[SOLVED]Openvpn Client Verbindung steht, keine DNS Auflösung möglich

[krischeu]

Hi,
ich habe frisch eine OPNsense installiert. VPN läuft und ich kann mich verbinden.
Ich kann aber leider kein DNS als Auflösung benutzen.

Kommt immer
C:\Users\Heinz>nslookup 10.1.3.128
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  10.1.3.34

DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Hat da mal jemand eine Idee? Der DNS-Eintrag mit 10.1.3.34 stimmt jedenfalls.

Grüße
Heinz

[JeGr]

Hi,

Was ist 10.1.3.34? Was ist .128? Was ist überhaupt das VPN Einwahlnetz und was hat das LAN? Welcher DNS ist konfiguriert und wie? Sind leider viel zu wenig Infos um eine Aussage zu treffen.

Gruß

[lfirewall1243]

Gib uns doch bitte ein paar mehr Infos
Netzwerkplan,...

[krischeu]

More Infos ...
OPNsense 21.1-amd64
 FreeBSD 12.1-RELEASE-p12-HBSD
 OpenSSL 1.1.1i 8 Dec 2020

zu Hause installiert und dann beim Kunden aufgestellt.
 Mini PC Kettop-Mi7200L6 with 7th Intel Core i5-7200U
 6 LAN Intel I211-AT
 480 GB SSD
 8 GB RAM

Es gibt im Moment 2 Interfaces (insgesamt 6 ).
 LAN 10.1.1.3 / 16
 WAN pppoe --> Telekom Glasfaser (WAN Einstellung pppoe)
Tarif: DeutschlandLAN IP Voice/Data S Premium

pppoe ist eingetragen mit: asdasdf#asfasdf#0001@t-online.de

Ansonsten habe ich nichts auf der Firewall konfiguriert.

OPENvpn hat mir micneu geholfen. Danke schon mal dafür.

Meine 2 Windowsserver machen DNS und einer davon DHCP.
10.1.3.21 und 10.1.34 sind die DNS-Server. Zum testen mache ich das Gateway vom alten Router/Firewall (Sophos 10.1.1.1) auf die neue Firewall (OPNvpn 10.1.1.3).

Internet und OPENvpn Clients funktionieren.
Mit dem OPENvpn Client geht z.B. ping auf die Server. Leider geht das mit dem DNS nicht.

Reicht das so an ersten Infos?

Grüße

Heinz

[lfirewall1243]

Also verbindest du die OPNsense per VPN mit einem andern Server?

[krischeu]

Also die OPNsense ist der Router direkt in das Internet und hat die Adresse 10.1.1.3
Ich habe halt noch einen zweiten Telekomzugang. An dem hängt die alte Firewall. 10.1.1.1
Dann habe ich noch einen DHCP Server inkl. DNS 10.1.3.21 und einen zweiten DNS 10.1.3.34

[krischeu]

Hier mal ein Netzwerkplan
                WAN                      WAN
                 :                        :
                 : Telekom FTTI          : Telekom FTTI
                 :                        :
             .---+---.                 .--+--.
         T-KOM-Modem |     T-Kom-Modem
             '---+---'                 '--+--'
                 |                        |
        Ethernet/PPoE       Ethernet/PPoE
                 |                        |
            .----+----.              .----+----.
            | Sophos |   Router |OPNsense |
            '----+----'     FW       '----+----'
10.1.0.0/16 |                        | 10.1.0.0/24
                 |         .----------.      |
                 +------| switch |------+
     10.1.1.1/16    '----+-----' 10.1.1.3/16
                             |
                         LAN | 10.1.0.0/16
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers)

Hier noch die NAT-Einstellungen

[krischeu]

Jetzt hab ich mal alles neu gestartet.

Hat sich leider nix verbessert.

Hat da jemand noch einen Tip?

[micneu]

also, bei deinem netzwerkaufbau, wer ist denn in deinem netzwerk das default gateway?

[krischeu]

Die alte Firewall kann man eigentlich vernachlässigen.
Das Gateway ist die OPNsense.

[micneu]

Welches Gateway haben die/der DNS Server?


Gesendet von iPad mit Tapatalk Pro

[lfirewall1243]

Und auf den VPN Clients hast du den DNS wie konfiguriert?
Sind die DNS Server in deinem OpenVPN Server hinterlegt, damit diese beim Export mitgegeben werden?

[krischeu]

Hi,
Gateway der DNS ist auch die OPNsense.

Hier mal die OpenVPN-Client Config

Code: [Select]

dev tun
persist-tun
persist-key
cipher AES-256-GCM
auth SHA256
client
resolv-retry infinite
remote fw02.pstproducts.com 443 udp
lport 0
verify-x509-name "C=DE, ST=Bavaria, L=Alzenau, O=PSTproducts GmbH, emailAddress=heinz.krischeu@kb-consulting.de, CN=VPN_Server" subject
remote-cert-tls server
auth-user-pass

Und hier mal OpenVPN Settings von ipconfig /all

Code: [Select]

Unbekannter Adapter OpenVPN TAP-Windows6:

   Verbindungsspezifisches DNS-Suffix: pst.local
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physische Adresse . . . . . . . . : 00-FF-CD-A4-62-A0
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::2cdd:5f29:b233:4f06%15(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 172.168.192.6(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.252
   Lease erhalten. . . . . . . . . . : Montag, 1. März 2021 07:54:48
   Lease läuft ab. . . . . . . . . . : Dienstag, 1. März 2022 07:54:48
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 172.168.192.5
   DHCPv6-IAID . . . . . . . . . . . : 251723725
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-3F-3E-66-D8-CB-8A-80-1C-2A
   DNS-Server  . . . . . . . . . . . : 10.1.3.34
                                       10.1.3.21
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
Grüße
Heinz

[lfirewall1243]

Dann aktivier Mal das logging für die OpenVPN regeln und schau im Live Log während du auf dem Client
"nslookup heise.de" eingibst

Den Output des livelogs und des Clients einmal hier Posten


Und welchen Client genau verwendest du. Bei mir klappt es nämlich wunderbar

[krischeu]

Sorry,
ich hab mich da vielleicht missverständlich ausgedrückt.
Wenn der VPN-Client die VPN Verbindung aufgebaut hat, kann ich noch im Internet surfen, aber die DNS-Auflösung von internen Namen funktioniert nicht.

OpenVPN Client hat die Version 2.5.0

z.B. mail.pst.local wird nicht aufgelöst

Grüße

Heinz