Zwei NordVPN Zugänge nur für spezifische VLANs einrichten

[Traviso]

als VPN Client sollte eigentlich die Sense sein. Hier hast du das doch auch alles eingerichtet, oder nicht? Auf den anderen Geräten im VLAN brauchst du dann gar nichts einrichten und dich zu keinem VPN verbinden, das routet dann doch alles die Sense. Das ist doch der Clou dabei...

Ja, natürlich. Ich meine auch den OpenVPN-Client auf der Sense. Dort steht im Log folgendes:

2023-07-29T14:34:23   Error   openvpn_client1   RESOLVE: Cannot resolve host address: de640.nordvpn.com:1194 (Name does not resolve)

Interessant ist dabei, dass die Verbindung klappt, wenn ich die Sense neu hochfahre. Versuche ich danach einen Reconnect, so bekomme ich diese Fehlermeldung im OpenVPN Log File angezeigt.
Wie geschrieben, mit Unbound scheint es zu klappen, mit AGH nicht. Das mag natürlich auch daran liegen, dass AGH auf einer festen IP in einem anderen Subnetz liegt.

[tiermutter]

Und funktioniert ansonsten die Auflösung mit AGH? Klingt eher nach einem Problem fernab vom VPN...

[Traviso]

Es funktioniert mit AGH, sobald ich eine DNS-Weiterleitung der DNS-Server-IP aus den anderen VLANS heraus auf das Management VLAN vornehme, in welchem AGH jetzt liegt.

Wie hast Du das gelöst ?

[tiermutter]

Bei mir läuft AGH auf der Sense und lauscht somit auf allen Interfaces, daher brauche ich keine entsprechende Weitereleitung.
In Deinem Konstrukt, sofern ich es richtig überblicke, brauchst Du später eine Regel vor der Regel, die alles aus dem VLAN an das VPN Gateway routet, die die DNS Anfragen an AGH routet, sofern gewünscht ist, dass AGH das macht.

Das Problem was Du hast ist ja aber schon viel früher angesiedelt. Der Name um die VPN Verbindung herstellen zu können muss für die Sense aufgelöst werden, da hat weder das VLAN noch das VPN selbst etwas mit zu tun. Die Sense erreicht offensichtlich Dein AGH nicht und kann daher keine Namen auflösen, das dürfte dann aber immer und für alle Anfragen zutreffen, nach dem was Du jetzt geschrieben hast, funktioniert das aber?!?!
Die Sense muss auch gar nicht zwingend AGH für DNS nehmen, hast Du unter System/Settings/General denn DNS Server angegeben? Diese würde die Sense dann selbst für die Auflösung verwenden, damit wird dann auch die Adresse für den VPN Verbindungsaufbau aufgelöst, alle anderen Geräte können dann ja immer noch an AGH geleitet werden.

[Traviso]

Hallo,

ich muss jetzt erstmal die Sense neu aufsetzen, da ich, warum auch immer, keinen Zugriff mehr habe.

Bei mir läuft AGH auf der Sense und lauscht somit auf allen Interfaces, daher brauche ich keine entsprechende Weitereleitung.

Bei mir läuft AGH auch direkt auf der Sense, allerdings musste ich beim Setup eine Schnittstelle angeben. Da habe ich bei mir die VLAN-Schnittstelle im Management VLAN ausgewählt. Eine Option zum "Abdecken" aller Interfaces ist mir da nicht aufgefallen. Wie hast Du das hinbekommen ?

In Deinem Konstrukt, sofern ich es richtig überblicke, brauchst Du später eine Regel vor der Regel, die alles aus dem VLAN an das VPN Gateway routet, die die DNS Anfragen an AGH routet, sofern gewünscht ist, dass AGH das macht.

Über diesen Beitrag (https://forum.opnsense.org/index.php?topic=22162.135) bin ich auf das Thema aufmerksam geworden. In Post #142 sind zwei Links aufgeführt, wo man Infos zum Weiterleiten der DNS-Abfragen bekommt.

Falls es natürlich eine einfachere Möglichkeit gibt, würde ich mich freuen, darüber etwas zu erfahren.

Das Problem was Du hast ist ja aber schon viel früher angesiedelt. Der Name um die VPN Verbindung herstellen zu können muss für die Sense aufgelöst werden, da hat weder das VLAN noch das VPN selbst etwas mit zu tun. Die Sense erreicht offensichtlich Dein AGH nicht und kann daher keine Namen auflösen, das dürfte dann aber immer und für alle Anfragen zutreffen, nach dem was Du jetzt geschrieben hast, funktioniert das aber?!?!

Nur unter Unbound. Mit AGH funktioniert es nicht.

Die Sense muss auch gar nicht zwingend AGH für DNS nehmen, hast Du unter System/Settings/General denn DNS Server angegeben? Diese würde die Sense dann selbst für die Auflösung verwenden, damit wird dann auch die Adresse für den VPN Verbindungsaufbau aufgelöst, alle anderen Geräte können dann ja immer noch an AGH geleitet werden.

Bei den VLANs, welche über NordVPN gerötet werden, stelle ich die DNS-Server-IPs über den DHCP Server zur Verfügung.
Aus diesem Grund habe ich in System -> Settings -> General auch noch keine DNS-Server eingetragen. Das muss ich noch machen, sobald ich die Sense wieder am Laufen habe.