DNS-Problem beim IPSec und in der ARP-Tabelle

[heiko3001]

Guten Morgen Zusammen,

den IPCop, die pfSense-Firewall kenn ich jetzt schon seit knapp 10 Jahren, seit letzter Woche bin ich allerdings komplett auf Opnsense umgestiegen. Nachdem ich alles wieder wie gewünscht eingerichtet habe und soweit auch alles klappt, sind mir zwei DInge aufgefallen die mir noch Schwierigkeiten bereiten.

1.) In der Arp-Tabelle werden mir zwar die IP- und MAC-Adressen aller Geräte angezeigt, allerdings erscheint kein Hostname. Das hatte bei pfSense einwanfrei funktioniert.

2.) Ein Roadwarrior-IPSEC Verbindung vom iPhone zur opnsense konnte ich erfolgreich durchführen. Ich erreiche auch alle Geräte schön über die IP-Adressen. Es funktioniert aber nicht über den Host- bzw. FQDN.
Weiß jemand wo ich da ansetzen muss?

Vielen Dank im Voraus.

Gruß,
Heiko

[fabian]

Bei 2. würde ich ne ACL im DNS-Server vermuten.

[heiko3001]

Ist ein Domaincontroller, hab nichts geändert. Löst genauso auf wie noch unter der pfsense.

Zu dem ARP-Problem jemand eine Idee oder einen Ansatz?

Ansonsten TOP-Firewall, dabei bleibe ich erstmal.

[heiko3001]

Keiner mehr eine Idee, vor allem bezüglich der fehlenden Hostnamen in der ARP-Tabelle.

[chbwhite]

Hallo zusammen

Ich denke ich könnte das selbe Problem haben wie du in Punkt 2. beschrieben hast. Interessant zu wissen wäre, wer bei dir den DNS request auflöst. Die OPNsense oder ein anderer DNS Dienst?

Ich habe folgendes Scenario:
Ich habe eine IPsec connection zwischen 2 Firewalls. Auf der einen Seite habe ich Clients, auf der anderen Seite Server. Die OPNsense dient auf Clientseite als DNS Resolver. Bei diesem habe ich einen DNS Override eingetragen, welcher die DNS Anfragen der Clients (DNS Domain von AD) an den DNS Server auf der anderen Seite des Tunnels weiterleiten soll.
Mit IP funktioniert alles wunderbar, leider nicht mit dem FQDN.

Mir ist nun aufgefallen, dass die Firewall selber gar nichts auf der anderen Seite des Tunnels erreichen kann. Wenn man ein Tracert macht, sieht man, dass die Firewall alles über den Default Gateway und somit ins Internet sendet. Sobald ich jedoch bei einem Ping oder Tracert das entsprechende Interface auswähle funktionert der Ping/Tracert. Somit ist klar es liegt ein Routing Problem vor. Die Firewall selbst nimmt immer den Default Gateway.

Ich habe dafür dann folgenden Artikel gefunden:
https://doc.pfsense.org/index.php/Why_can%27t_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN

Sobald ich jedoch den Gateway anlege, ohne überhaupt die statische Route zu erstellen, funktioniert der Ping überhaupt nicht mehr, auch wenn ich das Interface manuell auswähle.

Danke euch für eure Hilfe!

Gruss,
Philipp

[franco]

Das seltsame Routing im IPsec ist ein Feature, generell nimmt es nur die Netzwerke an die als leftsubnet spezifiziert wurden. Die System-Route bring nichts.

Man kann aber unter jeder Phase 2 mittlerweile "Manual SPD entries" anlegen, da kommen alle lokalen Netze rein die auch ins IPsec übersprechen dürfen.


Grüsse
Franco

[heiko3001]

Interessant zu wissen wäre, wer bei dir den DNS request auflöst. Die OPNsense oder ein anderer DNS Dienst?

Die beiden Domänencontroller machen die DNS Auflösung, die sind auch in der sense hinterlegt.

[heiko3001]

Man kann aber unter jeder Phase 2 mittlerweile "Manual SPD entries" anlegen, da kommen alle lokalen Netze rein die auch ins IPsec übersprechen dürfen.

Wo denn da genau?
Bin gerade in der Phase 2 Config.
Oder meinst du bei Advanced Settings?

[franco]

Ganz unten, Advanced, ja.


Grüsse
Franco

[heiko3001]

Gefunden, danke.

Ich habe übrigens einen Teilerfolg verbuchen können.
Wenn ich zur Roadwarrior Verbindung den kostenlosen Client Shrew benutze und da die Domain und meine beiden internen DNS-Server eintrage habe ich volle Namensauflösung über den Tunnel.
Ich werde jetzt nochmal Francos Tipp probieren.