Problemen met DNS-resolutie via VPN op Windows oplossen

Hoe los je VPN DNS- en routeringsproblemen op in Windows?

Soms gedragen VPN’s in Windows zich alsof ze een eigen wil hebben. Je maakt verbinding, maar de DNS-resolutie werkt niet goed, of het verkeer wordt niet gerouteerd zoals je zou verwachten. Misschien lossen lokale netwerkapparaten geen namen op, of voelt de internettoegang vreemd aan. Het kan allemaal behoorlijk verwarrend zijn, vooral omdat Windows veel automatische instellingen heeft die mensen in de war brengen, zoals metrics, split-tunnelconfiguraties of DNS-lekinstellingen. Deze handleiding behandelt enkele veelvoorkomende oorzaken en hoe je ze kunt oplossen, zodat je VPN zich gedraagt ​​zoals het hoort. Je krijgt inzicht in of de standaardinstellingen van Windows daadwerkelijk problemen veroorzaken en hoe je dingen kunt aanpassen (met opdrachten en GUI-opties) om je VPN precies te laten gebruiken wat je nodig hebt en het verkeer correct te routeren.

Hoe VPN DNS- en routeringsproblemen in Windows op te lossen

Wat is het verschil tussen de Force Tunnel- en de Split Tunnel-modus?

De modus ‘Geforceerde tunnel’ (waarbij ‘Gebruik standaardgateway op extern netwerk’ is ingeschakeld in de VPN-instellingen) is erg gebruikelijk. Het is ideaal voor al het verkeer dat via de VPN loopt, maar het kan soms de lokale naamresolutie verstoren. Windows stuurt in principe alle DNS-query’s naar de DNS-servers van de VPN, wat problemen kan veroorzaken als deze niet geconfigureerd zijn om namen van LAN-apparaten op te lossen of als uw lokale netwerk namen op een andere manier moet oplossen.’Gesplitste tunnel’ (met ‘Gebruik standaardgateway op extern netwerk’ uitgeschakeld) zorgt ervoor dat uw lokale netwerk gewoon blijft werken en stuurt alleen specifiek verkeer naar de VPN. Dat is minder ingrijpend, maar het betekent wel dat u moet weten welke DNS-servers worden gebruikt voor de resolutie, vooral als u wilt dat uw DNS-query’s via de VPN lopen.

Waarom de statistieken van interfaces belangrijk zijn en hoe je ze kunt aanpassen.

Windows verstuurt DNS-query’s via de netwerkinterface met de *laagste* metric (de “prioriteit”).Maar als uw Ethernet-verbinding bijvoorbeeld een metric van 25 heeft en de VPN-verbinding een metric van 100, worden DNS-verzoeken standaard via Ethernet verzonden en niet via de VPN. Dit is niet ideaal als u DNS via de VPN wilt gebruiken. Het wijzigen van de metrics kan helpen om DNS via de VPN af te dwingen. Om te zien wat er gebeurt, voert u de volgende opdracht uit in PowerShell: `powershell Get-NetIPInterface | Sort-Object Interfacemetric`.Dit toont alle netwerkinterfaces gesorteerd op metric. Als de metric van uw Ethernet-verbinding lager is, wordt DNS lokaal opgelost en niet via de VPN. Om de metric *handmatig* te wijzigen, opent u PowerShell als beheerder en voert u de volgende opdracht uit: `powershell Set-NetIPInterface -InterfaceIndex`-InterfaceMetric 120 Je vindt de juiste `` van de vorige opdracht. Of ga in de GUI naar Configuratiescherm > Netwerk en deelcentrum > Adapterinstellingen wijzigen, klik met de rechtermuisknop op uw Ethernet-adapter, selecteer Eigenschappen, vervolgens Internetprotocol versie 4 (TCP/IPv4), klik op Eigenschappen en vervolgens op Geavanceerd. Schakel Automatische metrische waarde uit en stel uw aangepaste waarde hoger in dan die van de VPN. Sommige gebruikers krijgen vreemde resultaten en moeten de metrische waarde van de VPN-interface *verlagen* of verhogen, afhankelijk van hun behoeften.—

Hoe u specifiek verkeer kunt routeren of VPN-instellingen kunt wijzigen

Als u wilt dat DNS-resolutie plaatsvindt via de DNS-servers van de VPN in plaats van het lokale netwerk, moet u de VPN-verbindingsinstellingen aanpassen of PowerShell gebruiken: `powershell Set-VpnConnection -Name “VPN_work” -SplitTunneling $True` of `Set-VpnConnection -Name “VPN_work” -DnsSuffix “yourdomainname.com”`.Hiermee wordt de Smart Multi-Homed Name Resolution (SMHNR)-functie uitgeschakeld, die standaard is ingeschakeld en DNS-query’s buiten de VPN kan lekken. Dit is niet ideaal als privacy belangrijk voor u is. Om SMHNR uit te schakelen via Groepsbeleid (dit is alleen van toepassing als u gemachtigd bent om beleidsregels te wijzigen): – Open gpedit.msc – Navigeer naar Computerconfiguratie > Administratieve sjablonen > Netwerk > DNS-client – Schakel Slimme multi-homed naamresolutie uitschakelen in. Of stel dit rechtstreeks in het register in: powershell Set-ItemProperty -Path “HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient” -Name “DisableSmartNameResolution” -Value 1 -Type DWord Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters” -Name “DisableParallelAandAAAA” -Value 1 -Type DWord —

Statische routes toevoegen voor specifieke subnetten via VPN

Wil je dat bepaalde subnetten altijd via de VPN lopen? Zo doe je dat: powershell Add-VpnConnectionRoute -ConnectionName “VPN_work” -DestinationPrefix 172.16.15.0/24 Add-VpnConnectionRoute -ConnectionName “VPN_work” -DestinationPrefix 10.2.1.0/24 Hetzelfde geldt voor OpenVPN: je kunt routes en DNS-servers pushen met: plaintext push “route 10.2.2.0 255.255.255.0” push “dhcp-option DNS 192.168.115.11” Zorg er wel voor dat je server deze instructies ondersteunt.

Hoe zorg ik ervoor dat DNS-query’s via VPN verlopen in plaats van via het lokale netwerk?

In sommige configuraties stuurt Windows standaard DNS-verzoeken via de interface met de laagste metric. Om VPN-DNS prioriteit te geven, verhoogt u de metric van de Ethernet-interface (zoals eerder beschreven) of past u de metric van de netwerkinterface van uw VPN aan zodat deze lager is dan die van uw LAN-interface. Houd ook rekening met de SMHNR-functie. Deze kan ervoor zorgen dat DNS-query’s buiten de versleutelde tunnel lekken. Het uitschakelen hiervan via groepsbeleid of het register kan lekken helpen voorkomen, vooral als privacy een belangrijk aandachtspunt is.

Samenvatting

  • Ken het verschil tussen Force Tunnel en Split Tunnel — ze hebben een aanzienlijke invloed op DNS en routering.
  • Controleer de interfacemetrieken met Get-NetIPInterface— DNS gebruikt doorgaans de interface met de laagste metriek.
  • Pas de interface-statistieken aan via de grafische gebruikersinterface of PowerShell om VPN DNS-verkeer prioriteit te geven.
  • Beheer VPN-routes en DNS-instellingen rechtstreeks in PowerShell of via de verbindingseigenschappen om datalekken of problemen met naamresolutie te voorkomen.
  • Schakel ‘slimme multi-homed naamresolutie’ uit als u zich zorgen maakt over DNS-lekken of resolutieproblemen.

Samenvatting

Het soepel laten werken van VPN DNS en routing in Windows kan een hele zoektocht zijn, vooral omdat de standaardinstellingen niet altijd optimaal zijn. Experimenteer met interface-metrics, schakel SMHNR indien nodig uit en stel statische routes in voor lastige subnetten. Het is een kwestie van uitproberen, maar als alles eenmaal goed staat, gedraagt ​​de VPN zich veel voorspelbaarder. Hopelijk helpt dit iemand om de verwarring te doorbreken.