Strony z za VPN potrzebują dużo czasu na załadowanie

[moroboro]

Cześć

Ubuntu 22.10
Stacja dokująca: Dell K17A
Komputer: Dell Latitude 5591

Kiedy łączę się do VPN-a to strony do których jest dostęp tylko przez VPN nie ładują się od razu jak inne strony dostępne bez ograniczeń. Mam na myśli to, że strona jest niedostępna ewentualnie ładuje się i ładuje i lata tylko loader na pasku, ale później (po ~15sek) strona się ładuje, ewentualnie trzeba ją odświeżyć. Jak już się załaduje to mogę normalnie ładować/wchodzić na strony z za VPNa. Następnie jeśli zacznę robić coś innego (np pisać post na tym forum) i po chwili wracam do stron z za VPNa, zwnowu dzieje się to samo

Komunikat który się wyświetla w oczekiwaniu na stronę:

Niestety… nie można przejść do tej stronySprawdź, czy w nazwie hosta jira-p.objectivity.co.uk występuje literówka.
DNS_PROBE_FINISHED_NXDOMAIN

Do łączenia z VPNem używam klienta FortiClient VPN.

Do tej pory używałem Xubuntu 20.04 LTS i na nim ten problem nie występował.

resolv.conf

Kod: Zaznacz cały

nameserver 127.0.0.53
options edns0 trust-ad
search domena_mojej_firmy

Kod: Zaznacz cały

~ ip addr show            
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eno2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether c8:f7:50:16:68:58 brd ff:ff:ff:ff:ff:ff
    altname enp0s31f6
    inet 192.168.100.56/24 brd 192.168.100.255 scope global dynamic noprefixroute eno2
       valid_lft 85561sec preferred_lft 85561sec
3: enxc8f7509ac683: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether c8:f7:50:9a:c6:83 brd ff:ff:ff:ff:ff:ff
4: wlo1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether fc:77:74:1a:5b:03 brd ff:ff:ff:ff:ff:ff
    altname wlp0s20f3
7: vpn: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none 
    inet 10.101.127.9/32 scope global vpn
       valid_lft forever preferred_lft forever
    inet6 fe80::1d1d:e927:20ca:da1c/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Dodam, że DNSy po połączeniu z VPNem wpisują się w ustawieniach jak na załączonym screenie https://drive.google.com/file/d/1eNxMoB ... g_dLd/view

Intuicja mi mówi, że coś jest z DNSem, ale nie bardzo wiem jak ten problem ugryźć.

Sprawdziłem coś jeszcze, a mianowicie głównie chodzę po jira, która jest za vpnem. Więc będąc w VPNie sprawdziłem IP Jiry i mając już te dane, dodałem to IP i URL do '/etc/hosts' ale wtedy jira przestałą się kompletnie ładować.

Kod: Zaznacz cały

127.0.0.1	localhost
127.0.1.1	LAPNAME
127.0.0.53      jira.mojafirma.pl

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

[mario_7]

A takie podstawowe rzeczy jak ping, host czy nslookup sprawdziłeś? Też mają takie opóźnienia?
W /etc/hosts nie ustawia się IP systemd-recsolved jako IP dla domeny - to nie zadziała (127.0.0.53 to IP usługi systemd-resolved).
Sprawdź zatem takie polecenia:

Kod: Zaznacz cały

ping domena
host domena
nslookup domena
systemd-resolve --status > log.log

[moroboro]

Jeśli chodzi o ping, to pierwsze wywołanie nie daje żadnej odpowiedzi, a drugie już działa (wykonane jedno po drugim) tak jak poniżej:

Kod: Zaznacz cały

~ ping jira.mojafirma.pl
ping: jira-p.mojafirma.pl: Odwzorowanie nazwy jest chwilowo niemożliwe
~ ping jira.mojafirma.pl
PING jira-p.mojafirma.pl (10.2.x.xxx) 56(84) bytes of data.
64 bytes from MOJFIRM-P.mojafirma.pl (10.2.x.xxx): icmp_seq=1 ttl=126 time=10.5 ms
64 bytes from MOJFIRM-P.mojafirma.pl (10.2.x.xxx): icmp_seq=2 ttl=126 time=10.4 ms
64 bytes from MOJFIRM-P.mojafirma.pl (10.2.x.xxx): icmp_seq=3 ttl=126 time=9.70 ms
64 bytes from MOJFIRM-P.mojafirma.pl (10.2.x.xxx): icmp_seq=4 ttl=126 time=9.52 ms
64 bytes from MOJFIRM-P.mojafirma.pl (10.2.x.xxx): icmp_seq=5 ttl=126 time=9.73 ms
64 bytes from MOJFIRM-P.mojafirma.pl (10.2.x.xxx): icmp_seq=6 ttl=126 time=9.40 ms

Jeśli chodzi o host to sprawa trochę bardziej się komplikuje, a mianowicie host nic nie odpowiada, więc odpalam komendę ping dwa razy aby zaczęło działać i dopiero wtedy host zwraca mi odpowiedź jak poniżej:

Kod: Zaznacz cały

~host jira.mojafirma.pl
;; connection timed out; no servers could be reached

~host jira.mojafirma.pl
Host jira.mojafirma.pl not found: 2(SERVFAIL)

~host jira.mojafirma.pl
;; connection timed out; no servers could be reached

~ ping jira.mojafirma.pl
ping: jira-p.mojafirma.pl: Odwzorowanie nazwy jest chwilowo niemożliwe

~ ping jira.mojafirma.pl
PING jira-p.mojafirma.pl (10.2.x.xxx) 56(84) bytes of data.
64 bytes from MOJFIRM-P.mojafirma.pl (10.2.x.xxx): icmp_seq=1 ttl=126 time=10.5 ms
64 bytes from MOJFIRM-P.mojafirma.pl (10.2.x.xxx): icmp_seq=2 ttl=126 time=10.4 ms
--- jira.mojafirma.pl ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 10.204/10.412/10.620/0.208 ms

~host jira.mojafirma.pl
jira.mojafirma.pl is an alias for pljira-p.mojafirma.pl.
pljira-p.mojafirma.pl has address 10.2.x.xxx

nslookup:

Kod: Zaznacz cały

~ nslookup jira.mojafirma.pl
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
jira.mojafirma.pl	canonical name = pljira-p.mojafirma.pl.
Name:	pljira-p.mojafirma.pl
Address: 10.2.x.xxx

Natomiast polecenia "systemd-resolve --status > log.log" nie mogę wykonać, dostaję następujący komunikat:

Kod: Zaznacz cały

~ systemd-resolve --status > log.log 
zsh: command not found: systemd-resolve

Jeśli pinguje bezpośrednio IP to nie mam żadnego problemu z dostaniem odpowiedzi, ale już ping na adres url to zachowuje się jak powyżej to opisałem.

Kod: Zaznacz cały

sudo /lib/systemd/systemd-resolved               
Positive Trust Anchors:
. IN DS 20326 8 2 e06d44b5543334595c0b0d7c65d08458e880409bbc683457104237c7f8ec8d
Negative trust anchors: home.arpa 10.in-addr.arpa 16.172.in-addr.arpa 17.172.in-addr.arpa 18.172.in-addr.arpa 19.172.in-addr.arpa 20.172.in-addr.arpa 21.172.in-addr.arpa 22.172.in-addr.arpa 23.172.in-addr.arpa 24.172.in-addr.arpa 25.172.in-addr.arpa 26.172.in-addr.arpa 27.172.in-addr.arpa 28.172.in-addr.arpa 29.172.in-addr.arpa 30.172.in-addr.arpa 31.172.in-addr.arpa 168.192.in-addr.arpa d.f.ip6.arpa corp home internal intranet lan local private test
Using system hostname 'NBMXXXXXX'.
Another process is already listening on TCP socket 127.0.0.53:53.
Turning off local DNS stub support.

[mario_7]

To ostatnie polecenie w nowszych wersjach Ubuntu faktycznie już nie działa, jest zastąpione innym:

Kod: Zaznacz cały

resolvectl status > log.log

może jeszcze parę logów do tego pliku wrzuć:

Kod: Zaznacz cały

nmcli device show >> log.log
journalctl -b --unit systemd-resolved >> log.log

wrzuć plik log.log (albo wklej jego zawartość)

Być może problemem jest to, że to sam klient VPN nie potrafi poprawnie skonfigurować interfejsu/usług w systemie:
https://community.fortinet.com/t5/Forti ... m-p/209818

Jeśli masz możliwość skorzystania z innego klienta VPN - spróbuj.

[moroboro]

Dzisiaj zainstalowałem 22.04 mając nadzieję, że na nim problem nie będzie występował - niestety też to się dzieje, z tą różnicą, że teraz strony za VPNem ładnie działają, ale te ze świata mają podobne "zwiechy" jak to miało wcześniej miejsce z tym z za VPNa.
Dzisiaj szukałem jakiegoś klienta alternatywnego do FortiClient VPN, ale nie znalazłem żadnego który ma wsparcie dla SSO. Dochodzę do wniosku, że to faktycznie może być problem z klientem, poprzednio musiałem mieć zainstalowaną wersję klienta mocno starszą. Szkoda, że Forti nie wystawia archiwalnych paczek klientów, bo bym spróbował jak on zachowywał się na starej paczce.

[arecki]

Jak zarejestrujesz u nich konto to będziesz miał dostęp do starszych wersji.
Zamiast używać klienta forti, możesz też zestawić łącze VPN za pomocą systemowego NM.

[moroboro]

Wczoraj jeszcze zainstalowałem FortiClient (nie mylić z FortiClient VPN) w wersji 7.0.7.0246 i wszystko działa dobrze. Minus jest tego taki, że FortiClient nie jest darmowy, wersja próbna jest na jeden miesiąc. Natomiast u mnie w firmie po połączeniu klienta do EMS-a pobiera licencję i wszystko działa (kiedyś to nie działało dla Linuksów, dlatego nie próbowałem tego podejścia).
W przypadku braku licencji, obejściem jest co miesiąc przeinstalowanie klienta.

VPN za pomocą systemowego NM

W weekend pobawię się jeszcze.