Использование локального несвязанного DNS-сервера для VPN-подключений Strongswan

один из способов сделать это-назначить IP-адрес серверу из подсети, используемой для виртуальных IP-адресов клиентов. Затем вы назначаете этот IP-адрес в качестве DNS-сервера своим клиентам и исключаете IP-адрес из пула IP-адресов. При необходимости отфильтруйте доступ к этому IP-адресу с помощью модуля сопоставления политик Netfilter (см. iptables-extensions man-страница) , так что он доступен только через VPN.

например, если пул IP-адресов 192.168.8.0/24 (например настроено в rightsourceip в ipsec.conf или "пул" в swanctl.conf), вы назначаете 192.168.8.1 к вашему серверу (на любом интерфейсе, например lo), а затем измените пул на 192.168.8.2/24 (таким образом, первый адрес, назначенный клиенту будет 192.168.8.2). Назначить 192.168.8.1 как DNS-сервер, настройте его в rightdns в ipsec.conf или раздел бассейна в swanctl.конф.

в то время как вы также можете использовать публичный IP-адрес сервера, и только разрешить доступ к UDP-порту 53 через VPN с помощью упомянутого сопоставление политик, это не будет работать с клиентами Apple, поскольку они не отправляют пакеты на общедоступный IP-адрес сервера через VPN (поэтому вам придется сделать DNS-сервер общедоступным или динамически добавлять правила брандмауэра, которые разрешают доступ к нему с общедоступного IP-адреса клиента).