Hi,
wir haben bei uns einen internen, nur übers VPN erreichbaren DNS-Server, der für die Namensauflösung unserer internen Domain zuständig ist.
Aktuell läuft die Opnsense so, dass die Systemeinstellungen öffentliche DNS-Server vorgeben und der eingebaute dnsmasq per Domainüberschreibung den internen VPN-DNS für die Domain anfrägt.
Vom dnsmasq ist der DNS-Cache per "no-cache" deaktiviert, sodass sofort nach Aufbau des VPN-Tunnels der VPN-DNS die richtigen internen IP's liefert.
Funktioniert auch so, nachgeprüft per nslookup.
Eine der internen Dienste ist eine Website. Die öffentlich aufgelöste IPv4 unterscheidet sich von der intern aufgelösten IPv4.
Ist auch kein Problem für dnsmasq.
Jetzt kommt aber der Squid ins Spiel. Dieser behält, sollte der VPN-Tunnel nicht bestehen, die öffentlich aufgelöste IPv4 im Cache, sodass die falsche Website ausgegeben wird.
Startet man den Squid nach VPN-Aufbau neu, funktioniert alles wieder wie gewollt und die vom VPN-DNS gelieferte IP wird verwendet.
Es ist natürlich auf Dauer keine Lösung, jedes mal alle Squids bei VPN-Neustart o.ä. neuzustarten, da wir eine mittlere zweistellige Standortanzahl haben.
Habt ihr eine Lösung / Option, um den IP-Cache von Squid zu deaktivieren?
Oder andere Lösungsansätze?
Danke für euren Input!
Viele Grüße!
Ist eure Bandbreite so gering das ihr unbedingt einen Proxy benötigt, ich würde den nicht nutzen (wollen)
Gesendet von iPhone mit Tapatalk Pro
Bandbreite ist genügend vorhanden, der Cache ist auch komplett deaktiviert.
Squid ist im Einsatz für zentrale Zugriffsverwaltung auf Websiten und das entsprechende Logging.