如何使用网络管理器为 VPN 设置拆分 DNS

Question 1

为了使 NetworkManager 运行的 D-Bus 控制的 dnsmasq 使用不同的 DNS 服务器，有以下选项（显然在示例中调整域和 IP 地址）：

添加一个文件来/etc/NetworkManager/dnsmasq.d设置所需子网的 DNS 服务器：myvpn-server.conf可以包含server=/myvpn.domain.com/10.8.4.9。即使未连接到 VPN，dnsmasq 也始终会遵守此规则，在这种情况下，对这些域的查询应该会超时。缺点是您需要静态指定 IP 地址，优点是简单
使用 D-Bus 直接与 dnsmasq 对话，告诉它使用类似来更新服务器sudo dbus-send --system --print-reply --dest=org.freedesktop.NetworkManager.dnsmasq /uk/org/thekelleys/dnsmasq uk.org.thekelleys.SetDomainServers "array:string:192.168.0.1,/myvpn.domain.com/10.8.4.9"。这可以在 VPN 连接时编写脚本。您需要192.168.0.1通过 D-Bus 或使用查找现有 DNS 服务器（在我的示例中为）nm-cli
使用 D-Bus 与网络管理器本身对话并告诉它更新服务器。以下是一个例子使用 Python 来做这件事需要做一些工作来包含当前服务器。

我正在使用第一个选项，并且只尝试了其他两个的初步版本

Answer

为了使 NetworkManager 运行的 D-Bus 控制的 dnsmasq 使用不同的 DNS 服务器，有以下选项（显然在示例中调整域和 IP 地址）：

添加一个文件来/etc/NetworkManager/dnsmasq.d设置所需子网的 DNS 服务器：myvpn-server.conf可以包含server=/myvpn.domain.com/10.8.4.9。即使未连接到 VPN，dnsmasq 也始终会遵守此规则，在这种情况下，对这些域的查询应该会超时。缺点是您需要静态指定 IP 地址，优点是简单
使用 D-Bus 直接与 dnsmasq 对话，告诉它使用类似来更新服务器sudo dbus-send --system --print-reply --dest=org.freedesktop.NetworkManager.dnsmasq /uk/org/thekelleys/dnsmasq uk.org.thekelleys.SetDomainServers "array:string:192.168.0.1,/myvpn.domain.com/10.8.4.9"。这可以在 VPN 连接时编写脚本。您需要192.168.0.1通过 D-Bus 或使用查找现有 DNS 服务器（在我的示例中为）nm-cli
使用 D-Bus 与网络管理器本身对话并告诉它更新服务器。以下是一个例子使用 Python 来做这件事需要做一些工作来包含当前服务器。

我正在使用第一个选项，并且只尝试了其他两个的初步版本

Question 2

这很可能是服务器端的配置问题。vpn 服务器应该只推送自己可以解析的域名。

例如如果你使用 openvpn 服务器，用户配置可能如下所示：

ifconfig-push 172.16.0.51 255.255.255.0
push "route 172.16.1.0 255.255.255.0 172.16.0.1"
push "route 192.168.2.0 255.255.255.0 172.16.0.6"
push "dhcp-option DNS 172.16.0.1"
push "dhcp-option DOMAIN some.of.your.domains"
push "dhcp-option DOMAIN another.domain"

这样，您的客户端就知道，您的服务器只能解析此处指定的域。

如果使用 Networkmanager，dnsmasq 配置可以非常简单：

domain-needed
interface=lo
bind-interfaces

还有一个常见的陷阱：您必须在网络管理器中将您的 vpn 连接 ip 设置配置为“仅将连接用于其网络上的资源”（如下所示：https://brmlab.cz/_media/project/warzone/nv-routes.png）

否则，路由将始终通过“真实”接口使用您的 vpn 连接。网络管理器通常会正确设置指标（vpn 的指标高于底层网络的指标）

Answer