（バグ？）DNS接続時に、DNSプロファイルで設定したDNSサーバを利用しない

>3。で共有シークレットを設定と書かれてますが、IKEv2に共有シークレットなんてあるかな？

Macユーザでしょうか・・？以下のとおり、ありますよ。

（1）インターフェイスを新規作成

（2）上記1で作成したVPNインターフェイスの中で、認証設定をクリックして、以下を表示

（3）上記1で作成したVPNインターフェイスの中で、詳細をクリックして、以下を表示

DNSサーバのアドレスを指定

どこか間違っていますか？

なお、設定は、何度も作り直しています。

設定変更後の再起動も複数回、実施しています。

3台の異なるMac端末で同じ不具合を確認しています。

そもそも、この問題は、Mac端末がVPNインターフェイスで設定したDNSサーバにパケットを出していないので、

DNS終端装置（VPNサーバ）は、関係ないです。Mac端末の通信ログはすべて確認済みです。

仮に、上記（3）で設定したDNSサーバの設定がいきていれば、

「scutil --dns」、および「/var/run/resolv.conf」で確認できると思うのですが、いずれも確認できませんでした。

また、dig @でVPNサーバを指定すれば、名前解決はできますし、ルーティングの問題であれば、失敗するはずですよね？

そのため、Mac端末側の不具合ではないか、と思っています。

どなたか、正常動作を確認された方はいるのでしょうか？

当方のパラメタ指定ミスなどありましたら、具体的にご指摘いただけると助かります。

もし宜しければ、テスト環境の詳細情報を教えていただけますか？

VPNクライアントの情報

1. エージェントは利用せず、Macのネイティブを利用

2. 利用Mac端末の機種とバージョン

3. VPNのパラメータ

VPNサーバ側の設定

1. 機種

目的

リモートから、社内のサーバにIPアドレスではなく、FQDNでアクセスしたい。

問題点

Windows端末では、問題ないが

Mac端末では、VPNプロファイルのDNSサーバ設定が効かなく、動作しない

VPNプロファイルの中で、特定のドメインを指定しない場合でも（ステップ4）、

VPNプロファイルの中で、社内のドメインを指定した場合でも（ステップ10）

そのドメインを含んだFQDNを持つ社内サーバの名前解決ができない。

状況か理解できましたでしょうか？

〉dig の@serverで社内dnsサーバをipアドレスで指定したら社内ホストの名前解決はできるのですか？

はい、VPNが接続されている状態で、dig @DNSサーバを指定すれば、期待どおりにアドレスは引けます。

〉社内のホストのfqdnはグローバルでも通用する名前がついてますか？

はい。

〉ipv6のため（ipv6のdnsに問い合わせが行ってる）という可能性は？

ないです。ネットワークは、IPv4のみで構成されていて、すべてのノードはIPv4のみのアドレスのみを持っています。

〉すべてのトラフィックをVPNに通す設定をしないとVPNじゃない接続回線のdnsで解決しようとするのでおっしゃる通りの問題がおきます。

スプリットトンネルのような設定はしてない（デフォルトから変えていない）のですが、具体的にどこの設定をどのようにすればいいのでしょうか？

不具合再現手順のステップ9と11に誤記がありました。正しくは以下です。

1。ネットワーク環境設定＞新規インターフェイス作成にて、以下のパラメタを入れてVPNインターフェイスを作成

●インターフェイス：VPN

●VPNタイプ: IKEv2

2。サーバアドレス、リモートID、ローカルIDを設定

3。認証設定＞認証設定のプルダウンから「なし」を選択、共有シークレットを設定、OKをクリック

4。詳細＞DNSサーバで社内のDNSサーバを指定、OKをクリック

5。適用をクリックし、VPNインターフェイスの作成を完了

6。接続をクリックし、正常にVPN終端装置（VPNサーバ）に接続できることを確認。

7。IPアドレスを指定したウェブ通信ができることを確認

8。FQDNで指定したウェブ通信ができない不具合を確認

9。「scutil --dns」、および「/var/run/resolv.conf」では、上記4で指定したDNSサーバの設定が反映されていないことを確認。（不具合）

10。以下のコミュニティサイトを参考に、上記で作成したVPNインターフェイス＞詳細＞検索ドメインにて、社内のドメインを入力、OKをクリック、適用をクリック

https://community.spiceworks.com/topic/696734-vpn-on-a-mac-cannot-resolve-name

11。「/var/run/resolv.conf」では、上記10で設定した内容が反映されていないことを確認。（不具合）

12。digで社内サーバを引いても、上記4で指定したDNSサーバを参照していないことを確認。（不具合）

＜追加情報＞

VPN接続後に「/var/run/resolv.conf」にて、dnsserverの設定を手動で入力すれば、DNSクエリーは指定したサーバに飛びますが、

VPNの切断→接続すると、手動で設定したDNSサーバの情報は消えるため、「/var/run/resolv.conf」の編集はワークアラウンドにはならない。

Mac端末は、有線インターフェイスがないため、WiFiインターフェイスを利用

WiFiインターフェイスではリンクローカルのみとしている

＞vpnの構成がすべてのtrafficをvpnに向けてない設定になってる

上記を確認するためには、どこのプロファイルを確認すればいいのでしょうか？

ナビゲートいただけますか？当方のMacはバージョン10.15.6（Catalina）です。

システムの構成

社内にDNSサーバグループが2つあり（DNSグループ1とDNSグループ2とします。各グループでは、持っているレコードが異なります。）、VPN終端装置がVPNクライアントに通知するDNSサーバは、DNSグループ1のアドレスのみです。

今回の要件は、特定のユーザに関しては、DNSグループ2のDNSサーバを使わせたい、というものです。

ただし、DNS終端装置は、接続VPNクライアントごとに通知するDNSサーバを変えられないため、DNSグループ2を参照したいユーザ端末側のVPNプロファイルでDNSグループ2のサーバアドレスを指定しています。

しかし、Mac端末は、VPNプロファイルで設定したDNSサーバの情報を使わずに、常にVPN終端装置が通知したDNSサーバグループ1にDNSクエリーを送信しています。

VPNプロファイルで指定したDNSサーバを使わせるためには、どうすればいいのでしょうか？

正常動作を確認された方はいるのでしょうか・・？

つまり、Macの仕様として、以下ということでしょうか？

1. VPN serverがDNSサーバの情報を通知してこない場合にのみ、Mac端末のVPNプロファイルで指定したDNSサーバが参照され、VPN serverがDNSサーバの情報を通知してきた場合は、Mac端末のVPNプロファイルで指定したDNSサーバ設定は無視される。
2. また、このMacの動作を変えるワークアラウンドはない。

通常、動的にシステムから通知された情報よりも、静的にユーザが指定した情報の優先度が高いのですが、

Mac+VPN+DNSの環境においては、静的に設定したものより、動的に通知されたものが優先される、というのがMacの仕様なのでしょうか？

ちなみにこの回答は、sureでしょうか？それとも、believe/guessでしょうか？

※一般的なEnterpriseにおけるDNSの構成については理解していますが、当方のネットワークは、中国を含めた世界数十拠点にあり、中国拠点の一部のユーザにおいては、特定のDNSサーバを参照させないといけない事情があります。

はい、もちろん使えています。

VPNを使っているときに、VPNプロファイルで指定した社内DNSサーバで名前解決出来なくて、困っている、という問い合わせです。。