Hej team,
Jag har satt upp en punkt-till-plats VPN-anslutning från min bärbara dator till VNet med Azure Virtual Network Gateway. VPN-anslutningen fungerar bra och jag kan komma åt VM:arna som finns i VNet med de privata IP-adresserna.
Jag har också skapat ett Key Vault med stöd för privat länk, så att jag kan komma åt nyckellådan från min bärbara dator via VPN. Från VM i VNet löser DNS-posten för Key Vault (.vault.azure.net) korrekt till intern IP.
Men från min bärbara dator löses inte DNS-namnet “.vault.azure.net” till privat IP. Den kan få CNAME-posten i den privata DNS-zonen, alltså “.privatelink.vaultcore.azure.net”, men den löser inte till endpointens privata IP.
Det verkar som att den inte kan kontakta den privata DNS-zonen från min bärbara dator för att lösa CNAME-posten.
Jag läste att vi behöver konfigurera en DNS-forwarder i VNet som vidarebefordrar DNS-frågorna till Azure DNS “168.63.129.16” för att detta ska fungera.
Mina frågor är:
- Utöver att konfigurera DNS-forwarder i en VM, finns det något annat alternativ eftersom VM:s otillgänglighet orsakar DNS-frågeproblem?
- Finns detta problem även i Site-to-Site VPN-anslutningen?
- Hur konfigurerar jag IP-adressen för DNS-forwarder i min StrongSwan Network Manager GUI-konfiguration? (Jag försökte lägga till DNS-serveradressen, men den accepterar inte DNS-serverns IP)
Kan ni hjälpa mig med detta?
Point to site VPN i Azure respekterar inte privata DNS-zoner från Azure.
För att korrekt lösa dessa poster måste DNS styras manuellt (Windows DNS-serverroll, BIND, etc.) genom att sätta vNet DNS från automatisk till IP-adressen för din DNS-lösning.
Detta kommer sedan att ärvas för inkommande VPN-anslutningar.
(Se till att ställa in forwarders till Azures DNS på din DNS-server så att den, om den inte kan lösa dina manuella överstyrningar, kan lösa alla andra resurser korrekt.)
Det fungerar. Jag ansluter till Azure med P2S VPN med AAD-autentisering.
- Du kan konfigurera Azure Firewall (eller vilken VM som helst som kan agera som en DNS-server) för att fungera som DNS-proxy till Azure DNS-adressen 168.63.129.16.
- Knyt alla dina privata DNS-zoner i Azure till Azure Firewall VNET.
- Konfigurera sedan dina VPN-klienter med Azure Firewall IP-adressen som deras DNS-server enligt denna: Configure Azure VPN Client - Microsoft Entra ID authentication - Microsoft-registered App ID - Windows - Azure VPN Gateway | Microsoft Learn
- Då kommer de att fråga DNS-servrar som känner till privatlänkszonerna….
För att kunna komma åt privat slutpunkt via dess DNS måste du använda en DNS-forwarder för att lösa från en miljö som inte är i Azure. Jag skrev om en sådan scenariot - azure/paas-vnet-02 at master · groovy-sky/azure · GitHub
Jag lägger till detta - för att detta ska fungera för mig (vi använder Azure AD DS för DNS-servrar) var tvungen att implementera en forwarder på min DNS-server
Hej u/PlowNetworks,
Tack för svaret.
Jag har också konfigurerat en site-to-site VPN med Azure VNet Gateway och StrongSwan (AWS EC2). Men i det här fallet funkar inte heller namnlösningen av den privata DNS-zonen från AWS-sidan.
Så för både P2S och S2S fungerar inte lösningen för privat DNS-zon som standard? Eller är det någon felaktig konfiguration?
Kan ni uppdatera mig?
Hej u/groovy-sky,
Tack för dokumentlänken. Jag har läst dokumentet och det innehåller alla nödvändiga detaljer.