OPEN VPN Tunnel kein DNS

Nico Borsch

)Hallo Zusammen

ich habe eine pfsense mit Version 2.7.2 neu aufgesetzt.

Ich habe eine Glasfaserleitung und diese über PPPoe direkt verbunden.

Ich habe soweit alles eingerichtet und Rules von der bestehenden pfsense übernommen.

Wenn ich einen Rechner nun über die neue Firewall per Netzwerk verbinde funktioniert alles . Ich kann alles abfragen und der DNS Server wird gefunden und kann jeden ex beliebigen Client oder Server per Namensauflösung finden. Sowie mich per RDP einloggen.

OPENVPN habe ich neu über die Paketverwaltung installiert und konfiguriert.

Es hat auch gleich funktioniert und konnte mich über den OPEN VPN Client einwählen.

Dabei stellte ich dann leider fest, dass es hier ein Problem mit dem DNS gibt. Ich konnte per RDP keine Verbindung mit einem Rechnernamen herstellen. Mit dessen IP Adresse schon.

NSLOOKUP hat mir dann mitgeteilt das es keinen request gibt.

Ich übergebe alle informationen über den OPVEN Tunnel welche ich auch und Details der virtuellen Netzwerkkarte des entfernten Rechners einsehen kann.

Ich würde mich sehr freuen, wenn man mir hier helfen kann.

Grüße Nico 2025-05-07 11_33_20-glasfaser.xmodus.local - VPN_ OpenVPN_ Server_ Bearbeiten – Mozilla Firefox Priv.png

Rico

Hier die Lösung:

Scherz beiseite, aber wie soll man helfen können wenn du die paar wenigen Infos die du postest dann auch noch mit einem schwarzen Balken belegst?
Dein DNS Server ist die pfSense, die IP der pfSense bekommt auch der Client über OpenVPN?
Zugriff über eine Firewallregel ist erlaubt?

-Rico

Nico Borsch

@Rico

Der DNS Server ist nicht die pfsense.

Mein Lan Netz wo der DNS server läuft ist 192.168.150.0/24
2025-05-07 14_06_34-glasfaser.xmodus.local - VPN_ OpenVPN_ Server_ Bearbeiten – Mozilla Firefox Priv.png

2025-05-07 14_02_36-glasfaser.xmodus.local - VPN_ OpenVPN_ Server_ Bearbeiten – Mozilla Firefox Priv.png

Ok ja das ist ja ausschlaggebend. Hast du recht.

viragomann

@Nico-Borsch said in OPEN VPN Tunnel kein DNS:

NSLOOKUP hat mir dann mitgeteilt das es keinen request gibt.

nslookup verrät auch, welchen Server es abfragt. Hast du überprüft, ob das auch einer derjenigen ist, die der VPN Server pusht?

Die Server die du erreichen möchtest, sind in der Standarddomain, die der VPN Server pusht?

Versuche eine Abfrage mittels FQDN.

Nico Borsch

2025-05-07 18_00_59-Eingabeaufforderung.png

Ja das ist das Ergebnis

Das habe ich alles schon getestet. Ich habe es auch mit dem tool nmap überprüft.

micneu

@Nico-Borsch bitte screenshots von deinen Firewall Regeln

LAN, VPN

viragomann

@Nico-Borsch
nslookup versucht es also beim richtigen Server, aber dieser antwortet nicht.

Ich nehme an, du hast überprüft (lokal), dass der abgefragte Server generell antwortet.

Wenn ja, liegt das Problem entweder an fehlenden Firewall Regeln (für DNS braucht es TCP/UDP Port 53) oder der DNS Server blockiert selbst den Zugriff.

Letzteres könnte durch dessen Firewall bedingt sein oder im DNS Server selbst muss der Zugriff von dem VPN Tunnelnetzwerk erlaubt werden.

Nico Borsch

@micneu

2025-05-08 09_52_35-glasfaser.xmodus.local - Firewall_ Regeln_ LAN.png

Ich musste weil es sensible bereiche sind hier was schwärzen. Das sind Netze die ich nicht zeigen kann. Tut aber auch nichts zur Sache meines Problems.

DNS habe ich freigegeben.

Ja an den DNS selbst habe ich auch gedacht und kann da was raussuchen und hier posten. Ich kann verstehen, dass ihr gewissse informationen braucht um mir helfen zu können. Da es ein Firmennetz betrifft muss ich manchmal aber Sachen schwärzen. Ich hoffe ihr habt dafür Verständnis.

Ich danke euch schon einmal das ihr mir hier helft.

JeGr

@Nico-Borsch said in OPEN VPN Tunnel kein DNS:

Ja das ist das Ergebnis

Das habe ich alles schon getestet. Ich habe es auch mit dem tool nmap überprüft.

Dann frage den DNS doch mal bitte was anderes und schau ob er das auflöst oder ob überhaupt kein Query durchgeht.

Zudem sind "Hostname" Anfragen immer flaky und nicht gut. Windows hängt nach eigenem Gutdünken da als Suffix mal ne Domain an, mal nicht. Das hängt SEHR vom Client und der Client Config bzw. dem ab was gepusht wird, aber auch ob der Windows Client bei der Einwahl Rechte hat DNS zu setzen etc. etc.

Darum arbeitet man weder mit "xy.local" Domains, da .local nicht für Lokalen Gebrauch gemacht wurde (da läuft automagic mDNS und Apple Magic Kram drüber) und sich komisch verhalten kann. Wenn man schon damit geschlagen ist und es nicht ändern kann aktuell, dann muss sichergestellt werden, dass die auch gepusht wird und auch definitiv am Client dann verwendet wird. Das ist dann bei Windows aber tricky. Darum nimmt man keine "Kurznamen" wie "hostname" sondern arbeitet mit FQDN, also "hostname.xy.local" was der DNS auflösen sollte.

Ich würde also mal testen, ob es nur ein Problem ist, weil Windows DNS mal wieder rumspinnt bei Hostname only oder ob auch die volle URI nicht aufgelöst wird. Also bitte mal mit hostname.xy.local oder servername.xy.local testen, denn der Server sollte seinen eigenen Namen ja wenigstens kennen. Wenn da auch "request timeouts" kommen, dann muss es entweder ne Regel sein - sieht nicht so aus weil allow any - oder die Windows DNSe / DCs haben die Firewall an und blocken das OpenVPN Subnetz weil sie es NICHT KENNEN. Darum macht man bei ordentlicher Firewall davor die Windows Firewall meist aus oder fügt Ausnahmen für die vorhandenen Netze dazu.
Windows Firewall auf Servern hat immer nur das eigene IP Netz als erlaubt drin, von anderen Netzen aus wird meist geblockt. Da das VPN Netz den Windows Kisten fremd ist, kann es schlicht sein, dass deren Firewall alles weghobelt.

Cheers