Namensauflösung auf MacOS mit DNS - Resolver funktioniert nicht
-
Hi,
ich habe die pfSense v 2.7 mit OpenVPN am laufen.
Ich habe mir die VPN - Config mit dem Wizard exportiert und in verschiedene Systeme importiert:
- Linux (Arch Linux): es funktioniert wie erwartet
- Windows 11 (Securepoint SSL VPN Client): es funktioniert wie erwartet
- MacOS (Intel und Mx): Verbindung wird aufgebaut, auf externe Ressourcen kann man zugreifen (google.de,...) aber interne werden nicht aufgelöst. Wenn ich im terminal ein dig oder nslookup auf den internen Namen mache funktioniert es, bei z.B. einem ping nicht.
Ins VPN wird nur der Traffik zum internen Netz geroutet, alles andere geht extern.
Was könnte hier falsch sein?
Danke.
lustigerpinguin
-
@lustigerpinguin ich habe eine 24.3_1 am laufen und bei mir klappt es mit der namensauflösung ohne probleme. welchen client verwendest du?
-
Und bitte auch mal auf die 2.7.2 mit aktuellen System Patches hoch ziehen.
-
@lustigerpinguin said in Namensauflösung auf MacOS mit DNS - Resolver funktioniert nicht:
MacOS (Intel und Mx): Verbindung wird aufgebaut, auf externe Ressourcen kann man zugreifen (google.de,...) aber interne werden nicht aufgelöst. Wenn ich im terminal ein dig oder nslookup auf den internen Namen mache funktioniert es, bei z.B. einem ping nicht.
@lustigerpinguin said in Namensauflösung auf MacOS mit DNS - Resolver funktioniert nicht:
Was könnte hier falsch sein?
MacOS.
OpenVPN und Mac verhält sich anders weil Apple eben für alles ne Extrawurst braten muss. Weil Apple meint dass alles so viel sicherer ist wen sie es anders machen.
Bei Apple funktioniert OpenVPN und DNS anders als das auf allen anderen Plattformen läuft. Wenn eine Domain per DHCP/Domain Push via OpenVPN an den Mac gepusht wird, wird NUR DIESE DOMAIN via VPN aufgerufen, sonst wird alles andere vom Client und seinem default GW/DNS geladen. Wenn ihr mehr als eine interne Domain nutzt werden damit dann keine Adressen der anderen Domains aufgelöst.
Oft gesehen:
OpenVPN Setup mit Domain "firma.intern" aber zusätzlich noch ne echte Domain mit dabei für sowas wie Exchange/OWA oder derlei. "xy.firma.intern" löst dann zwar auf, aber "owa.int.firma.de" nicht, weil "int.firma.de" als zweite Domain nicht per VPN gepusht wurde.Für Apple heißt dann die Lösung:
- Entweder gar keine Domain im OpenVPN Server pushen, dann wird tatsächlich alles per VPN aufgelöst (wie dumm auch immer das ist).
- Oder manuell mehrere Domains eintragen, ein Eintrag pro Domain die man via VPN erreichen möchte:
https://openvpn.net/faq/how-does-ios-interpret-pushed-dns-servers-and-search-domains/
Das gilt natürlich nur für Split Tunnel, bei redirect gateway läuft eh schon alles via Tunnel.
Ansonsten natürlich auch prüfen, ob ggf. die Regeln auch sauber passen, welche IP der Mac bekommt und dann mal ein packet capture auf dem VPN Interface aufmachen, ob überhaupt der Traffic sauber ankommt.
Cheers
-
@JeGr danke für die Erklärung.
@lustigerpinguin ich habe keine DNS Default Domain konfiguriert
bitte noch die offene frage beantworten, welchen Client setzt du ein? -
Hallo Zusammen,
sorry für die späte Antwort ...
- die Patches samt reboot sind alle drin (wegen dem reboot hat es gedauert)
- die pfsense hat nun neben dem vodafone Kabelanschluß (via Fritzbox) noch einen Glasfaseranschluß über 1und1 (der mich auch noch Zeit kostet ..)
- was die Domains angeht: der Mac soll so funktionieren das er in irgendeinem WLAN (LAN hat er ja nicht ) das VPN aufbauen und nutzen kann, somit hat der eigentlich nur die Domain vom VPN
- als Client habe ich Tunnelblick in der aktuellen Version 4.0.1 und 3.8.8 versucht, auf pfsense das was von dort kommt, OpenVPN 2.6.8
und wie bereits geschrieben unter Windows den Securepoint SSL - Client und unter Linux OpenVPN 2.6.12
Und zum Punkt: Was könnte hier falsch sein - > MacOS
Den Mac den ich zum testen nutze hatte ich vorher extra geplättet ...
Danke
Gruß
lustigerpinguin -
@lustigerpinguin ich nutze den client https://passepartoutvpn.app wie schon geschrieben ohne domain angaben mit tunnelblick läuft es bei mir zuhause auch nicht mit der namens auflösung
-
@lustigerpinguin said in Namensauflösung auf MacOS mit DNS - Resolver funktioniert nicht:
was die Domains angeht: der Mac soll so funktionieren das er in irgendeinem WLAN (LAN hat er ja nicht ) das VPN aufbauen und nutzen kann, somit hat der eigentlich nur die Domain vom VPN
Das sagt leider nichts zur VPN Konfiguration.
Ein wenig mehr Details, dann könnten wir da vielleicht auch helfen, was schief läuft. Aber ohne DNS Server und ohne Domain sollte ein Mac alles via VPN schicken. Wenn nicht müssen die gewollten Domains gepusht werden. Ansonsten müsste es ein full tunnel VPN werden aber ohne zu wissen was da eigentlich genau konfiguriert ist und was und wie es funktionieren soll, ist das leider alles raten statt wissen :)
Cheers
-
Hallo Zusammen,
vielen Dank für die Hilfe soweit.
Leider komme ich gerade nicht dazu weitere Tests durchzuführen.Das System hat noch an anderer Stelle Probleme (das VPN funktioniert nicht mehr seit die FTTH - Anbindung von 1und1 aktiv ist, es muss über die auch schon vorher vorhandene Leitung kommuniziert werden). Wenn das soweit behoben ist komme ich erst wieder zu dem o.g. Problem.
Die Konfig vom Server schicke ich noch.
Gruß
Lustigerpinguin