его ОС не нашел. Есть ли вероятность, что если я на роутере забью корпоративный DNS среди прочих провайдерских в настройках Интернет-соединения вот таким образом (см. скрин), то роутер будет также действовать по отношению к DNS параллельно? Можно ли это как-то проверить?

 

[Smith]

Тем не менее повлиять конкретно на специалиста никакой возможности нет

Этого не может быть. Пишите служебную записку на имя начальника, тот пускай передает в отдел сетевиков и те пускай пилят.

Правильно ли я понимаю, что в случае с Win 10 преимущества по сравнению с самопальным локальный кэширующим днс никакой нет?

Точно ответить на этот вопрос не могу. Остается только пробовать.
попрововал вайршаркнуть, действительно отправляет запрос сразу на два.

Вообще я хотел сделать это на роутере Keenetic KN-1810, однако pdnsd под его ОС не нашел.

Забить забьете, но вы сами сказали, что обращения к нему возможны только из локалки. А рутер будет использовать внешний IP адрес и доступа к днс ессесно не получит.

как вариант, а он отнюдь не простой - поставить микротик.

тогда вы сможете сделать все что вам надо. я это вижу так:
1) микрот поднимает впн до вашего сервера.
2) микрот выполняет нат вашего локального дареса в адрес впна(что бы не прописывать маршрутизацию на удаленном сервере)
3) выполнять PBR DNS запросов определенной зоны, выбирая их L7 фаерволлом и видимо выполнять dstnat. Но тут я уже вряд ли подскажу. Это извращение.

У меня глупый вопрос, а внутреннего ИП у днс сервера разве нет? он же у вас палюбому в локалку смотрит, почему бы тупо не обращаться на него???!!!
А покажите вывод ipconfig подключенного впн соединения, может быть он и прилетает уже, а мы тут голову ломаем.

 

[The_Immortal]

Разрешите Вас от всей души поблагодарить, что не оставляете меня в одиночестве с этими страшными сетевыми штуками. Как 20 сообщений наберу, то, вероятно, смогу спасибить (иначе не знаю как ещё отблагодарить).

попрововал вайршаркнуть, действительно отправляет запрос сразу на два.

Я также решил собезъяничать и вайршаркнул по протоколу DNS как из-под Win 10, так и из-под Win 8.1.

Win 10:
4.681 - первый DNS
4.870 - второй DNS
Разница: 4.870 - 4.681 = 0,216 сек.

Win 8.1:
3.593 - первый DNS
3.619- второй DNS
Разница: 3.619 - 3.593 = 0,026 сек.

Получается, что Win10 всё-таки параллельно не работает? А Win 8.1 по каким-то причинам ещё быстрее справилась...

обращения к нему возможны только из локалки. А рутер будет использовать внешний IP адрес и доступа к днс ессесно не получит.

Да, всё так. Однако я собираюсь повесить с Кинетика через его PPTP-клиента постоянное соединение до локалки - для начала. Вообще, конечно, хотелось бы организовать GRE-туннель и более того over IPSec, но пока на это у меня мозг не способен. Да и не понимаю я могу ли вообще организовать туннель в одиночку, не привлекая при этом сетевика... Наверное, не смогу.

1) микрот поднимает впн до вашего сервера.

Я так и планировал сделать через Кинетик (PPTP-клиент), как указал выше.

микрот выполняет нат вашего локального дареса в адрес впна

Мм... А как это называется более формализовано? Может и Кинетик на такое способен - погуглю.

выполнять PBR DNS запросов определенной зоны, выбирая их L7 фаерволлом и видимо выполнять dstnat

Тут у меня задергался глаз...)

У меня глупый вопрос, а внутреннего ИП у днс сервера разве нет?

Вы не первый кто это спрашивает, но я так понял, что нет!

А покажите вывод ipconfig подключенного впн соединения

Вот смотрите ipconfig с локальной машины на предприятии с поднятым VPN (первое - VPN, второе - локалка):

Адаптер PPP Inet:

   Описание. . . . . . . . . . . . . : Inet
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.33.72(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0
   DNS-серверы. . . . . . . . . . . : 91.215.218.123
   NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Ethernet 2:

   DNS-суффикс подключения . . . . . : somedomain
   IPv4-адрес. . . . . . . . . . . . : 192.168.32.64(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.128
   Основной шлюз. . . . . . . . . : 192.168.32.1
   DHCP-сервер. . . . . . . . . . . : 192.168.32.1
   DNS-серверы. . . . . . . . . . . : 91.215.218.123 
   Основной WINS-сервер. . . . . . . : 192.168.32.1
   NetBios через TCP/IP. . . . . . . . : Включен

 

[Smith]

Вот смотрите ipconfig с локальной машины

ну днс он присылает. по этому указывать днс еще раз смысла нет. У вас стоит галочка в свойствах ipv4 впн соединения "использовать основной шлюз в удаленной сети"? видимо да - по этому весь трафик идет в туннель, в том числе и днс. никаких маршрутов прописывать не надо. все должно и так работать.

Вы не первый кто это спрашивает, но я так понял, что нет!

это может быть если сервак таки выделен в дмз.

Я также решил собезъяничать и вайршаркнул

не правильно шаркаете. поставьте на мониторинг и сделайте пинг любого неизвестного узла по имени - увидите результат.

 

[The_Immortal]

У вас стоит галочка в свойствах ipv4 впн соединения "использовать основной шлюз в удаленной сети"?

На работе (я ведь оттуда ipconfig показывал) да, стоит. Без этой галочки на работе не резолвятся внешние имена.

Дома же галочка эта, естественно не стоит, т.к. иначе у меня весь трафик будет уходит в туннель, чего мне не надо, ибо Интернет-канал на работе много меньше чем мой домашний. ipconfig из дома при поднятом VPN (без использования основного шлюза в удаленной сети):

Адаптер PPP VPN_Work:

   Описание. . . . . . . . . . . . . : VPN_Work
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.33.85(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 91.215.218.123
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Ethernet:

   DNS-суффикс подключения . . . . . :
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.20(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DHCP-сервер. . . . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 91.215.218.123 
                                       192.168.1.1
   NetBios через TCP/IP. . . . . . . . : Включен

DNS-серверы на локальном соединении "Ethernet adapter Ethernet" прописаны вручную.

поставьте на мониторинг и сделайте пинг любого неизвестного узла по имени - увидите результат.

Я так и делал - всё равно временная разница между опросом указанных DNS-серверов составляет ~от 0.1 до 0.25 сек.

 

[The_Immortal]

никаких маршрутов прописывать не надо. все должно и так работать.

Из дома без маршрута во внутреннюю сеть никак, т.к. основной шлюз на моей стороне, а не на удаленной.

 

[Smith]

1) Ни гре, ни шифрование вы не поднимите без соответствующих настроек со стороны впн сервера.
2) Получается, что мы пошли уже по второму кругу. У вас либо впн + маршруты в офис и свой шлюз в интернет, либо весь трафик в впн.

 

[The_Immortal]

1) Ни гре, ни шифрование вы не поднимите без соответствующих настроек со стороны впн сервера.
2) Получается, что мы пошли уже по второму кругу. У вас либо впн + маршруты в офис и свой шлюз в интернет, либо весь трафик в впн.

Это я всё понимаю. На самом деле сейчас я долблю вопрос с DNS'ами.

Я так и делал - всё равно временная разница между опросом указанных DNS-серверов составляет ~от 0.1 до 0.25 сек.

попрововал вайршаркнуть, действительно отправляет запрос сразу на два.

Вы не могли бы показать скрин, как у Вас выглядит параллельный запрос? А то может эта временная разница и означает параллельность на самом деле...