Namensauflösung auf MacOS mit DNS - Resolver funktioniert nicht
-
Und bitte auch mal auf die 2.7.2 mit aktuellen System Patches hoch ziehen.
-
@lustigerpinguin said in Namensauflösung auf MacOS mit DNS - Resolver funktioniert nicht:
MacOS (Intel und Mx): Verbindung wird aufgebaut, auf externe Ressourcen kann man zugreifen (google.de,...) aber interne werden nicht aufgelöst. Wenn ich im terminal ein dig oder nslookup auf den internen Namen mache funktioniert es, bei z.B. einem ping nicht.
@lustigerpinguin said in Namensauflösung auf MacOS mit DNS - Resolver funktioniert nicht:
Was könnte hier falsch sein?
MacOS.
OpenVPN und Mac verhält sich anders weil Apple eben für alles ne Extrawurst braten muss. Weil Apple meint dass alles so viel sicherer ist wen sie es anders machen.
Bei Apple funktioniert OpenVPN und DNS anders als das auf allen anderen Plattformen läuft. Wenn eine Domain per DHCP/Domain Push via OpenVPN an den Mac gepusht wird, wird NUR DIESE DOMAIN via VPN aufgerufen, sonst wird alles andere vom Client und seinem default GW/DNS geladen. Wenn ihr mehr als eine interne Domain nutzt werden damit dann keine Adressen der anderen Domains aufgelöst.
Oft gesehen:
OpenVPN Setup mit Domain "firma.intern" aber zusätzlich noch ne echte Domain mit dabei für sowas wie Exchange/OWA oder derlei. "xy.firma.intern" löst dann zwar auf, aber "owa.int.firma.de" nicht, weil "int.firma.de" als zweite Domain nicht per VPN gepusht wurde.Für Apple heißt dann die Lösung:
- Entweder gar keine Domain im OpenVPN Server pushen, dann wird tatsächlich alles per VPN aufgelöst (wie dumm auch immer das ist).
- Oder manuell mehrere Domains eintragen, ein Eintrag pro Domain die man via VPN erreichen möchte:
https://openvpn.net/faq/how-does-ios-interpret-pushed-dns-servers-and-search-domains/
Das gilt natürlich nur für Split Tunnel, bei redirect gateway läuft eh schon alles via Tunnel.
Ansonsten natürlich auch prüfen, ob ggf. die Regeln auch sauber passen, welche IP der Mac bekommt und dann mal ein packet capture auf dem VPN Interface aufmachen, ob überhaupt der Traffic sauber ankommt.
Cheers
-
@JeGr danke für die Erklärung.
@lustigerpinguin ich habe keine DNS Default Domain konfiguriert
bitte noch die offene frage beantworten, welchen Client setzt du ein? -
Hallo Zusammen,
sorry für die späte Antwort ...
- die Patches samt reboot sind alle drin (wegen dem reboot hat es gedauert)
- die pfsense hat nun neben dem vodafone Kabelanschluß (via Fritzbox) noch einen Glasfaseranschluß über 1und1 (der mich auch noch Zeit kostet ..)
- was die Domains angeht: der Mac soll so funktionieren das er in irgendeinem WLAN (LAN hat er ja nicht
) das VPN aufbauen und nutzen kann, somit hat der eigentlich nur die Domain vom VPN - als Client habe ich Tunnelblick in der aktuellen Version 4.0.1 und 3.8.8 versucht, auf pfsense das was von dort kommt, OpenVPN 2.6.8
und wie bereits geschrieben unter Windows den Securepoint SSL - Client und unter Linux OpenVPN 2.6.12
Und zum Punkt: Was könnte hier falsch sein - > MacOS
Den Mac den ich zum testen nutze hatte ich vorher extra geplättet ...
Danke
Gruß
lustigerpinguin -
@lustigerpinguin ich nutze den client https://passepartoutvpn.app wie schon geschrieben ohne domain angaben mit tunnelblick läuft es bei mir zuhause auch nicht mit der namens auflösung
-
@lustigerpinguin said in Namensauflösung auf MacOS mit DNS - Resolver funktioniert nicht:
was die Domains angeht: der Mac soll so funktionieren das er in irgendeinem WLAN (LAN hat er ja nicht
) das VPN aufbauen und nutzen kann, somit hat der eigentlich nur die Domain vom VPNDas sagt leider nichts zur VPN Konfiguration.
Ein wenig mehr Details, dann könnten wir da vielleicht auch helfen, was schief läuft. Aber ohne DNS Server und ohne Domain sollte ein Mac alles via VPN schicken. Wenn nicht müssen die gewollten Domains gepusht werden. Ansonsten müsste es ein full tunnel VPN werden aber ohne zu wissen was da eigentlich genau konfiguriert ist und was und wie es funktionieren soll, ist das leider alles raten statt wissen :)
Cheers
-
Hallo Zusammen,
vielen Dank für die Hilfe soweit.
Leider komme ich gerade nicht dazu weitere Tests durchzuführen.Das System hat noch an anderer Stelle Probleme (das VPN funktioniert nicht mehr seit die FTTH - Anbindung von 1und1 aktiv ist, es muss über die auch schon vorher vorhandene Leitung kommuniziert werden). Wenn das soweit behoben ist komme ich erst wieder zu dem o.g. Problem.
Die Konfig vom Server schicke ich noch.
Gruß
Lustigerpinguin -
Hi zusammen,
die Frage wie man das am besten bewerkstelligt habe ich mir auch gestellt. Ich habe den Thread nur überflogen und möchte einfach meinen Lösungsansatz hier teilen.
Btw. natürlich kann ich an einem Mac Gerät auch per LAN arbeiten ;)
Ich nutze auch Tunnelblick und auch bei mir wird der DNS Suffix nicht mit durch geschliffen, man kann sich aber über in den Systemeinstellungen über die Netzwerkadapter Config behelfen.
- als 1. DNS Server den entfernten setzen der die Domain Suffixe auflösen kann (oder auch mehrere für verschiedene Domains, als alternativen DNS Server zuletzt in die Liste den lokalen vom Netzwerk eintragen wo sich das Gerät befindet (ich nutze hier immer einen externen, so gehts auch unabhängig meines Standorts)
- in den Suchdomains dann die gewünschten Suffixe eintragen, und schon gehts
siehe Screens - >
Vielleicht hilft das ja dem ein oder anderen.
-
damit der Ping auch funktioniert muss folgendes noch angelegt werden:
Terminal öffnen
cd /etc
sudo mkdir resolver
cd resolver
nano local.domain (local.domain ist die interne Domain die ihr erreichen wollt)
Inhalt:
domain local.domain
nameserver server-ippro Local Domain 1 Datei anlegen
Datei speichern, schon funktioniert auch der Ping
-
@styles1986 Das alles sollte für Mac gar nicht nötig sein.
Siehe oben: OpenVPN gibt auch an Apples Extrawürste sauber den DNS raus, WENN er denn angegeben ist, dass es gepusht wird. Und auch dann nur GENAU den, der gepusht wird. Wenn mehrere benötigt werden, kann man entweder nichts pushen - dann sollte alles durchs VPN gehen - oder mehrere Pushes senden. Dazu braucht man dann aber auf Serverseite die adv. config options im Server, da man sonst nur eine Domain angeben kann.
Am Client mussten wir dazu noch nie was konfigurieren, das ist genau das Ziel, dass man am Endgerät/Client nichts fummeln muss außer dem VPN :)
Cheers
-
@JeGr das ist alles korrekt, wenn das VPN Gateway aber kein OpenVPN als App unterstützt und man auf Tunnelblick angewiesen ist, hilft es zu wissen wie man sich lokal behelfen kann damit es funktioniert.
-
@styles1986 Es geht ja um OpenVPN als Technik. Welcher Client spielt da eher untergeordnet eine Rolle, es sei denn Tunnelblick ignoriert plain & simple OpenVPN Standards? Denn wenn der OpenVPN SERVER(!) ein Push für ein DNS Suffix schickt, hat der Client das zu verarbeiten, ansonsten würde ich da mal bei Tunnelblick die Bug-Report-Glocke läuten :) Denn OpenVPN sieht im Server Part den Push vor, Tunnelblick implementiert aber auch nur OpenVPN Version X? und sollte entsprechend dann auch nach Specs des Clients damit umgehen.
Und soweit ich auf der Projektseite lese, implementiert Tunnelblick einen Wrapper für OpenVPN 3 und 2.6 - und 2.6 hat im Spec genau das Verhalten definiert für Apple/Mac wie oben beschrieben. Wenn Domain angegeben, pushe das als Suffix und nutze den gepushten DNS Server für genau dieses Domainsuffix. Wenn das nicht geht würde ich wie gesagt im Bugtracker mal nachhaken, das hört sich dann falsch an.
Ist übrigens leider auch bei vielen Linux GUIs der Fall. NMCLI/Network Manager bei Linux ist ein einziger Clusterfuck was das angeht. Angeblich wird OpenVPN unterstützt, beim Import werden aber wichtige Keywords schlicht nicht erkannt oder werfen Fehler, die im Spec seit 2.5 Standard sind. Startet mans einfach als Console-Command via
openvpn --config <config.ovpn>klappt plötzlich alles. Meh... -
@JeGr
Das sollte so sein, bin ich voll und ganz bei dir, bei mir werden die Nameserver nicht übernommen in Tunnelblick im aktuellen Release, früher ging das, ich war jetzt nur 3 Jahre aus dem MacOS Thema raus und bin mit Windoof fremd gegangen.Ich hab diverse Einstellungen in Tunnelblick geprüft und getestet, leider hat nichts zum Erfolg geführt
Da ich arbeiten muss, behelf ich mir dann einfach selbst ;)
-
@styles1986 absolut verständlich.
Sehr schräg, das müsste man mal untersuchen. Aber da mir kein Mac zur Hand, geht das schlecht ;) Seltsam aber besser einen Workaround zu haben als nur im Regen zu stehen :)
-
Vielen Dank Leute,
als Nicht-Mac-User bin ich hier fast durchgedreht als einer unserer Mitarbeiter mit seinem Mac antanzte und er die lokale Domain beim besten Willen nicht auflösen wollte! Ihr seid Großartig!
