DNS über OpenVPN TAP

Markus4210

Hallo zusammen!

Habe ein Problem.
Bei mir läuft eine PFSense auf einer eigenen Server Hardware.
Darauf gibt es einen OpenVPN Server.
Das funktioniert eigentlich auch alles prima.
Kann vom Client alle Lokalen IP´s pingen usw.
Aber der Client kann keine DNS Auflösung mehr.

Der VPN Server ist als TAP eingerichtet.
Bekomme auch die richtigen IP´s vom PFSense DHCP Server.

Vom Client werden DNS Anfragen direkt an 192.168.1.1 also die PFSense gestellt.
Leider bekomme ich da aber keine Anwort - - Ja Pingen geht.

Habe den VPN Server ein Interface (OPT3) zugewiesen und
eine Brücke zwischen OPT3 und LAN angelegt.

Würde mich freuen wenn da jemand eine Lösung hätte.

DANKE!

Mfg.
Markus

Gladius

Zitat aus: https://www.netgate.com/docs/pfsense/interfaces/interface-bridges.html

"A bridged interface can filter traffic without being involved in the IP layer of the connection. Bridge traffic is filtered on the member interfaces by default."

Aus der Hüfte geschossen.

Markus4210

Hallo Gladius!

Nein leider - macht keinen Unterscheid auch nicht wenn ich alle Filter ausschalte.

Mfg.

Markus4210

Jetzt wirds spannend.

Wenn ich die NDS server meines Providers im DHCP Server eintrage dann funktioniert alles.

Nur warum muss ich die dort eintragen ?
Die weiterleitung ist doch aktiv.

viragomann

Hallo,

wenn du da externe DNS einträgst, verwendet der Client auch diese, wenn keine eingetragen sind, verwendet er die Interface Adresse der pfSense.
Ist das dann die LAN IP?

Und im LAN funktioniert es? Verwenden die Client dieselbe IP?

Vielleicht musst du DNS Resolver bzw. Forwarder noch das VPN Interface auswählen?

Markus4210

Ja leider passt nicht ganz.
Also hab jetzt im dhcp server als ersten dns 192.168.1.1 also die IP der PFSense.
Alle Clients bekommen jetzt alle DNS Server vom DHCP - also die 192.168.1.1 und die vom INet Provider die ich als DNS Server 2 - 4 eingetragen habe.

Grundsätzlich funktioniert so alles.
Nur kann ich von den VPN Clients keine Interen namen auflösen.
Von dem LAN Clients funktioniert das Problemlos.

Habe im DNS Resolver zuerst versucht nur "Alle" auszuwählen und auch alle Interfaces nur eben das "alle" nicht.
Macht keinen Unterschied.

viragomann

@markus4210 said in DNS über OpenVPN TAP:

Nur kann ich von den VPN Clients keine Interen namen auflösen.
?

Keine Internet Namen oder keine internen?

Wenn es um interne geht und du eine Domain hast, versuch es mal mit dem FQDN, also Hostnamen mit Domain.
Beim gerouteten VPN geht es nicht anderen, möglicherweise ist es beim gebrückten auch so.

Markus4210

Sorry - - blöder Tippfehler - Keine Internen Namen

sowohl mit domain als auch ohne - keine chance immer timeout

Markus4210

Nochmal kurz zusammengefasst,

Die PFSense also bei mir IP 192.168.1.1 reagiert nicht auf DNS Anfragen aus dem VPN.
Beim Lokalen LAN ist alles Prima.

Wenn ich eine DNS Anfrage an 192.168.1.1 sende - egal ob google.at oder einen internen Namen, Ich bekomme immer ein Timeout

viragomann

Das VPN Interface ist aktiviert zur DNS Beantwortung?

Markus4210

Sorry viragomann - - was meinst du genau?

viragomann

In der DNS Konfiguration, Resollver oder Forwarder (weiß ja nicht, was du verwendest), müssen die Interfaces ausgewählt werden, auf welchen Anfragen beantwortet werden. Vielleicht musst du da noch das VPN Interface hinzufügen. Man kann auch einfach „alle“ wählen.

Gladius

Eine OpenVPN-Bridge habe ich nicht im Einsatz. Sah bisher keine Notwendigkeit für diese Konstruktion.

Falls ich mal Zeit und Laune für einen Test finde, es wird eine Weile dauern,
werde ich möglicherweise auf die hier behandelten Probleme treffen und
kann wieder an Erfahrung gewinnen.

LG

Markus4210

Habe noch einiges rausgefunden.
Das Problem liegt nicht am tap oder tun.
Habe noch 2 weitere vpn Server im tun laufen.
Bei denen besteht das selbe Problem. Wenn ich nslookup Google.at 192.168.1.1 vom tun VPN ausführe bekomme ich auch ein timeout. Beim tun ist es mir nur nie aufgefallen weil ich in der config dem client die ips der dns Server mitgebe und die Clients dann direkt abfragen. Was mir heute auch noch aufgefallen ist. Wenn ich mich mit dem vpn verbinde kann ich die 192.168.1.1(pfsense) pingen komme aber nicht ins Web Interface. Mysteriös das ganze!

nodau

wie sehen die server config vom openvpn, die dns resolver config und die outbound nat einträge aus?

Markus4210

Sorry Bahsig die config kann ich erst am Abend einfügen. Bin noch in der Arbeit. Aber habe mich in der Nacht noch mit dem dns Log "gespielt". Wenn eine dns Anfrage vom vpn kommt wird diese vom Revolver angenommen und aufgelöst. Nur die Antwort kommt nicht zurück zum client. Ja und im tun VPN funktioniert die Auflösung doch. War durch eine Firewall Regel gesperrt.
Mfg.
Und besten Dank!

Markus4210

Habe das Problem gefunden.
Unter System -> Erweiterte Einstellungen -> Firewall / NAT.
Da hatte ich Automatisches ausgehendes NAT für Reflection aktivieren, angehakt.
Hab den Haken raus gemacht - jetzt klappts mir der dns auflösung.