*Gelöst* Probleme mit DNS Leak bei OpenVPN



  • Liebe Forumsgemeinde,

    ich habe einen OpenVPN Client eingerichtet der auch prima funktioniert soweit. Leider hat er den DNS Leak nicht bestanden, in der Form, das man immer auf meine UrsprungsIP zurück kommt anstatt auf die des VPN Servers. Wenn ich mich unabhänig von pfsense einlogge (Netzwerkverbindung, Mint 17.3) dann gibt es keinen Leak. Ich habe bereits die DNS Server unter General Setup auf OpenDNS Server umgestellt . DNS Server Override ist disabled. All das bringt nichts. Die einzige Lösung war, unter DNS Resolver/Outgoing Network Interfaces den VPN Gateway einzustellen, dann war das Leak zwar dicht aber das ganze funktioniert nur so lange, wie man über VPN arbeitet. Sobald man dann ohne VPN arbeitet funktioniert auch die Auflösung nicht mehr. Hat noch jemand eine Idee wie ich dieses blöde Leak weg bekomme? Bin langsam echt ratlos. Vielen Dank und viele Grüße Tom



  • Ich nutze die gleiche Lösung mit dem Resolver / Unbound und das VPN Gateway als outgoing Interface. Dazu dann natürlich den VPN-Client dauerhaft laufen lassen. Oder auf dem Client den VPN direkt nutzen.



  • Ich nutze die gleiche Lösung mit dem Resolver / Unbound und das VPN Gateway als outgoing Interface. Dazu dann natürlich den VPN-Client dauerhaft laufen lassen. Oder auf dem Client den VPN direkt nutzen.

    Ok, für mich ist das blöd, weil ich VPN auschliesslich für Remote Desktop Dienst benutze und da kommt das Leak nicht so gut…ich dachte es gäbe noch andere Lösungen und bin überrascht, das pfsense da so eine Schwäche zeigt...



  • Auf die schnelle wüsste ich nur diese Lösung: Nen Pi aufstellen und den als DNS-Server nutzen. Anschließend in der PfSense erst das VPN-Gateway als outgoing Interface angeben und falls dieses down ist das normale WAN Interface nutzen. Per Firewall-Rules sollte das funktionieren.


  • Rebel Alliance Moderator

    Ok, für mich ist das blöd, weil ich VPN auschliesslich für Remote Desktop Dienst benutze und da kommt das Leak nicht so gut…ich dachte es gäbe noch andere Lösungen und bin überrascht, das pfsense da so eine Schwäche zeigt...

    Das ist an der Stelle überhaupt keine "Schwäche" von pfSense, sondern lediglich von der Konfiguration an sich. Du nutzt das VPN nur on/off, das ist bei einem Router eigentlich nicht der Regelfall. Ich will mich ja nicht jedes Mal einloggen und den VPN Tunnel aktivieren müssen wenn ich remote im VPN arbeite. Deshalb läuft der Tunnel wie bei Marvho im Normalfall einfach immer und man routet lediglich spezifische IPs/Netze/Aliase o.ä. über den Tunnel wenn man ihn nicht dauerhaft eh verwendet. Wenn man das dann so aufsetzt ist dann auch kein "Leak" vorhanden, da man ihn via VPN konfigurieren kann.

    Vielleicht kannst du ja erläutern, warum das a) so ein Problem darstellt, dass der DNS dich "identifizieren" würde und b) was das mit Remote Desktop zu tun hat bzw. warum das dann "nicht so gut" ist. Dass es bei "halb konfigurierten" VPNs zu Leaks kommt, finde ich an der Stelle überhaupt nicht verwunderlich und nicht pfSense spezifisch. Wenn nicht explizit jeder Traffic durch den Tunnel geroutet wird, ist es ja kein Wunder, dass Zugriffe außerhalb des VPNs statt finden und es daher möglich ist, dass man die reele IP herausfinden kann. Ich vermute da aber eher kein Schutzbedürfnis, sondern ein M3+ (oder eher M4-M5) Ding. Deshalb würde es mich interessieren, warum das an der Stelle so gravierend ist.

    Gruß



  • @ JeGR Ich hole mir per Remote Desktop den Arbeitsplatzrechner vom Büro  "nach Hause" und arbeite dann auf diesem Rechner. D.h. über das VPN gehen sehr sensible Daten, die ich zum einen nicht "gesehen" haben möchte und zum anderen auch nicht die Herkunft. Zum Hintergrund, es geht hier nicht um kriminelle Sachen sondern um steuerliche Daten von Mandanten. Das Berufsrecht verbietet jegliche Einsicht in die Daten von Dritten und deren Herkunft. Dafür ist Sorge zu tragen. Ich möchte VPN quasi nur auf "Abruf", also wenn ich auf den Bürorechner möchte, ansonsten alles über die normale Leitung denn auch hier habe ich das Problem, das ich mitten auf dem Acker wohne mit einer 2000er Leitung und diese nicht noch durch Zuschaltung von VPN noch langsamer mache. Ich habe auf der pfsense einen Client isntalliert und das klappt auch alles prima, nur eben das Leak, das belastet mich oder sehe ich da was verkehrt?


  • Rebel Alliance Moderator

    Zum Hintergrund, es geht hier nicht um kriminelle Sachen sondern um steuerliche Daten von Mandanten

    Das habe ich nicht unterstellt, sonder lediglich darauf hingewiesen, dass es hier wahrscheinlich eher um das Verlangen nach Datenschutz geht (M3-5) und nicht nach Operationssicherheit (M1-2). Deshalb sehe ich Leakage von DNS jetzt nicht unbedingt als extrem kritisch, zudem das Setup dafür prädestiniert ist wie beschrieben.

    Ich möchte VPN quasi nur auf "Abruf", also wenn ich auf den Bürorechner möchte, ansonsten alles über die normale Leitung denn auch hier habe ich das Problem, das ich mitten auf dem Acker wohne mit einer 2000er Leitung und diese nicht noch durch Zuschaltung von VPN noch langsamer mache.

    Aber genau diesen VPN auf Abruf realisiert man im Normalfall über VPN Clients auf seinem eigenen Rechner - und nicht auf dem Router selbst. Was soll das für einen Zugewinn bringen? Genau deshalb läufst du in diesem Setup ja in den DNS Leak überhaupt hinein. Würdest du das VPN direkt auf deinem Rechner terminieren würde (normalerweise) der VPN Server seinen DNS pushen (oder du legst einen fest) und dann wird bei aufgebauter Verbindung der DNS der Gegenseite genutzt und nichts leakt irgendwo hin.
    Ich verstehe hier eher nicht, warum du den VPN mit der Brechstange auf die pfSense packst ;) Zumal als Randbemerkung viele Unternehmen da hochgradig dagegen sind, ein komplettes Heimnetz anzubinden. Da gibts oft Regelungen, dass der Zugriff auf Unternehmensdaten via VPN nur von einem bestimmten Rechner o.ä. aus erfolgen darf, aber nicht einfach von einem Router, womit die Gefahr bestünde, dass zu der Zeit andere Rechner bei dir im Netz problemlos ebenso in das Unternehmensnetz kommen würden. Das verstieße allein bei uns gegen mind. 3 Betriebsrichtlinien.



  • Also klar kann ich auch direkt vom Rechner raus ins VPN ohne Leak, das läuft bei mir schon seit Ewigkeiten ohne Probleme, ich dachte nur im Rahmen des Kennenlernens der pfsense den Client dort mit "einzubauen", nennen wir es mal Bequemlichkeit nicht erst noch die Einwahl in VPN extra zu machen. Wie gesagt nix mit Bechstange sondern probieren, experimentieren und herausfinden was sich dann letztlich in der Praxis anwenden lässt,….aber auf jeden Fall ganz lieben Dank für die konstruktive Erörterung und ich werde wohl erst einmal bei meiner Direkteinwahl bleiben....


  • Rebel Alliance Moderator

    Die Brechstange war ja auch mit einem ;) Augenzwinkern. Aber es gestaltet sich da eben tatsächlich so, dass wenn du keinen Tunnel baust, der aufgebaut bleibt, du Probleme haben wirst, es so zu lösen, dass es keine Datenverbindungen gibt, die um das VPN herum aufgebaut werden und dich direkt verbinden/identifizieren. Lässt du den Tunnel stehen, kann man hier natürlich den DNS auf der Tunnelgegenseite nutzen aber das hat dann die beschriebenen Konsequenzen.

    Grüße


Log in to reply