Bahnhof VPN på specifika adresser, DNS läckage
-
Lite kortfattat om min installation.
BBB = Bredbandsbolaget
BH = BahnhofpfSense 2.2.0, körs som VM.
Publikt: 3st WAN IP:n från BBB (internt nät, DMZ och en för BH OpenVPN).
Internt: Några VLAN för uppdelning i flera mindre DMZ, gäst nät och interna nätet.Jag har satt upp så det finns en brandväggsregel som knyter mot ett alias vpn_bahnhof.
Alla LAN IP:n i vpn_bahnhof routas genom den VPN tunnel som är mot intrigrety.st tjänsten BH säljer.
Det här fungerar felfritt, och tillåter att vissa klienter på interna nätet använder vanliga WAN anslutningen via BBB, men några utvalda routas in i tunneln. Problemet jag har här är DNS läckage. Adresserna som ligger i vpn_bahnhof ska självklart också kunna översätta interna DNS:er. På så sätt kan jag inte tvinga klienterna i vpn_bahnhof att enbart nyttja BH:s DNS-servrar, utan måste plocka med pfSense.
Scenario, klient i vpn_bahnhof
När man ställer en fråga till pfSense:s DNS, ex intern-klient01 så svarar den utifrån den interna adressen och går inte vidare ut på WAN. Än så länge inget konstigt. Men säg att jag ska till google.se, då skickas frågan till BH och pfSense (korrekt). pfSense har inte google.se på insidan, utan går då vidare ut till BBB:s vanliga DNS-servrarna och ställer frågan utanför BH tunneln. Och där får jag mitt DNS läckage…Har ni någon en idé kring en lösning eller behöver ni veta mer?
-
Ett alternativ kan vara att du inte använder dig av ISP eller google dns servrar som lagrar info.
Detta kanske är ett alternativ som passar.http://www.opennicproject.org/
Annat alternativ som kanske funkar är väl om du styr dns frågorna via vpn tunneln .
Ps. Om du har ork/tid/lust hur du fixade till din vpn koppling så e jag intresserad av lite läsning :) Ds.
-
Hi compfreak!
äntligen har jag hittat någon som har Integrity.st VPN som har fått det att fungera. Hur gjorde du?
Jag har Bahnhof och Integritys VPN men får inte det att fungerar i min PFsenseSkulle du kunna delge mig och andra hur du gjorde
Mick
tack på förhand
-
Kør med Unbound og brug DNSSEC som validerer internt
-
Har hittat en lösning som fungerar som jag vill nu, med en liten knuff i rätt riktning av det svar Mowgli gav.
Annat alternativ som kanske funkar är väl om du styr dns frågorna via vpn tunneln .
För att undvika läckage så ändrar jag bara DNS gateway under "General Setup". DNS querys får bara gå genom mitt VPN interface.
Nu kan inga läckor utanför tunneln uppstå eftersom alla externa DNS servrar ska frågas genom VPN tunneln. Samtidigt har jag kvar möjligheten att översätta interna DNSer då pfSense fortfarande sköter den biten.
Men… Med dom här inställningarna uppstår ett nytt problem. Om internet anslutningen går ner, så dyker såklart tunneln. När jag har fått tillbaka min anslutning så kan inte tunneln ta sig upp igen. pfSense är ju inställd på att köra alla externa DNS querys genom tunneln, som nu inte finns. Så någon översättning av openvpn.integrity.st går ju inte!
Det här har jag löst genom att skapa en "Domain overrides" under "DNS Forwarder". pfSense vet då att alla frågor mot openvpn.integrity.st ska ställas direkt mot Bahnhofs NS som håller i domänen. Då tillåts förfrågningar mot bara den DNSen att kringgå inställningarna i "General Setup".
Ser att ni efterfrågat en beskrivning av min VPN anslutning, är det fortfarande av intresse så ska jag försöka hitta lite tid en helg! :)
-
Ser att ni efterfrågat en beskrivning av min VPN anslutning, är det fortfarande av intresse så ska jag försöka hitta lite tid en helg! :)
Ja Tack!
-
Ser att ni efterfrågat en beskrivning av min VPN anslutning, är det fortfarande av intresse så ska jag försöka hitta lite tid en helg! :)
Det vore jätteschysst! :)
-
Skulle oxå gärna veta hur man får fart på Bahnhofs OpenVPN via pfSense
///Peter
-
Är väldigt intresserad av hur du löste det.
/Marcus
-
Ser att ni efterfrågat en beskrivning av min VPN anslutning, är det fortfarande av intresse så ska jag försöka hitta lite tid en helg! :)
Ja Tack!
https://forum.pfsense.org/index.php?topic=105143.msg687106#msg687106
-
Ett smidigt sätt att lösa DNS-styrningen på är med VLAN och DHCP. För varje VLAN kan man ange specifika DNSer via DHCP-servern för det interfacet. Sen är det bara att skicka in önskade delar av nätverket i rätt VLAN och se till att VLANet i fråga får rätt gateway. I samma veva får man en "kill switch" om man direkt under brandväggsregeln som styr till rätt gateway lägger en "block all"-regel.
Om man bara har enstaka klienter eller inte vill pilla med VLAN kan man göra samma sak fast med IP-adress(er).