Show Posts
1
German - Deutsch / Re: DNS-Problem beim IPSec und in der ARP-Tabelle
« on: April 12, 2018, 06:30:50 pm »
Hallo zusammen
Ich denke ich könnte das selbe Problem haben wie du in Punkt 2. beschrieben hast. Interessant zu wissen wäre, wer bei dir den DNS request auflöst. Die OPNsense oder ein anderer DNS Dienst?
Ich habe folgendes Scenario:
Ich habe eine IPsec connection zwischen 2 Firewalls. Auf der einen Seite habe ich Clients, auf der anderen Seite Server. Die OPNsense dient auf Clientseite als DNS Resolver. Bei diesem habe ich einen DNS Override eingetragen, welcher die DNS Anfragen der Clients (DNS Domain von AD) an den DNS Server auf der anderen Seite des Tunnels weiterleiten soll.
Mit IP funktioniert alles wunderbar, leider nicht mit dem FQDN.
Mir ist nun aufgefallen, dass die Firewall selber gar nichts auf der anderen Seite des Tunnels erreichen kann. Wenn man ein Tracert macht, sieht man, dass die Firewall alles über den Default Gateway und somit ins Internet sendet. Sobald ich jedoch bei einem Ping oder Tracert das entsprechende Interface auswähle funktionert der Ping/Tracert. Somit ist klar es liegt ein Routing Problem vor. Die Firewall selbst nimmt immer den Default Gateway.
Ich habe dafür dann folgenden Artikel gefunden:
https://doc.pfsense.org/index.php/Why_can%27t_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN
Sobald ich jedoch den Gateway anlege, ohne überhaupt die statische Route zu erstellen, funktioniert der Ping überhaupt nicht mehr, auch wenn ich das Interface manuell auswähle.
Danke euch für eure Hilfe!
Gruss,
Philipp
Ich denke ich könnte das selbe Problem haben wie du in Punkt 2. beschrieben hast. Interessant zu wissen wäre, wer bei dir den DNS request auflöst. Die OPNsense oder ein anderer DNS Dienst?
Ich habe folgendes Scenario:
Ich habe eine IPsec connection zwischen 2 Firewalls. Auf der einen Seite habe ich Clients, auf der anderen Seite Server. Die OPNsense dient auf Clientseite als DNS Resolver. Bei diesem habe ich einen DNS Override eingetragen, welcher die DNS Anfragen der Clients (DNS Domain von AD) an den DNS Server auf der anderen Seite des Tunnels weiterleiten soll.
Mit IP funktioniert alles wunderbar, leider nicht mit dem FQDN.
Mir ist nun aufgefallen, dass die Firewall selber gar nichts auf der anderen Seite des Tunnels erreichen kann. Wenn man ein Tracert macht, sieht man, dass die Firewall alles über den Default Gateway und somit ins Internet sendet. Sobald ich jedoch bei einem Ping oder Tracert das entsprechende Interface auswähle funktionert der Ping/Tracert. Somit ist klar es liegt ein Routing Problem vor. Die Firewall selbst nimmt immer den Default Gateway.
Ich habe dafür dann folgenden Artikel gefunden:
https://doc.pfsense.org/index.php/Why_can%27t_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN
Sobald ich jedoch den Gateway anlege, ohne überhaupt die statische Route zu erstellen, funktioniert der Ping überhaupt nicht mehr, auch wenn ich das Interface manuell auswähle.
Danke euch für eure Hilfe!
Gruss,
Philipp