[erledigt] Bei OpenVPN DNS-Leak



  • Hallo allerseits,

    ich habe eine VPN Verbindung zu dem oVPN Anbieter eingerichtet und mein Ziel ist es mich gegen ein DNS-Leak abzusichern.

    Bei "General Setup" habe ich unter DNS Server 1 8.8.8.8 und unter DNS Server 2 8.8.4.4 eingetragen.
    Die Option "Allow DNS server list to be overridden by DHCP/PPP on WAN" habe ich deaktiviert.

    Jedoch werden beim DNS-Leak Test unter https://www.dnsleaktest.com die Daten von meinem ISP angezeigt.
    Hat jemand von euch noch eine Idee wie man diesen DNS-Leak behebt?



  • Hallo!

    Etwas wenig Information für das komplexe Thema.

    D.h. du hast eine pfSense, die eine VPN zu einem Provider aufbaut und dahinter einen Rechner mit dem du den DNS Leak-Test durchgeführt hast?

    Wie ist dein DNS konfiguriert? Dein Rechner fragt die pfSense ab oder einen anderen Server? Wenn die pfSense, hast du den Resolver oder Forwarder aktiviert? Wie sind diese konfiguriert?

    Ist die VPN immer aktiv?
    Wie sehen die Firewall-Regeln am LAN aus?



  • Hi viragomann.

    D.h. du hast eine pfSense, die eine VPN zu einem Provider aufbaut und dahinter einen Rechner mit dem du den DNS Leak-Test durchgeführt hast?

    Ja, das ist richtig.

    Wie ist dein DNS konfiguriert?

    Bei pfSense:
    Unter "System> General Setup" habe ich unter DNS Server 1 8.8.8.8 und unter DNS Server 2 8.8.4.4 eingetragen.
    Die Option "Allow DNS server list to be overridden by DHCP/PPP on WAN" habe ich deaktiviert.

    Dein Rechner fragt die pfSense ab oder einen anderen Server?

    Wie fragt man mit dem Rechner die pfSense oder den Server ab? Wie ist das gemeint? Ich dachte das mein Rechner über den pfSense Router alles und somit den anderen Server abfragt.

    Wenn die pfSense, hast du den Resolver oder Forwarder aktiviert? Wie sind diese konfiguriert?

    Resolver und Fordwarder sind nicht aktiviert. Wie aktiviere und konfiguriere ich sie?

    Ist die VPN immer aktiv?

    Ja immer.

    Wie sehen die Firewall-Regeln am LAN aus?

    Interface: LAN
    Address Family: IPv4
    Protocol: any
    Source: LAN net
    Destination: any
    Gateway: NL1_OVPN_VPNV4 - 172.16.32.1 - Interface NL1_OVPN_VPNV4 Gateway (Das Interface vom Niederlande1 Server)



  • Bin mir nicht sicher, ob der Resolver jetzt nicht schon standardmäßig aktiviert ist.
    Gehe in der GUI auf Services > DNS Resolver und aktiviere ihn, falls er das nicht bereits ist.
    Bei "Network Interfaces" wähle alle aus und bei "Outgoing Network Interfaces" nur dein VPN-Interface und speichere das.
    Mache anschließend nochmals den DNS Leak-Test.



  • Der DNS Resolver war bei mir aktiviert.
    Bei "Network Interfaces" war "All" und bei "Outgoing Network Interfaces" ebenfalls "All" ausgewählt.
    Ich habe bei "Outgoing Network Interfaces" jetzt das VPN-Interface ausgewählt und nach dem DNS Leak-Test war alles in Ordnung.

    Der Test zeigte jetzt:

    Hostname: nl1.ovpn.to
    ISP: LeaseWeb Netherlands B.V.
    Country: Netherlands

    Nun würde ich gerne wissen ob ich die DNS Server (Z.B. 8.8.8.8 u. 8.8.4.4) in "System> General Setup" überhaupt angeben muss und warum eigentlich nicht die Google DNS Server bei der DNS-Leak-Test abgezeigt werden. Wenn die DNS Konfiguration über DNS Resolver geregelt wird, wozu sind dann die DNS Server in "Gateway Setup" überhaupt noch wichtig? Verwechsele ich da etwas?

    Edit: Was passiert eigentlich wenn man bei "Outgoing Network Interfaces" mehrere VPN-Interfaces auswählt?



  • Moment!
    Die VPN besteht zwischen der pfSense und dem VPN Provider. Am LAN Interface hast du eine Regel, dass sämtlicher Traffic über die VPN geroutet wird.
    Dein Rechner stellt DNS-Anfragen an die pfSense, also vor der VPN. Die pfSense beantwortet diese Anfragen, muss aber ihrerseits selbst einen anderen DNS Server abfragen, um diese beantworten zu können. Dafür sind die Einträge in den General Setting nötig.

    Mit den "Outgoing Network Interfaces" in den Resolver Einstellungen gibst du an, an welchen Interfaces die pfSense, bzw. der Resolver hier, DNS-Anfragen raus schicken darf. Wenn sie das auf dem WAN Interface tut, was Standard ist, kommt die DNS-Anfrage von deiner Public IP und du hast ein DNS Leak. Deshalb ist hier nur das VPN Interface auszuwählen.



  • Danke für die Geduld und für die ausführliche Erklärung.


Log in to reply