Unbound / Anderer Nameserver für spezielle Domain

Started by gmu, February 24, 2018, 06:19:07 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 24, 2018, 06:19:07 PM Last Edit: February 25, 2018, 04:31:39 PM by gmu
Hallo,
ich habe folgendes Problem.

Das Szenario:

[Windows-Server + Exchange-Server]// === VPN ===// [OPNsense]===LAN1===[Notebook]

Mit meinem Notebook möchte ich vom Homeoffice auf den Windows-Server und Exchange-Server in der Firma zugreifen.
Das Tunnel steht. Alles kann angepingt werden.
Um die Namensauflösung für die Firmendomain (Bsp: MYDOMAIN.LOCAL) über den DC in der Firma abzuwickeln habe ich unter Services > Unbound DNS > Overrides bei Domain Overrides einfach die Domäne MYDOMAIN.LOCAL und die IP-Adresse des DCs auf Firmenseite eingetragen.
Unter Services > Unbound DNS > General habe ich den Enable Resolver aktiviert.
Ein nslookup am Notebook löst den Namen (DC.MYDOMAIN.LOCAL) nicht auf.
Über Interfaces / Diagnostic / DNS Lookup sehe ich, dass er nicht den eingetragenen Domain-Server verwendet, sondern den, den der ISP meiner WAN-Schnittstelle zugewiesen hat.

Muss hier noch etwas eingestellt werden, damit mein Nameserver für die Firmendomain verwendet wird?

Danke.

February 25, 2018, 08:58:43 AM #1 Last Edit: February 25, 2018, 04:32:09 PM by gmu
Hallo,

eine Lösung habe ich leider noch nicht gefunden, aber eine Ungereimtheit.

Wenn ich mir die Routing-Tabelle ansehe, dann wird als Gateway für mein entferntes IPSec-VPN-Netz die IP-Adresse der WAN-Schnittstelle angegeben (also die ich vom ISP erhalten habe).

Es sieht also so aus als würde alles von LAN nach VPN funktionieren.
Die OPNsense selbst aber nicht über das Tunnel geht wenn diese wie in meinem Fall bei Unbound einen Nameserver auf der Gegenseite kontaktieren soll.

Ich werde jetzt mal versuchen das mit einer NAT-Regel umzubiegen.

February 25, 2018, 10:47:42 AM #2 Last Edit: February 25, 2018, 04:32:27 PM by gmu
Vom Notebook aus kann ich die Geräte auf der Gegenseite pingen.

Über Interfaces > Diagnostics > Ping klappt das nicht.
Auch der Traceroute klappt nicht, da er wie der Ping über das WAN-Interface rausgeht und nicht über das IPSec-Interface.

Hat jemand eine Idee, wie man die OPNsense dazu bringen kann, das Tunnel zu nutzen?

Danke.
February 25, 2018, 01:26:51 PM #3 Last Edit: February 25, 2018, 04:32:57 PM by gmu
Sehr komisch das Ganze.

Ich habe versucht über die Web-GUI eine Route zu meiner Gegenseite anzulegen:

System > Gateways > All > Add gateway (Änderungen auch gespeichert)

Systems > Routes > Configuration > Add

Trotzdem, weder der Ping, noch DNS Lookup klappten wenn ich nicht explizit die LAN-Schnittstelle ausgewählt hatte.

Dann habe ich mich per Putty/SSH aufgeschaltet und habe die Route manuell eingetragen:

Code Select
route add <Firmen-Netz> <LAN-IP>
(route add 192.168.17.0/24 192.168.128.1)


Damit klappt sowohl der Ping als auch der DNS Lookup mit Hosts der Firmen-Domain.

Da muss doch noch ein Bug in der Umsetzung der Web-GUI und der tatsächlichen Konfiguration sein?


Print
Go Up Pages1
User actions