OPNsense Forum

International Forums => German - Deutsch => Topic started by: gmu on February 24, 2018, 06:19:07 pm

Title: Unbound / Anderer Nameserver für spezielle Domain
Post by: gmu on February 24, 2018, 06:19:07 pm

Hallo,
ich habe folgendes Problem.

Das Szenario:

[Windows-Server + Exchange-Server]// === VPN ===// [OPNsense]===LAN1===[Notebook]

Mit meinem Notebook möchte ich vom Homeoffice auf den Windows-Server und Exchange-Server in der Firma zugreifen.
Das Tunnel steht. Alles kann angepingt werden.
Um die Namensauflösung für die Firmendomain (Bsp: MYDOMAIN.LOCAL) über den DC in der Firma abzuwickeln habe ich unter Services > Unbound DNS > Overrides bei Domain Overrides einfach die Domäne MYDOMAIN.LOCAL und die IP-Adresse des DCs auf Firmenseite eingetragen.
Unter Services > Unbound DNS > General habe ich den Enable Resolver aktiviert.
Ein nslookup am Notebook löst den Namen (DC.MYDOMAIN.LOCAL) nicht auf.
Über Interfaces / Diagnostic / DNS Lookup sehe ich, dass er nicht den eingetragenen Domain-Server verwendet, sondern den, den der ISP meiner WAN-Schnittstelle zugewiesen hat.

Muss hier noch etwas eingestellt werden, damit mein Nameserver für die Firmendomain verwendet wird?

Danke.

 

Title: Re: Unbound / Anderer Nameserver für spezielle Domain
Post by: gmu on February 25, 2018, 08:58:43 am

Hallo,

eine Lösung habe ich leider noch nicht gefunden, aber eine Ungereimtheit.

Wenn ich mir die Routing-Tabelle ansehe, dann wird als Gateway für mein entferntes IPSec-VPN-Netz die IP-Adresse der WAN-Schnittstelle angegeben (also die ich vom ISP erhalten habe).

Es sieht also so aus als würde alles von LAN nach VPN funktionieren.
Die OPNsense selbst aber nicht über das Tunnel geht wenn diese wie in meinem Fall bei Unbound einen Nameserver auf der Gegenseite kontaktieren soll.

Ich werde jetzt mal versuchen das mit einer NAT-Regel umzubiegen.

 

Title: Re: Unbound / Anderer Nameserver für spezielle Domain
Post by: gmu on February 25, 2018, 10:47:42 am

Vom Notebook aus kann ich die Geräte auf der Gegenseite pingen.

Über Interfaces > Diagnostics > Ping klappt das nicht.
Auch der Traceroute klappt nicht, da er wie der Ping über das WAN-Interface rausgeht und nicht über das IPSec-Interface.

Hat jemand eine Idee, wie man die OPNsense dazu bringen kann, das Tunnel zu nutzen?

Danke.

Title: Re: Unbound / Anderer Nameserver für spezielle Domain
Post by: gmu on February 25, 2018, 01:26:51 pm

Sehr komisch das Ganze.

Ich habe versucht über die Web-GUI eine Route zu meiner Gegenseite anzulegen:

System > Gateways > All > Add gateway (Änderungen auch gespeichert)

Systems > Routes > Configuration > Add

Trotzdem, weder der Ping, noch DNS Lookup klappten wenn ich nicht explizit die LAN-Schnittstelle ausgewählt hatte.

Dann habe ich mich per Putty/SSH aufgeschaltet und habe die Route manuell eingetragen:

Code: [Select]

route add <Firmen-Netz> <LAN-IP>
(route add 192.168.17.0/24 192.168.128.1)

Damit klappt sowohl der Ping als auch der DNS Lookup mit Hosts der Firmen-Domain.

Da muss doch noch ein Bug in der Umsetzung der Web-GUI und der tatsächlichen Konfiguration sein?