DNS-Redirects der Firewall selber über VPN-Tunnel leiten

Hallo zusammen,

ich habe hier folgendes Konstrukt: Zwei Standorte (Zentrale und Außenstandort), beide mit OPNsense als Perimeterschutz und über eine IKEv2-VPN-Verbindung miteinander verbunden. Im Außenstandort möchte ich nun, dass die Clients die Firewall als DNS-Server nutzen. Diese soll dann bei internen Domainabfragen den DNS-Server in der Zentrale kontaktieren. Der Tunnel selbst funktioniert einwandfrei, die Clients können den DNS-Server selbst erreichen. Die Firewall hingegen kann den DNS-Server nur anpingen, wenn ich als Quellinterface z.B. das LAN-Interface nehme, dessen Netz über den Tunnel freigegeben ist. DNS-Redirects funktionieren hingegen nicht. Ich habe schon versucht, eine Outbound NAT-Regel anzulegen, dass DNS-Datenverkehr zum Zielserver in der Zentrale über das LAN-Interface genattet werden soll, aber das funktioniert nicht.

Hat jemand einen Tipp für mich?

Vielen Dank schonmal im Voraus.

Content-Key: 564723

Url: https://administrator.de/contentid/564723

Ausgedruckt am: 25.01.2022 um 14:01 Uhr

Mitglied: lcer00
lcer00 13.04.2020 um 09:18:43 Uhr
Goto Top
Hallo,

wie ist denn das DNS auf der Firewall konfiguriert?

Eigentlich sind Redirects hier ja überflüssig, man braucht der Firewall ja nur den zusätzlichen DNS Server verraten.

Grüße

lcer
Mitglied: diemilz
diemilz 13.04.2020 um 09:24:23 Uhr
Goto Top
Hallo,

im DNS ist ein Domainoverride für domain.intern hinterlegt, der auf die DNS-Serveradresse in der Zentrale zeigt. Ich muss doch den DNS-Server auch von der Firewall aus erreichen können, ein einfacher zusätzlicher DNS-Servereintrag reicht doch nicht aus. Als Firewallregel zwischen den beiden Standorten ist auch eine Any-Any-Regel hinterlegt zum Testen.

Grüße

diemilz
Mitglied: lcer00
lcer00 13.04.2020 um 09:33:37 Uhr
Goto Top
Hallo,

erklär doch nochmal das Setup. Sind da nur die OPNSenses oder was ist die Firewall.

Hast Du auf der Opnsense nur das DNS konfiguriert oder hast Du einen DNS Server aktiviert z.B. unbound

Grüße

lcer
Mitglied: Spirit-of-Eli
Spirit-of-Eli 13.04.2020 um 09:42:02 Uhr
Goto Top
Moin,

ich habe damit mal bei einer PfSense gespielt.
Zumindest dort funktioniert "domain.intern" nicht und ich musste "intern" für den Domain Override eintragen.

Solltest du, wie in deinem Beispiel eine eigene tdl nutzen, so würde ich dass einmal testen.

NATen brauchst du in dem Scenario definitiv nicht da ja alles schon so erreichbar sein sollte.

Gruß
Spirit
Mitglied: diemilz
diemilz 13.04.2020 um 09:42:32 Uhr
Goto Top
In beiden Standorten gibt es die OPNsense-Firewalls. Auf der einen Seite über eine Unitymedia Standleitung, auf der anderen Seite ein Telekom VDSL-Anschluss. Auf beiden Firewalls wird unbound eingesetzt. Darin ist hinterlegt, dass für die interne Domain der DNS-Server in der Zentrale kontaktiert werden soll. Funktioniert allerdings nicht. unbound in der Zentrale dient für den internen DNS-Server als Weiterleitung nach außen.

Die Zentrale hat ja ihren eigenen DNS-Server und ist auch ohne den VPN-Tunnel arbeitsfähig. Die Außenstelle soll auf jeden Fall Internetzugriff haben, deswegen soll bei diesen Clients die OPNsense der DNS-Server sein. Wenn der Tunnel zusammenbricht, können die Benutzer noch per Remote Desktop Gateway auf die Terminalserver der Zentrale zugreifen (ist im Deployment entsprechend hinterlegt).
Mitglied: diemilz
diemilz 13.04.2020 aktualisiert um 09:50:36 Uhr
Goto Top
Moin,

ich habe mal "intern" als Override eingetragen, aber es funktioniert da auch nicht.

Ich glaube nicht, dass die Firewall den zentralen DNS-Server erreicht. Ich kann von der Firewall aus keine einzige IP auf der anderen Seite des Tunnels anpingen. Von den Clients aus geht das ohne Probleme. Nicht falsch verstehen, ich versuche hier nur gerade die Logik dahinter zu verstehen.

Gruß

Stephan
Mitglied: Spirit-of-Eli
Spirit-of-Eli 13.04.2020 um 09:59:45 Uhr
Goto Top
Wie ist denn dein Tunnel aufgebaut? Nutzt du ein Tunnel Interface oder definierst du auf Phase 2 nur Welche Netze auf der anderen Seite erreicht werden können?
Mitglied: diemilz
diemilz 13.04.2020 um 10:04:30 Uhr
Goto Top
Ich definiere in Phase 2 die IPsec SAs. Der Tunnel selbst wird per IKEv2 aufgebaut.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 13.04.2020 aktualisiert um 10:14:22 Uhr
Goto Top
Kurz um, ich nutzte hier ein Setup mit zwei PfSensen als Kopffirewall und der Domainoverride auf meine DCs funktioniert erst seit der gerade veröffentlichten Version 2.4.5 vernünftig. Vorher ging es mal und mal nicht.
Da es sich hier nur um ein home Setup handelt, habe ich zeitweise die einzelnen Clients händisch gepflegt.

Im einfachsten Fall würde ich am Zweig Standort einen eigenen DC betreiben.
Mitglied: diemilz
diemilz 13.04.2020 um 10:15:51 Uhr
Goto Top
Ich hatte vorher testweise einen DNS-Server in der Außenstelle, da haben die Overrides einwandfrei funktioniert, auch über einen längeren Zeitraum inklusive Neustarts der Firewall und des Servers. Daher glaube ich nicht, dass das ein Fehler im DNS ist, sondern eher, dass die Firewall selbst nicht weiß, wie sie ins andere Netz kommt. Daher war meine Idee gewesen, ihre DNS-Redirects über das LAN-Interface zu natten.
Mitglied: lcer00
lcer00 13.04.2020 um 14:59:15 Uhr
Goto Top
Hallo,

Lies nochmal die Links aus meinem Post oben. Der UnboundDNS wird nicht zwangsläufig von der Opnsense für die eigene DNS-Auflösung benutzt. Die nutzt nämlich den DNS aus ihren Systemeinstellungen. Wenn dort nicht konfiguriert ist, dass der unbound verwendet werden soll, nutzt sie den nicht. Dann nützten Dir auch die im unbound konfigurierten overrides nix.

Grüße

lcer
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing5 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 1 TagFrageBackup23 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 1 TagFrageHardware21 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 1 TagFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 21 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...

question
Suche nach "Beschreibung"ThabeusVor 1 TagFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 1 TagFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Windows Admin Center - Zugriff verweigertsaschakpVor 1 TagFrageWindows Update3 Kommentare

Hallo ich habe das Windows Admin Center Installiert, leider bekomme ich beim öffnen die Meldung: Zugriff verweigert Sie sind leider nicht zum Senden dieser Anforderung ...