diemilz
Goto Top

DNS-Redirects der Firewall selber über VPN-Tunnel leiten

Hallo zusammen,

ich habe hier folgendes Konstrukt: Zwei Standorte (Zentrale und Außenstandort), beide mit OPNsense als Perimeterschutz und über eine IKEv2-VPN-Verbindung miteinander verbunden. Im Außenstandort möchte ich nun, dass die Clients die Firewall als DNS-Server nutzen. Diese soll dann bei internen Domainabfragen den DNS-Server in der Zentrale kontaktieren. Der Tunnel selbst funktioniert einwandfrei, die Clients können den DNS-Server selbst erreichen. Die Firewall hingegen kann den DNS-Server nur anpingen, wenn ich als Quellinterface z.B. das LAN-Interface nehme, dessen Netz über den Tunnel freigegeben ist. DNS-Redirects funktionieren hingegen nicht. Ich habe schon versucht, eine Outbound NAT-Regel anzulegen, dass DNS-Datenverkehr zum Zielserver in der Zentrale über das LAN-Interface genattet werden soll, aber das funktioniert nicht.

Hat jemand einen Tipp für mich?

Vielen Dank schonmal im Voraus.

Content-ID: 564723

Url: https://administrator.de/contentid/564723

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

lcer00
lcer00 13.04.2020 um 09:18:43 Uhr
Goto Top
Hallo,

wie ist denn das DNS auf der Firewall konfiguriert?

Eigentlich sind Redirects hier ja überflüssig, man braucht der Firewall ja nur den zusätzlichen DNS Server verraten.

Grüße

lcer
diemilz
diemilz 13.04.2020 um 09:24:23 Uhr
Goto Top
Hallo,

im DNS ist ein Domainoverride für domain.intern hinterlegt, der auf die DNS-Serveradresse in der Zentrale zeigt. Ich muss doch den DNS-Server auch von der Firewall aus erreichen können, ein einfacher zusätzlicher DNS-Servereintrag reicht doch nicht aus. Als Firewallregel zwischen den beiden Standorten ist auch eine Any-Any-Regel hinterlegt zum Testen.

Grüße

diemilz
lcer00
lcer00 13.04.2020 um 09:33:37 Uhr
Goto Top
Hallo,

erklär doch nochmal das Setup. Sind da nur die OPNSenses oder was ist die Firewall.

Hast Du auf der Opnsense nur das DNS konfiguriert oder hast Du einen DNS Server aktiviert z.B. unbound

Grüße

lcer
Spirit-of-Eli
Spirit-of-Eli 13.04.2020 um 09:42:02 Uhr
Goto Top
Moin,

ich habe damit mal bei einer PfSense gespielt.
Zumindest dort funktioniert "domain.intern" nicht und ich musste "intern" für den Domain Override eintragen.

Solltest du, wie in deinem Beispiel eine eigene tdl nutzen, so würde ich dass einmal testen.

NATen brauchst du in dem Scenario definitiv nicht da ja alles schon so erreichbar sein sollte.

Gruß
Spirit
diemilz
diemilz 13.04.2020 um 09:42:32 Uhr
Goto Top
In beiden Standorten gibt es die OPNsense-Firewalls. Auf der einen Seite über eine Unitymedia Standleitung, auf der anderen Seite ein Telekom VDSL-Anschluss. Auf beiden Firewalls wird unbound eingesetzt. Darin ist hinterlegt, dass für die interne Domain der DNS-Server in der Zentrale kontaktiert werden soll. Funktioniert allerdings nicht. unbound in der Zentrale dient für den internen DNS-Server als Weiterleitung nach außen.

Die Zentrale hat ja ihren eigenen DNS-Server und ist auch ohne den VPN-Tunnel arbeitsfähig. Die Außenstelle soll auf jeden Fall Internetzugriff haben, deswegen soll bei diesen Clients die OPNsense der DNS-Server sein. Wenn der Tunnel zusammenbricht, können die Benutzer noch per Remote Desktop Gateway auf die Terminalserver der Zentrale zugreifen (ist im Deployment entsprechend hinterlegt).
diemilz
diemilz 13.04.2020 aktualisiert um 09:50:36 Uhr
Goto Top
Moin,

ich habe mal "intern" als Override eingetragen, aber es funktioniert da auch nicht.

Ich glaube nicht, dass die Firewall den zentralen DNS-Server erreicht. Ich kann von der Firewall aus keine einzige IP auf der anderen Seite des Tunnels anpingen. Von den Clients aus geht das ohne Probleme. Nicht falsch verstehen, ich versuche hier nur gerade die Logik dahinter zu verstehen.

Gruß

Stephan
Spirit-of-Eli
Spirit-of-Eli 13.04.2020 um 09:59:45 Uhr
Goto Top
Wie ist denn dein Tunnel aufgebaut? Nutzt du ein Tunnel Interface oder definierst du auf Phase 2 nur Welche Netze auf der anderen Seite erreicht werden können?
diemilz
diemilz 13.04.2020 um 10:04:30 Uhr
Goto Top
Ich definiere in Phase 2 die IPsec SAs. Der Tunnel selbst wird per IKEv2 aufgebaut.
Spirit-of-Eli
Spirit-of-Eli 13.04.2020 aktualisiert um 10:14:22 Uhr
Goto Top
Kurz um, ich nutzte hier ein Setup mit zwei PfSensen als Kopffirewall und der Domainoverride auf meine DCs funktioniert erst seit der gerade veröffentlichten Version 2.4.5 vernünftig. Vorher ging es mal und mal nicht.
Da es sich hier nur um ein home Setup handelt, habe ich zeitweise die einzelnen Clients händisch gepflegt.

Im einfachsten Fall würde ich am Zweig Standort einen eigenen DC betreiben.
diemilz
diemilz 13.04.2020 um 10:15:51 Uhr
Goto Top
Ich hatte vorher testweise einen DNS-Server in der Außenstelle, da haben die Overrides einwandfrei funktioniert, auch über einen längeren Zeitraum inklusive Neustarts der Firewall und des Servers. Daher glaube ich nicht, dass das ein Fehler im DNS ist, sondern eher, dass die Firewall selbst nicht weiß, wie sie ins andere Netz kommt. Daher war meine Idee gewesen, ihre DNS-Redirects über das LAN-Interface zu natten.
lcer00
lcer00 13.04.2020 um 14:59:15 Uhr
Goto Top
Hallo,

Lies nochmal die Links aus meinem Post oben. Der UnboundDNS wird nicht zwangsläufig von der Opnsense für die eigene DNS-Auflösung benutzt. Die nutzt nämlich den DNS aus ihren Systemeinstellungen. Wenn dort nicht konfiguriert ist, dass der unbound verwendet werden soll, nutzt sie den nicht. Dann nützten Dir auch die im unbound konfigurierten overrides nix.

Grüße

lcer