OpenVPN - Verbindungsspezifisches DNS-Suffix Fehlt

Started by LHBL2003, January 31, 2024, 07:20:54 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 31, 2024, 07:20:54 PM Last Edit: February 01, 2024, 12:29:36 AM by LHBL2003
Hallo zusammen,

ich habe einen OpenVPN Server auf der OpnSense. Wenn ich mich über das OpenVPN Tool einlogge, bekomme ich eine IP und kann auch meinen dort verwendeten DNS Server pingen. DNS Anfragen wie "MyServer.MyDomain.local" funktionieren auch. Wenn ich aber "MeinServer" (ohne Domain) pinge funktioniert das nicht.

Mir ist aufgefallen, dass bei der Netwerkkarte "TAP-Windows Adapter V9 for OpenVPN Connect" keinen nach der Netzwerkidentifizierung nicht der Domain Sufix MeineDomai.local angezeigt wird sondern nur "LAN-Verbindung 6". Wenn ich mich aber mit meinem VPN Client in die Firma einwähle, wird mir deren Domain Sufix Firmal.local angezeigt.

Im Anhang findet ihr meine OpenVPN Configuration für den Server. Dort habe ich unter "DNS Standard Domain" und unter "DNS Domänen Suchliste" den DNS namen angegeben. Leider ohne erfolg.

Habt ihr eine Idee, was ich beachten muss?

February 01, 2024, 11:53:43 AM #1
Du kannst bezüglich DNS (und Windows ist da die Kampf-Zicke) noch 2 Optionen in der Client Config setzen, die den Windows DNS in die Gänge treten. Oft werden die im Server selbst gesetzt, das ist aber doof wenn sich Clients mit non-Windows verbinden, die diese Optionen nicht ignorieren können und dann nen Fehler bekommen. Daher setzt man die im Server eigentlich eher nicht und dafür im Client, dann haben alle was von.

Versuche mal in deiner Client Config folgendes noch zu setzen:
Code Select

# If having problems with DNS resolution uncomment this
register-dns
# Also if using Windows, try to export client with
setenv opt block-outside-dns


und schau mal obs dann funktioniert.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 05, 2024, 01:04:05 PM #2
Hallo @JeGr,

Danke für deine Idee.

Ich habe mal ein Bild in den Anhang eingefügt. Meinst du diese Einstellungen. Die habe ich mal in den OpenVPN Server Konfiguration und Client-Einstellungen aktiviert. Aber ohne erfolg.

Erzwinge DNS-Cache Aktualisierung: Führen Sie "net stop dnscache", "net start dnscache", "ipconfig /flushdns" und "ipconfig /registerdns" beim Verbindungsaufbau aus. Dies ist ein bekannter Trick, um Windows dazu zu bringen, die DNS-Server zu erkennen.

Prevent DNS leaks:    
Block DNS servers on other network adapters to prevent DNS leaks. Compatible with Windows clients only.
February 10, 2024, 11:32:00 AM #3
Ich sagte ja genau NICHT im Server setzen, weil die Optionen auf manchen Clients nicht funktionieren und ignoriert werden können. Daher NUR im Client setzen und da schreibt man sie einfach in die Config rein, wie ich es zitiert hatte.
Beim checken nslookup mal sehen, was er vllt. als Domain ergänzt, oder in ipconfig /all reinschauen was am Adapter konfiguriert ist dann? Ansonsten kann das auch am Client liegen, dass was nicht überschrieben wird.

Wenn die Einstellungen drin sind im Client und DNS immer noch nicht geht (ist ein Windows Client?) dann muss im Server nochmal ordentlich geprüft werden, ob die Domains gesetzt sind und gepusht werden. Am Client sollte nach dem Verbindungsaufbau dann auch via "ipconfig /all" beim VPN Interface die Domain gesetzt sein.

Aber prinzipiell sollte man sich NIE auf einen Hostnamen OHNE Domain verlassen, da Windows da kompletten Bullshit macht und das nach Belieben. Das funktioniert auch ohne VPN schon an manchen stellen nicht sauber, daher sollte man da tunlichst immer mit der FQDN arbeiten, dann fällt man gar nicht erst über die genannten Probleme. Das ist fast immer dem DNS Wirrwarr geschuldet, das MS selbst produziert, da bei mehren Interfaces mehrere DNSe angegeben sind mit unterschiedlichen Domains und der interne DNS dann komplett durcheinander kommt, welche Suffixe er jetzt anhängt und welche nicht und warum überhaupt etc.

Wenn du dir ganz viel Kopfschmerzen schenken möchtest, arbeite da einfach mit den FQDNs, Hostnamen ohne Domain sind bei Windows wirklich so nen "geht/geht nicht" Ding. Sollten gehen, richtig, manchmal aus unerfindlichen Gründen aber nicht.

Du kannst auch noch hergehen und das OpenVPN Interface in Windows aufmachen und dort manuell die Domain Suffix Liste ergänzen und da was eintragen, das hilft manchmal auch, Windows zu treten, aber insgesamt würde ich einfach prüfen ob der FQDN geht und dann den nutzen. Das ist dann sauberer und auch kein "kann sich ändern" Ding, wie ein Hostname ohne Domain. Da weiß man dann nie, was dein System draus macht (bspw. Laptop in unterschiedlichen Netzen) wenn es mal den Standort wechselt oder in diversen VPNs ist. Beim FQDN ist das dafür immer der richtige Aufruf.

Cheers :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions