Keine DNS Auslösung mit aktiviertem VPN Client sobald der DNS Resolver aktiviert ist
-
Hallo zusammen,
ich habe folgendes Problem. Im Standard ist der DNS Resolver aktiv, den ich auch gerne nutzen möchte. Bisher hatte ich dadurch auch keinerlei Probleme sprich meine DNS Auflösung funktioniert auch einwandfrei.
Nun habe ich einen VPN Client auf meinem Rechner, und sobald ich mich mit diesem einwähle funktioniert mein DNS nicht mehr ordnungsgemäß. Wenn ich dann den DNS Resolver auf der pfsense deaktiviere dann funktiert DNS auch sauber über den VPN Client, daher vermute ich da muss ich ansetzen.Zu meiner jetzigen Konfig. In meinem WAN Interface habe ich die beiden offiziellen DNS Server 1.1.1.1 sowie 1.0.0.1 eingetragen. Die externen DNS Server dürfen nicht von meinem Provider überschrieben werden.
Folgende DNS Server werden in der System Info angezeigt:
Der DNS resolver ist aktiv und es wurden bisher keine Einstellungen darin vorgenommen.
Als Firewall Regel habe ich diese hier:
Somit wird erzwungen das alle DNS Anfragen über die Firewall gehen.
-
@johndo said in Keine DNS Auslösung mit aktiviertem VPN Client sobald der DNS Resolver aktiviert ist:
Nun habe ich einen VPN Client auf meinem Rechner
Auf einem Rechner hinter der pfSense?
-
Hi,
ja genau. Habe ein Notebook hinter der pfsense hängen und darauf einen VPN Client.
EDIT:
Irgendwie scheint es so das die pfsense mit dem DNS traffic der von meinem Client kommt anders umgeht sobald ich mit einem VPN Client eingewählt bin.EDIT:
Habe testweise mal den DNS Resolver auf der pfsense deaktiviert und eine Regel erstellt damit mein Client direkt DNS (53 UDP) nach draußen darf. Wenn ich mich dann mit dem VPN Client einwähle dann geht es einwandfrei. -
@johndo
Dann solltest du bei diesem ansetzen.Üblicherweise wird sämtlicher Upstream-Traffic über den Tunnel geroutet. Also auch DNS. Aber offenbar hast du eine andere Konfiguration, ansonsten würde die Umstellung auf der pfSense das nicht beeinflussen.
-
@johndo said in Keine DNS Auslösung mit aktiviertem VPN Client sobald der DNS Resolver aktiviert ist:
Als Firewall Regel habe ich diese hier:
Somit wird erzwungen das alle DNS Anfragen über die Firewall gehen.
Das ist so schon mal nicht korrekt. Erzwungen wird damit gar nichts.
-
Ok, mag sein. Aber wenn ich diese Regel deaktiviere geht gar kein DNS. Eventuell habe ich mich auch falsch ausgedrückt.
-
@johndo said in Keine DNS Auslösung mit aktiviertem VPN Client sobald der DNS Resolver aktiviert ist:
Aber wenn ich diese Regel deaktiviere geht gar kein DNS.
Das sollte dir sagen, dass der Client die pfSense zur Namensauflösung nutzt.
Das sollte aber nicht sein. Hast du in der Interface-Konfiguration am Client den DNS Server fest reingeschrieben? -
Hi,
ich dachte immer das wäre ein Vorteil wenn die Clients als DNS die Firewall nutzen und diese dann nach draußen an den offiziellen DNS weitergibt?
Also mein Notebook steht auf DHCP und bekommt alle Adressinfos von der pfsense. Die Konfig sieht so aus:
IP: 192.168.1.10
Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.1 -
@johndo
Das ist ja grundsätzlich auch okay. Allerdings möchtest du doch nicht die pfSense als DNS Server nutzen, wenn du über die VPN rausgehst, oder? Die Folge wären sogenannte DNS Leaks.Konfiguriere einfach das virtuelle Interface, das für die VPN genutzt wird, für die automatische DNS-Konfiguration. Der VPN Server sollte einen DNS pushen. Falls nicht, kannst du auf diesem Adapter auch einen externen DNS eintragen, um DNS Leaks zu vermeiden.
-
Hi,
also der virtuelle Adapter (TAP) in den Netzwerkeinstellungen auf dem Notebook der steht bereits auf DHCP. Ich sehe dort auch einen anderen gesetzten DNS Server:
Virtual IP: 10.0.137.24
DNS: 172.21.4.200, 172.21.4.201Aber irgendwie werden diese DNS nicht genutzt, das sehe ich beispielsweise mit einem nslookup.
Wenn ich nun den DNS Resolver auf der pfsense ausschalte und mache danach einen nslookup dann geht es.EDIT:
Da muss doch irgendwas auf dem DNS Resolver der pfsense nicht stimmen? -
Was ist denn das für ein VPN-Client?
-
@johndo
Mir würde das eher sagen, dass der Traffic nicht über die VPN geroutet wird.
Wie oben bereits geschrieben, mit der pfSense darf das gar nichts zu tun haben. Der Upstream-Traffic, aber speziell auch der die Pakete zu den angegebenen DNS Servern, müssten über die VPN, was sie aber offenbar nicht tun.Wie sieht die Routing-Tabelle am Client aus?
-
Ist ein Watchguard VPN Client. Allerdings habe ich die VPN Konfig auch für den OpenVPN Client. Es verhält sich aber bei beiden gleich.
-
@johndo said in Keine DNS Auslösung mit aktiviertem VPN Client sobald der DNS Resolver aktiviert ist:
Ist ein Watchguard VPN Client.
Also anscheinend kein Anonymisierungs-VPN? Ok. Dann scheint da bei dir DNS nicht getunnelt zu werden.
-
0.0.0.0 geht auf mein Gateway 192.168.1.1 (pfsense)
10.0.0.0 geht auf den VPN Client mit 10.0.137.1 (gw vom VPN Server)Ich kann die internen IP Adressen hinter dem VPN erreichen. Daher denke ich das Routing sollte passen.
Nur die DNS Namensauflösung geht leider nicht. -
@johndo said in Keine DNS Auslösung mit aktiviertem VPN Client sobald der DNS Resolver aktiviert ist:
10.0.0.0 geht auf den VPN Client mit 10.0.137.1 (gw vom VPN Server)
D.h. die VPN ist nur dazu da, um dieses Netz zu erreichen?
-
Hi,
hinter dem VPN Client befinden sich einige Server auf die ich zugreife. Aktuell greife ich mittels interner IP Adresse zu sobald ich mit dem VPN Client eingewählt bin. Da dort einige Services laufen mittels SSL und Zertifikaten benötige ich aber die DNS Namen um zuzugreifen. Aktuell mache ich das über eine lokale Hosts Datei auf meinem Notebook.
Da sich aber des öfteren die Namen ändern oder neue hinzukommen möchte ich diese nicht immer erst in der Hosts einpflegen. Diese sind ja bereits im DNS Server eingepflegt...aber aus irgendeinem Grund wird dieser nicht angesprochen.
EDIT:
Ehrlich gesagt ist mir immer noch nicht klar warum es geht wenn ich keinen DNS Resolver auf der pfsense verwende.
Meiner Meinung nach muss die pfsense da irgendwie involviert sein sonst hätte es ja keinen Einfluss wenn ich es abschalte. -
@johndo said in Keine DNS Auslösung mit aktiviertem VPN Client sobald der DNS Resolver aktiviert ist:
Ehrlich gesagt ist mir immer noch nicht klar warum es geht wenn ich keinen DNS Resolver auf der pfsense verwende.
Meiner Meinung nach muss die pfsense da irgendwie involviert sein sonst hätte es ja keinen Einfluss wenn ich es abschalte.Weil du DNS-Server in der Verbindung eingetragen hast, zu denen du aber keine Route hast.
Die Server sind nicht erreichbar.@johndo said in Keine DNS Auslösung mit aktiviertem VPN Client sobald der DNS Resolver aktiviert ist:
Da dort einige Services laufen mittels SSL und Zertifikaten benötige ich aber die DNS Namen um zuzugreifen.
Okay, dann benötigst du diese Nameserver.
Problem ist wohl eine falsche VPN-Server Konfiguration. Die DNS-Server und die entsprechende Route sollten vom Server gepusht werden.
Werden die DNS-Server automatisch konfiguriert oder hast du die manuell eingetragen?Du könntest auch die Route manuell setzen, ist aber bei Windows, soweit ich weiß, nicht so einfach in der Adapter-Konfiguration möglich. In Linux geht das.
In Windows müsstest du wohl eine statische Route setzen. -
Hi,
also die Einstellungen kommen vom VPN Client. Dieser setzt dann im virtuellen Interface die Netzwerksettings, sprich automatisch per DHCP.
Ob der VPN Server richtig konfiguriert ist kann ich leider nicht sagen da ich dort keinen Zugriff habe.Du meinst die Deafult-Route auf das Gateway vom VPN? Also so:
Von derzeit:
0.0.0.0 auf 192.168.1.1 (pfsense)Auf:
0.0.0.0 auf VPN 10.0.137.1 (gw vom VPN Server) -
@johndo
Nein, nur eine zusätzliche Route zu den beiden DNS Server auf das VPN Gateway 10.0.137.1.
