Hi,
ich habe frisch eine OPNsense installiert. VPN läuft und ich kann mich verbinden.
Ich kann aber leider kein DNS als Auflösung benutzen.
Kommt immer
C:\Users\Heinz>nslookup 10.1.3.128
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 10.1.3.34
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.
Hat da mal jemand eine Idee? Der DNS-Eintrag mit 10.1.3.34 stimmt jedenfalls.
Grüße
Heinz
Hi,
Was ist 10.1.3.34? Was ist .128? Was ist überhaupt das VPN Einwahlnetz und was hat das LAN? Welcher DNS ist konfiguriert und wie? Sind leider viel zu wenig Infos um eine Aussage zu treffen.
Gruß
Gib uns doch bitte ein paar mehr Infos
Netzwerkplan,...
More Infos ...
OPNsense 21.1-amd64
FreeBSD 12.1-RELEASE-p12-HBSD
OpenSSL 1.1.1i 8 Dec 2020
zu Hause installiert und dann beim Kunden aufgestellt.
Mini PC Kettop-Mi7200L6 with 7th Intel Core i5-7200U
6 LAN Intel I211-AT
480 GB SSD
8 GB RAM
Es gibt im Moment 2 Interfaces (insgesamt 6 ).
LAN 10.1.1.3 / 16
WAN pppoe --> Telekom Glasfaser (WAN Einstellung pppoe)
Tarif: DeutschlandLAN IP Voice/Data S Premium
pppoe ist eingetragen mit: asdasdf#asfasdf#0001@t-online.de
Ansonsten habe ich nichts auf der Firewall konfiguriert.
OPENvpn hat mir micneu geholfen. Danke schon mal dafür.
Meine 2 Windowsserver machen DNS und einer davon DHCP.
10.1.3.21 und 10.1.34 sind die DNS-Server. Zum testen mache ich das Gateway vom alten Router/Firewall (Sophos 10.1.1.1) auf die neue Firewall (OPNvpn 10.1.1.3).
Internet und OPENvpn Clients funktionieren.
Mit dem OPENvpn Client geht z.B. ping auf die Server. Leider geht das mit dem DNS nicht.
Reicht das so an ersten Infos?
Grüße
Heinz
Also verbindest du die OPNsense per VPN mit einem andern Server?
Also die OPNsense ist der Router direkt in das Internet und hat die Adresse 10.1.1.3
Ich habe halt noch einen zweiten Telekomzugang. An dem hängt die alte Firewall. 10.1.1.1
Dann habe ich noch einen DHCP Server inkl. DNS 10.1.3.21 und einen zweiten DNS 10.1.3.34
Hier mal ein Netzwerkplan
WAN WAN
: :
: Telekom FTTI : Telekom FTTI
: :
.---+---. .--+--.
T-KOM-Modem | T-Kom-Modem
'---+---' '--+--'
| |
Ethernet/PPoE Ethernet/PPoE
| |
.----+----. .----+----.
| Sophos | Router |OPNsense |
'----+----' FW '----+----'
10.1.0.0/16 | | 10.1.0.0/24
| .----------. |
+------| switch |------+
10.1.1.1/16 '----+-----' 10.1.1.3/16
|
LAN | 10.1.0.0/16
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+-----...
(Clients/Servers)
Hier noch die NAT-Einstellungen
Jetzt hab ich mal alles neu gestartet.
Hat sich leider nix verbessert.
Hat da jemand noch einen Tip?
also, bei deinem netzwerkaufbau, wer ist denn in deinem netzwerk das default gateway?
Die alte Firewall kann man eigentlich vernachlässigen.
Das Gateway ist die OPNsense.
Welches Gateway haben die/der DNS Server?
Gesendet von iPad mit Tapatalk Pro
Und auf den VPN Clients hast du den DNS wie konfiguriert?
Sind die DNS Server in deinem OpenVPN Server hinterlegt, damit diese beim Export mitgegeben werden?
Hi,
Gateway der DNS ist auch die OPNsense.
Hier mal die OpenVPN-Client Config
dev tun
persist-tun
persist-key
cipher AES-256-GCM
auth SHA256
client
resolv-retry infinite
remote fw02.pstproducts.com 443 udp
lport 0
verify-x509-name "C=DE, ST=Bavaria, L=Alzenau, O=PSTproducts GmbH, emailAddress=heinz.krischeu@kb-consulting.de, CN=VPN_Server" subject
remote-cert-tls server
auth-user-pass
Und hier mal OpenVPN Settings von ipconfig /all
Unbekannter Adapter OpenVPN TAP-Windows6:
Verbindungsspezifisches DNS-Suffix: pst.local
Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
Physische Adresse . . . . . . . . : 00-FF-CD-A4-62-A0
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::2cdd:5f29:b233:4f06%15(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 172.168.192.6(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.252
Lease erhalten. . . . . . . . . . : Montag, 1. März 2021 07:54:48
Lease läuft ab. . . . . . . . . . : Dienstag, 1. März 2022 07:54:48
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 172.168.192.5
DHCPv6-IAID . . . . . . . . . . . : 251723725
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-3F-3E-66-D8-CB-8A-80-1C-2A
DNS-Server . . . . . . . . . . . : 10.1.3.34
10.1.3.21
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Grüße
Heinz
Dann aktivier Mal das logging für die OpenVPN regeln und schau im Live Log während du auf dem Client
"nslookup heise.de" eingibst
Den Output des livelogs und des Clients einmal hier Posten :)
Und welchen Client genau verwendest du. Bei mir klappt es nämlich wunderbar
Sorry,
ich hab mich da vielleicht missverständlich ausgedrückt.
Wenn der VPN-Client die VPN Verbindung aufgebaut hat, kann ich noch im Internet surfen, aber die DNS-Auflösung von internen Namen funktioniert nicht.
OpenVPN Client hat die Version 2.5.0
z.B. mail.pst.local wird nicht aufgelöst
Grüße
Heinz
> z.B. mail.pst.local wird nicht aufgelöst
OK. Also wenn du verbunden bist, geht die interne Namensauflösung nicht, aber die externe schon, korrekt?
Sprich wenn du per VPN auf dem Client verbunden bist, was passiert dann bei:
* nslookup
* nslookup test.de
* nslookup test.de 10.1.3.21
* nslookup test.de 10.1.3.34
* nslookup mail.pst.local
* nslookup mail.pst.local 10.1.3.21
* nslookup mail.pst.local 10.1.3.34
Gruß Jens
Quote from: krischeu on March 01, 2021, 08:24:37 AM
Sorry,
ich hab mich da vielleicht missverständlich ausgedrückt.
Wenn der VPN-Client die VPN Verbindung aufgebaut hat, kann ich noch im Internet surfen, aber die DNS-Auflösung von internen Namen funktioniert nicht.
OpenVPN Client hat die Version 2.5.0
z.B. mail.pst.local wird nicht aufgelöst
Grüße
Heinz
Quote from: krischeu on March 01, 2021, 08:24:37 AM
Sorry,
ich hab mich da vielleicht missverständlich ausgedrückt.
Wenn der VPN-Client die VPN Verbindung aufgebaut hat, kann ich noch im Internet surfen, aber die DNS-Auflösung von internen Namen funktioniert nicht.
OpenVPN Client hat die Version 2.5.0
z.B. mail.pst.local wird nicht aufgelöst
Grüße
Heinz
Dann nimm mal den OpenVPN Connect 3.x Client
Und was sagt trotzdem ein nslookup vom Client aus
Ich weiss zwar nicht warum, aber es funktioniert jetzt alles.
Ist ja irgendwie etwas unbefriedigend und mysteriös.
Aber ich sag mal Danke und kann noch nicht mal sagen was ich gemacht habe.
Hm, ist ja auch mal nett.
Vielen Dank an alle für die Hilfe ....
Grüße
Heinz
> Dann nimm mal den OpenVPN Connect 3.x Client
Urks, NEIN. Der OVPN Connect Client ist für den Connect-Service von OVPN gedacht. Nicht für den OSS/Community Server. Wir haben und hatten damit ständig nur Probleme wenn Kunden den einsetzen statt den ganz normalen Community Client. Gibt auch keinen Grund dafür, der Community Client - egal ob 2.4.x oder 2.5.x kann alles und richtig konfiguriert klappt das auch :)
Quote from: JeGr on March 02, 2021, 11:42:01 AM
> Dann nimm mal den OpenVPN Connect 3.x Client
Urks, NEIN. Der OVPN Connect Client ist für den Connect-Service von OVPN gedacht. Nicht für den OSS/Community Server. Wir haben und hatten damit ständig nur Probleme wenn Kunden den einsetzen statt den ganz normalen Community Client. Gibt auch keinen Grund dafür, der Community Client - egal ob 2.4.x oder 2.5.x kann alles und richtig konfiguriert klappt das auch :)
Also ich habe damit bisher nie Probleme festgestellt
Läuft super und ist intuitiv