Windows Server DNS in Kombination mit Wireguard

Started by JamesFrisch, June 24, 2025, 04:40:36 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 24, 2025, 04:40:36 PM
Hallo Leute, ich brauche die Hilfe von Euch schlauen Köpfen.
Bin mir nicht sicher, ob ich völlig auf dem falschen Dampfer unterwegs bin.

Bis anhin habe ich WireGuard ohne DNS Option verwendet. Das ging eigentlich super.
Brauchte eh nur ein RDP und eine internet Webpage. Beides lief über die statische IPv4.
Vorteil war auch, dass weiterhin der lokale DNS verwendet wurde und darum meine lokalen Ressourcen problemlos weiterliefen.

Nun wollte ich endlich mal bisschen modernisieren. Einerseits wollte und habe ich auch auf Dual Stack umgestellt. Allerdings sehe ich da keinen grossen Vorteil darin. Der Tunnel kann IPv6 sein und der interne Verkehr ist weiterhin IPv4. Leider scheint auch WireGuard per default IPv4 anstelle von IPv6 zu verwenden. Musste darum einen ipv6only.vpn.mydomain.com AAAA record erstellen, um den Tunnel auf IPv6 zu zwingen. Eine schöne Lösung ist das aber auch nicht.  Wie seht ihr es mit IPv6 und Wireguard? Lohnt sich der (wenn auch kleine) Mehraufwand? Ich sehe keinen wirklichen Vorteil, wenn der Tunnel bereits IPv6 ist.


Viel wichtiger wäre mir aber die Umstellung von IPs auf DNS. Dann könnte ich auch in einem nächsten Schritt NTML ausschalten und ein valides cert für den RDP verwenden. Nur leider stosse ich an ein ganz seltsames Verhalten und kann mir nicht erklären ob dies an WireGuard oder Windows liegt. IPv6 have ich mal fürs troubleshooting deaktiviert.


Ich habe also den DNS Server 10.10.10.2 hinzugefügt.
nslookup nach meineVM.company.local funktioniert problemlos. Wird auch natürlich vom Server 10.10.10.2 beantwortet.
Was aber nicht geht is nslookup nach meineVM. Wird auch vom Server 10.10.10.2 beantwortet, allerdings mit einem Servfail.

Lokal habe ich dieses Verhalten nicht, dort werden beide Anfragen beantwortet. Wie kann das sein?


Habt ihr da eine Idee? Oder mache ich etwas ganz grundsätzliches falsch?

June 24, 2025, 05:17:13 PM #1
Quote from: JamesFrisch on June 24, 2025, 04:40:36 PMnslookup nach meineVM.company.local funktioniert problemlos. Wird auch natürlich vom Server 10.10.10.2 beantwortet.
Was aber nicht geht is nslookup nach meineVM.
Du meinst, wenn du die Domain weglässt?

In diesem Fall hängt der Client bei der DNS Abfrage seine eigene Domain automatisch dran. Dass dies der Server dann nicht beantworten kann, kann ich mir gut vorstellen.

In OpenVPN gibt es die Möglichkeit, eine "DNS Default Domain" im Server einzutragen. Diese wird dann an den Client gepusht und der hängt diese dran, falls keine angegeben wird. Ich weiß aber nicht, ob es das auch in Wireguard gibt. Das nutze ich nicht.
June 25, 2025, 07:50:43 AM #2
Ahhhh, ich glaube du hast mir bereits geholfen es zu kapieren :)


meineVM1.company.local funktioniert immer.
meineVM1 funktioniert lokal im Netz, nicht aber über den VPN.

Gehe ich richtig in der Annahme, dass meineVM1 nur funktioniert, weil die search domain company.local ist?
Wenn ich also nach meineVM1 (oder egal was ohne Domain) frage, wird eigentlich nach meineVM1.company.local gefragt?


Das sollte bei Wireguard gehen mit
DNS = 10.10.10.2, company.local


Ganz geil wäre ja, wenn der lokale DNS und der externe gleichzeitig funktionieren würde.
So von der Logik her: Nutzte den lokalen DNS und als Fallback den Angegeben remote DNS.
Dann würde die lokale und entfernte Auflösung funktionieren. Glaube aber das ist nicht umsetzbar mit Wireguard.


Jedenfalls vielen Dank und ich melde mich, was rausgekommen ist.
June 25, 2025, 11:38:22 AM #3
Leider war WireGuard mit
Code Select
DNS = 10.10.10.2, company.local nicht erfolgreich

Damit kann ich aber eigentlich gut leben, nehme ich halt immer die ganze Domain.
June 25, 2025, 12:02:56 PM #4 Last Edit: June 25, 2025, 12:09:07 PM by viragomann
2 mal gepostet...
June 25, 2025, 12:07:34 PM #5
Quote from: JamesFrisch on June 25, 2025, 07:50:43 AMGanz geil wäre ja, wenn der lokale DNS und der externe gleichzeitig funktionieren würde.
So von der Logik her: Nutzte den lokalen DNS und als Fallback den Angegeben remote DNS.
Der Client hat aber eine andere Logik..., und das handhaben verschiedene Betriebssystem auch noch unterschiedlich.
Aber allen gemein ist, sie fragen einen DNS Server ab, bekommen sie von diesem eine Antwort, wird diese akzeptiert und als gegeben betrachtet.
Und auch "NXDOMAIN" ist ein akzeptable Antwort, die der Server zurück gibt, wenn er die Domain nicht auflösen kann. Der Client bemüht in diesem Fall nicht einen anderen Server sondern betrachtet die Domain als nicht auflösbar.

Du kannst nur sämtliche Domains, die die VPN Clients auflösen können sollen auf deinen DNS übernehmen oder auf diesem eine Weiterleitung einrichten.
Today at 11:02:52 AM #6
Danke für die Antwort. Die Weiterleitung ist eine gute Idee, allerdings nur für mich, nicht so praktikabel für den end user Zuhause :)
Egal, kommt dieser halt nicht mehr auf fritz.box, wenn er/sie mit dem Firmennetzwerk verbunden ist.
Today at 11:31:13 AM #7
Es sei denn, du legst im Firmen-DNS

fritz.box. IN A 192.168.178.1

an 🙂
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 01:42:58 PM #8
😂 und den Drucker von Erika auf 192.168.178.25
Print
Go Up Pages1
User actions