Редирект за счет DNS для пользователей без VPN

Вы можете завернуть через bind все запросы на один адрес через wildcard (ну и при этом держать рядом нормальную зону, а доступ разграничить через вьюхи), но это так себе затея, как минимум потому что есть еще /etc/hosts и вообще сторонние dns. Если хотите сделать правильно - редиректить нужно на уровне прокси или в целом того узла, который у вас трафик от клиентов выпускает в сеть (интра- или интернет, не зная вашей структуры трудно сказать, но в общем какая-то «точка входа» же у вас есть).

Стоит задача - завернуть все запросы посредством DNS от пользователей, у которых не установлено VPN-соединение на страницу с инструкцией как этот VPN настроить.

Допустим, что у тебя получилось. Кэш отравлен, ты проиграл.

Да, так и предпологалось завернуть все через wildcard, c помощью RPZ создать список для разрешения только пары доменов. От бинда мы уйти не можем поскольку уже используем вьюхи, субдомен за которым сидят IP'ы серверов VPN для каждых подсетей свои, у нас большое географическое разделение, мы просто небольшой провайдер и VPN это и есть у нас выход в мир для наших клиентов и чтобы они к нашим ресурсам не обращались через мир у нас в рекурсивных DNS заведены зоны с локальными IP'ами этих ресурсов и выдаются статические маршруты на уровне DHCP.

Теперь вопрос как паралельно wildcard держать нормальную зону? Как будут распаралеливаться запросы? Или же Вы имели ввиду с помощью вьюх локальным сетям завернуть все запросы на wildcard, а все обращения с сетей VPN уже на нормальную зону? Если так, то мы сейчас и пытаемся избегать такого обращения к DNS, нам нужно чтобы клиенты к нему продолжали обращаться локально, иначе если они начнут к нему обращаться через VPN у нас мало говоря брасы просто ахренеют. Насчет прокси, даже не знаю есть ли такая практика у провайдеров садить всех своих клиентов за проксю, да и использовать мы тогда можем только бесплатный squid

На той же самой странице в инсрукции указать, что после всего проделанного выполнить ipconfig /flushdns

Мне кажется, что в этом случае логичнее свои IP перенаправлять на локальные уже на уровне VPN-шлюза (это можно сделать простейшим правилом iptables). То есть с точки зрения клиента IP всегда одинаковые, но физически пакеты ходят по-разному. Иначе будут проблемы с кешем DNS. Кстати, тот же хром имеет свойство кешировать DNS отдельно от системы. И он не единственный же. Так что сбросить кеш DNS и чтобы ничего после этого не глючило - не самая простая задача и 1 командой не решается (кроме команды перезагрузки, но это как-то совсем жёстко). Плюс клиент может захотеть воспользоваться другим DNS (например, гугловский). Решение же с редиректом пакетов на VPN-сервере универсально и покроет все конфигурации.

Ты изобрёл каптив портал?

Ясно, тогда буду заверять руководство, что это гиблая идея и реализовывать это надо непосредством DNS.

Так я не знал что вы провайдер, хотя догадывался.

Раздайте маршруты, в которых внутренние ресурсы всегда доступны через внутренние адреса (то есть не важно поднят vpn или нет, запросы к dns, ЛК, трекерам и что у вас там еще есть идут без выхода в интернеты), все остальное по дефолту идет на какой-то шлюз, который будет вам заглушку показывать (ну например через правило PREROUTING iptables все заворачивать). Когда поднимается vpn - маршрут по умолчанию он меняет на свой гейт, который непосредственно позволяет выходить в интернет. В итоге у вас и с dns ничего городить не нужно, и работает как ожидалось. Единственный минус - клиенты смогут получать «нормальные» ответы от сервера dns даже если интернеты у них не оплачены, но не думаю что это сильно критично.

Иначе будут проблемы с кешем DNS. Кстати, тот же хром имеет свойство кешировать DNS отдельно от системы. И он не единственный же.

Дополню. Винда где-то в недрах кэширует по отдельным процессам. Такой эффект можно наблюдать даже просто на двух cmd.exe на первом получили адрес ранее, второй запустили позже. Можно менять dns, выполнять ipconfig /flushdns не помогает, может протухнуть само а может долго и устойчиво держаться.

ТС Присоединяюсь ко всем отписавшимся, идея с dns не просто плохая а очень плохая. КМК даже если вы не сделаете страницу, кол-во звонков в тех.под. по причине клиент забыл включить/настроить vpn будет не сравнимо с количеством звонков «у меня не работает».

Прозрачный сквид на гейте по умолчанию (без vpn) тоже может решить эти проблемы. У моего провайдера так сделано, сквид прозрачный режет все РКН сайты и выдает заглушку, если инет не оплачен.