DNS-Redirects der Firewall selber über VPN-Tunnel leiten
Hallo zusammen,
ich habe hier folgendes Konstrukt: Zwei Standorte (Zentrale und Außenstandort), beide mit OPNsense als Perimeterschutz und über eine IKEv2-VPN-Verbindung miteinander verbunden. Im Außenstandort möchte ich nun, dass die Clients die Firewall als DNS-Server nutzen. Diese soll dann bei internen Domainabfragen den DNS-Server in der Zentrale kontaktieren. Der Tunnel selbst funktioniert einwandfrei, die Clients können den DNS-Server selbst erreichen. Die Firewall hingegen kann den DNS-Server nur anpingen, wenn ich als Quellinterface z.B. das LAN-Interface nehme, dessen Netz über den Tunnel freigegeben ist. DNS-Redirects funktionieren hingegen nicht. Ich habe schon versucht, eine Outbound NAT-Regel anzulegen, dass DNS-Datenverkehr zum Zielserver in der Zentrale über das LAN-Interface genattet werden soll, aber das funktioniert nicht.
Hat jemand einen Tipp für mich?
Vielen Dank schonmal im Voraus.
ich habe hier folgendes Konstrukt: Zwei Standorte (Zentrale und Außenstandort), beide mit OPNsense als Perimeterschutz und über eine IKEv2-VPN-Verbindung miteinander verbunden. Im Außenstandort möchte ich nun, dass die Clients die Firewall als DNS-Server nutzen. Diese soll dann bei internen Domainabfragen den DNS-Server in der Zentrale kontaktieren. Der Tunnel selbst funktioniert einwandfrei, die Clients können den DNS-Server selbst erreichen. Die Firewall hingegen kann den DNS-Server nur anpingen, wenn ich als Quellinterface z.B. das LAN-Interface nehme, dessen Netz über den Tunnel freigegeben ist. DNS-Redirects funktionieren hingegen nicht. Ich habe schon versucht, eine Outbound NAT-Regel anzulegen, dass DNS-Datenverkehr zum Zielserver in der Zentrale über das LAN-Interface genattet werden soll, aber das funktioniert nicht.
Hat jemand einen Tipp für mich?
Vielen Dank schonmal im Voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 564723
Url: https://administrator.de/contentid/564723
Ausgedruckt am: 05.11.2024 um 15:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
erklär doch nochmal das Setup. Sind da nur die OPNSenses oder was ist die Firewall.
Hast Du auf der Opnsense nur das DNS konfiguriert oder hast Du einen DNS Server aktiviert z.B. unbound
Grüße
lcer
erklär doch nochmal das Setup. Sind da nur die OPNSenses oder was ist die Firewall.
Hast Du auf der Opnsense nur das DNS konfiguriert oder hast Du einen DNS Server aktiviert z.B. unbound
Grüße
lcer
Moin,
ich habe damit mal bei einer PfSense gespielt.
Zumindest dort funktioniert "domain.intern" nicht und ich musste "intern" für den Domain Override eintragen.
Solltest du, wie in deinem Beispiel eine eigene tdl nutzen, so würde ich dass einmal testen.
NATen brauchst du in dem Scenario definitiv nicht da ja alles schon so erreichbar sein sollte.
Gruß
Spirit
ich habe damit mal bei einer PfSense gespielt.
Zumindest dort funktioniert "domain.intern" nicht und ich musste "intern" für den Domain Override eintragen.
Solltest du, wie in deinem Beispiel eine eigene tdl nutzen, so würde ich dass einmal testen.
NATen brauchst du in dem Scenario definitiv nicht da ja alles schon so erreichbar sein sollte.
Gruß
Spirit
Kurz um, ich nutzte hier ein Setup mit zwei PfSensen als Kopffirewall und der Domainoverride auf meine DCs funktioniert erst seit der gerade veröffentlichten Version 2.4.5 vernünftig. Vorher ging es mal und mal nicht.
Da es sich hier nur um ein home Setup handelt, habe ich zeitweise die einzelnen Clients händisch gepflegt.
Im einfachsten Fall würde ich am Zweig Standort einen eigenen DC betreiben.
Da es sich hier nur um ein home Setup handelt, habe ich zeitweise die einzelnen Clients händisch gepflegt.
Im einfachsten Fall würde ich am Zweig Standort einen eigenen DC betreiben.
Hallo,
Lies nochmal die Links aus meinem Post oben. Der UnboundDNS wird nicht zwangsläufig von der Opnsense für die eigene DNS-Auflösung benutzt. Die nutzt nämlich den DNS aus ihren Systemeinstellungen. Wenn dort nicht konfiguriert ist, dass der unbound verwendet werden soll, nutzt sie den nicht. Dann nützten Dir auch die im unbound konfigurierten overrides nix.
Grüße
lcer
Lies nochmal die Links aus meinem Post oben. Der UnboundDNS wird nicht zwangsläufig von der Opnsense für die eigene DNS-Auflösung benutzt. Die nutzt nämlich den DNS aus ihren Systemeinstellungen. Wenn dort nicht konfiguriert ist, dass der unbound verwendet werden soll, nutzt sie den nicht. Dann nützten Dir auch die im unbound konfigurierten overrides nix.
Grüße
lcer