OPNsense Forum
International Forums => German - Deutsch => Topic started by: thron on September 26, 2021, 12:47:42 am
-
Hallo,
ich habe ein Problem und hoffe das mir hier jemand helfen kann.
Ich habe einen Jitsi-Meet-Server in meinem Netz installiert auf den eine Domain zeigt.
z.B.: jisti.meinedomain.de
Es funktioniert alles super! Jetzt habe ich einen VPN-Tunnel eingerichtet, darüber soll intern auf den Server zugegriffen werden.
Unbound DNS wurde auch eingerichtet mit jisti.meinedomain.de --> 192.168.20.5
Jetzt das Problem!
In meiner VPN-Server-Konfiguration habe ich neben der "normalen" Konfiguration folgede Zeilen mit eingetragen:
push "dhcp-option DOMAIN mydomain.us"
push "dhcp-option DNS 192.168.10.1"
push "redirect-gateway autolocal"
push "register-dns"
Und es läuft alles übe den Tunnel, wenn ich z.B tracert web.de ausführe sehe ich wie das Paket über den VPN zum Gateway über die Transferzone raus ins Netz geht! Somit super!
Wenn ich jetzt aber ein tracert auf jisti.meinedomain.de laufen lasse, nutzt er meine fritzbox und löst die öffentliche WAN-IP auf und versucht das Paket über die Fritzbox und dessen Gateway zu senden, statt auf die in Unbound DNS eingetragene IP zu gehen. Das zeigt mir, dass er nicht über den DNS 192.168.10.1 in Verbindung mit Unbound die Adresse auflöst und komischerweise auch nicht wie bei web.de den Weg über das Tunnelnetz raus an di eigene WAN-Adresse geht. Komischerweise aber nur die Domains, welche als IP die WAN-Adresse hinterlegt haben.
Stelle ich jetzt in den Netzwerksetting in meinem Client-LAN den DNS von der OPNsense ein läuft alles perfekt!
Wenn ich ping jisti.meinedomain.de schreibe kommt brav die Adresse 192.168.20.5 statt die öffentliche, da Unbound DNS greift!!
Es wird also beim Domains welche die OPNsense-WAN-Adresse hinterlegt haben nicht der Tunnel als weg genutzt sondern, es wird versucht den Weg über die Fritzbox zu gehen um die öffentliche IP aufzurufen.
Irgendwie kapiere ich das nicht!
Das stimmt irgendwas nicht...
Viele Dank für Eure Hilfe!
-
bitte mal einen grafischen netzwerkplan, ich verstehe nicht warum mal von 192.168.10.x und 192.168.20.x geschrieben wird.
-
Hallo,
habe das Problem eingrenzen bzw. lösen können!
Es liegt an der Metric des VPN-TAP-Adapter! Dieser hat schlicht und ergreifen eine höhere Metric als der LAN-Adapter und somit nutzt Windows den DNS vom LAN-Adapter. Habe einfach manuell in die Metrik eingegriffen und seitdem funktioniert alles so wie es soll!
Nicht komfortabel aber es geht....oder kennt jemand noch einen besseren Weg?
https://www.small-blog.de/dns-aufloesung-via-openvpn-bei-windows-10-adapter-priorisierung/ (https://www.small-blog.de/dns-aufloesung-via-openvpn-bei-windows-10-adapter-priorisierung/)
-
Es gibt für Windows eine entsprechende Option in der OpenVPN Config, der den DNS zu allem außer OpenVPN blockiert, weil das leider mit Metric und Windows immer wieder Probleme gab. Leider gibts in der OPNsense den Schalter nicht in der UI.
Man kann entweder beim Server setzen:
push "block-outside-dns"
oder den Befehl ohne "push" in deine Client Konfiguration mit reinschreiben (block outside DNS macht manchmal bei älteren Clients oder auf Mobiles Probleme die mit dem Setting nicht umgehen können und es nicht sauber ignorieren). Das sollte die Probleme bei aktivem VPN auch lösen.
Cheers