OPNsense Forum
International Forums => German - Deutsch => Topic started by: kosta on February 18, 2021, 10:01:30 am
-
Hallo,
ich kämpfe noch immer etwas mit DNS und es ganz zu verstehen, aber denke ich habe es schon relativ gut im Griff.
In der Konstellation habe ich ein Problem, den ich denke ich so einfach nicht lösen kann. Oder vielleicht schon, aber ich sehe noch keinen Weg.
Grundlegend habe ich in der OPNsense ein IPsec Tunnel mit meiner Firma. Die Domäne dort wird in Unbound via Overrides gefunden. Das funktioniert tadellos.
Seit gestern habe ich auch einen OpenVPN Tunnel mit PIA/NordVPN erstellt, und das funktioniert auch gut.
Aber, hier das Problem:
Damit die DNS-Auflösung in der Firma funktioniert, müssen die Anfragen bei OPNsense über LAN rausgehen. Kein Forwarding.
Damit aber die Pakete bei der Verwendung des Tunnels (nur ein paar VMs) sauber nur über dem Tunnel gehen, und keine DNS Leaks vorkommen, muss ich Port Forwarding anhaken und die entsprechenden Server bei System-Settings-General eingeben (die vom VPN-Provider). Aber, dann es es natürlich mit der Auflösung in der Firma vorbei.
Wie kann ich das am saubersten lösen? Brauche ich einen zweiten DNS wie zB. Pi-Hole (den ich aber ohnehin mal installieren will)? Oder ist das über Firewall Regeln zu regeln?
Netzwerk-Plan, falls notwendig, kann ich liefern.
-
Wie ich gestern schon schrieb, würde ich:
1) den Unbound die Anfragen, die nicht per Override zu beantworten sind, über das VPN leiten, dann gehen alle DNS Anfragen deiner OPNsense per VPN raus. Kannst Du einstellen indem du
route 1.1.1.1 255.255.255.255
route 1.0.0.1 255.255.255.255In die Advanced Box bei der OpenVPN Client Verbindung reinsetzt. Die Cloudflare Server kannst Du natürlich beliebig ersetzen. Das sind dann die Resolver, die Unbound nutzt
2) die Clients, die per VPN ins Netz sollen, bekommen per DHCP einfach direkt irgendwelche DNS Server zugeteilt, die nicht deine OPNsense sind. Dann gehen die Anfragen mit dem restlichen Traffic sauber per VPN raus. Ich würde die VPN Lösung nie für vertrauenswürdige Clients nehmen. Wie gestern schon eruiert ist das VPN als Anonymisierung totaler Quatsch und verlangsamt dir den Zugang ins Internet. Das würde ich nur für Clients nehmen, die eben nicht mit deiner eigenen IP ins Netz gehen sollen bzw zur Überwindung von Geo-Blocking. Diese Clients kommen eh in ein eigenes VLAN, dürfen nur per VPN ins Netz, sind per Port-Isolation vom restlichen Netzwerk getrennt und nutzen keinerlei Dienste der OPNsense.
-
Ahhh OK, perfekt. Werde mich gleich an die Arbeit machen!
Es sollten überhaupt keine anderen Clients über VPN gehen, außer wie gesagt, 1-2 VMs. Hier geht es ja nur um das anonymisieren (="nicht eigene IP") der einzelnen Clients. Von die Clients wird auch nicht gesurft oder was auch immer. Werden ziemlich sicher einzelne schlanke Ubuntu Server VMs.
Dann weise ich diesen Clients die DNS Server von die VPN Betreiber, ich werde eh nur einen haben (vermutlich bleibe bei PIA, NordVPN wird gekündigt).
Diese Clients sind zur Zeit allerdings nicht im eigenen VLAN (sie existieren auch noch nicht, sondern nur Test-VMs). Könnte ich aber tun. Sie müssen auf die NAS zugreifen können, aber das kann ich per FW regeln.
Ich versuche es mal einzurichten und berichte dann! Danke!
-
Mmmh, rewind.
Ich möchte dem Unbound keine Forwarder für das ganze Netz eingeben.
Wäre mir lieber wenn der Unbound wie auch jetzt der Resolver bleibt, der die Root-Server kontaktiert.
Wie ich das lese und verstehe, ist das sinnvoller?
Was OK wäre, nur den Clients die über VPN sollen, auch die DNS Server der VPN zu vergeben.
Daher würde ich das so machen (als Beispiel):
route 209.222.18.222 192.168.170.0
route 209.222.18.218 192.168.170.0
(jedoch finde ich keine Doku zu "route", daher weiß ich die Syntaxe für das Netz nicht, wo hast du das her? CIDR?)
Ist aber wohl nicht die Dauerlösung:
"This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting."
Und wenn ich ne eigene VLAN habe, dann kann ich den ja locker über das VPN Interface rausschicken...?
-
Und noch was:
Wenn ich das was du geschrieben hast, eingebe, startet der Unbound nicht mehr.
-
Und noch was:
Wenn ich das was du geschrieben hast, eingebe, startet der Unbound nicht mehr.
Kommt ja auch nicht beim unbound rein , sondern wie ich schrieb in den OpenVPN Client.
Ich würde dir Variante 2 empfehlen, dann kann die OPNsense so bleiben wie sie ist.
Dann spielen auch die Route Einträge keine Rolle. Einfach weglassen
-
Danke, mein Problem ist offensichtlich: ich denke einfach nicht simpel. Ich habe ganze Zeit nachgedacht was ich an der FW machen muss, wobei die DNS geht vom Client aus. Naja... wenn man sich damit nicht allzuviel beschäftigt, dann kommt dabei das raus.
Besten Dank.