11
DNS-Redirects der Firewall selber über VPN-Tunnel leiten
Hallo zusammen,
ich habe hier folgendes Konstrukt: Zwei Standorte (Zentrale und Außenstandort), beide mit OPNsense als Perimeterschutz und über eine IKEv2-VPN-Verbindung miteinander verbunden. Im Außenstandort möchte ich nun, dass die Clients die Firewall als DNS-Server nutzen. Diese soll dann bei internen Domainabfragen den DNS-Server in der Zentrale kontaktieren. Der Tunnel selbst funktioniert einwandfrei, die Clients können den DNS-Server selbst erreichen. Die Firewall hingegen kann den DNS-Server nur anpingen, wenn ich als Quellinterface z.B. das LAN-Interface nehme, dessen Netz über den Tunnel freigegeben ist. DNS-Redirects funktionieren hingegen nicht. Ich habe schon versucht, eine Outbound NAT-Regel anzulegen, dass DNS-Datenverkehr zum Zielserver in der Zentrale über das LAN-Interface genattet werden soll, aber das funktioniert nicht.
Hat jemand einen Tipp für mich?
Vielen Dank schonmal im Voraus.
ich habe hier folgendes Konstrukt: Zwei Standorte (Zentrale und Außenstandort), beide mit OPNsense als Perimeterschutz und über eine IKEv2-VPN-Verbindung miteinander verbunden. Im Außenstandort möchte ich nun, dass die Clients die Firewall als DNS-Server nutzen. Diese soll dann bei internen Domainabfragen den DNS-Server in der Zentrale kontaktieren. Der Tunnel selbst funktioniert einwandfrei, die Clients können den DNS-Server selbst erreichen. Die Firewall hingegen kann den DNS-Server nur anpingen, wenn ich als Quellinterface z.B. das LAN-Interface nehme, dessen Netz über den Tunnel freigegeben ist. DNS-Redirects funktionieren hingegen nicht. Ich habe schon versucht, eine Outbound NAT-Regel anzulegen, dass DNS-Datenverkehr zum Zielserver in der Zentrale über das LAN-Interface genattet werden soll, aber das funktioniert nicht.
Hat jemand einen Tipp für mich?
Vielen Dank schonmal im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 564723
Url: https://administrator.de/contentid/564723
Printed on: April 24, 2024 at 04:04 o'clock
11 Comments
Latest comment
Hallo,
wie ist denn das DNS auf der Firewall konfiguriert?
Eigentlich sind Redirects hier ja überflüssig, man braucht der Firewall ja nur den zusätzlichen DNS Server verraten.
Grüße
lcer
wie ist denn das DNS auf der Firewall konfiguriert?
Eigentlich sind Redirects hier ja überflüssig, man braucht der Firewall ja nur den zusätzlichen DNS Server verraten.
Grüße
lcer
Hallo,
im DNS ist ein Domainoverride für domain.intern hinterlegt, der auf die DNS-Serveradresse in der Zentrale zeigt. Ich muss doch den DNS-Server auch von der Firewall aus erreichen können, ein einfacher zusätzlicher DNS-Servereintrag reicht doch nicht aus. Als Firewallregel zwischen den beiden Standorten ist auch eine Any-Any-Regel hinterlegt zum Testen.
Grüße
diemilz
im DNS ist ein Domainoverride für domain.intern hinterlegt, der auf die DNS-Serveradresse in der Zentrale zeigt. Ich muss doch den DNS-Server auch von der Firewall aus erreichen können, ein einfacher zusätzlicher DNS-Servereintrag reicht doch nicht aus. Als Firewallregel zwischen den beiden Standorten ist auch eine Any-Any-Regel hinterlegt zum Testen.
Grüße
diemilz
Hallo,
erklär doch nochmal das Setup. Sind da nur die OPNSenses oder was ist die Firewall.
Hast Du auf der Opnsense nur das DNS konfiguriert oder hast Du einen DNS Server aktiviert z.B. unbound
Grüße
lcer
erklär doch nochmal das Setup. Sind da nur die OPNSenses oder was ist die Firewall.
Hast Du auf der Opnsense nur das DNS konfiguriert oder hast Du einen DNS Server aktiviert z.B. unbound
Grüße
lcer
Moin,
ich habe damit mal bei einer PfSense gespielt.
Zumindest dort funktioniert "domain.intern" nicht und ich musste "intern" für den Domain Override eintragen.
Solltest du, wie in deinem Beispiel eine eigene tdl nutzen, so würde ich dass einmal testen.
NATen brauchst du in dem Scenario definitiv nicht da ja alles schon so erreichbar sein sollte.
Gruß
Spirit
ich habe damit mal bei einer PfSense gespielt.
Zumindest dort funktioniert "domain.intern" nicht und ich musste "intern" für den Domain Override eintragen.
Solltest du, wie in deinem Beispiel eine eigene tdl nutzen, so würde ich dass einmal testen.
NATen brauchst du in dem Scenario definitiv nicht da ja alles schon so erreichbar sein sollte.
Gruß
Spirit
In beiden Standorten gibt es die OPNsense-Firewalls. Auf der einen Seite über eine Unitymedia Standleitung, auf der anderen Seite ein Telekom VDSL-Anschluss. Auf beiden Firewalls wird unbound eingesetzt. Darin ist hinterlegt, dass für die interne Domain der DNS-Server in der Zentrale kontaktiert werden soll. Funktioniert allerdings nicht. unbound in der Zentrale dient für den internen DNS-Server als Weiterleitung nach außen.
Die Zentrale hat ja ihren eigenen DNS-Server und ist auch ohne den VPN-Tunnel arbeitsfähig. Die Außenstelle soll auf jeden Fall Internetzugriff haben, deswegen soll bei diesen Clients die OPNsense der DNS-Server sein. Wenn der Tunnel zusammenbricht, können die Benutzer noch per Remote Desktop Gateway auf die Terminalserver der Zentrale zugreifen (ist im Deployment entsprechend hinterlegt).
Die Zentrale hat ja ihren eigenen DNS-Server und ist auch ohne den VPN-Tunnel arbeitsfähig. Die Außenstelle soll auf jeden Fall Internetzugriff haben, deswegen soll bei diesen Clients die OPNsense der DNS-Server sein. Wenn der Tunnel zusammenbricht, können die Benutzer noch per Remote Desktop Gateway auf die Terminalserver der Zentrale zugreifen (ist im Deployment entsprechend hinterlegt).
Moin,
ich habe mal "intern" als Override eingetragen, aber es funktioniert da auch nicht.
Ich glaube nicht, dass die Firewall den zentralen DNS-Server erreicht. Ich kann von der Firewall aus keine einzige IP auf der anderen Seite des Tunnels anpingen. Von den Clients aus geht das ohne Probleme. Nicht falsch verstehen, ich versuche hier nur gerade die Logik dahinter zu verstehen.
Gruß
Stephan
ich habe mal "intern" als Override eingetragen, aber es funktioniert da auch nicht.
Ich glaube nicht, dass die Firewall den zentralen DNS-Server erreicht. Ich kann von der Firewall aus keine einzige IP auf der anderen Seite des Tunnels anpingen. Von den Clients aus geht das ohne Probleme. Nicht falsch verstehen, ich versuche hier nur gerade die Logik dahinter zu verstehen.
Gruß
Stephan
Wie ist denn dein Tunnel aufgebaut? Nutzt du ein Tunnel Interface oder definierst du auf Phase 2 nur Welche Netze auf der anderen Seite erreicht werden können?
Ich definiere in Phase 2 die IPsec SAs. Der Tunnel selbst wird per IKEv2 aufgebaut.
Kurz um, ich nutzte hier ein Setup mit zwei PfSensen als Kopffirewall und der Domainoverride auf meine DCs funktioniert erst seit der gerade veröffentlichten Version 2.4.5 vernünftig. Vorher ging es mal und mal nicht.
Da es sich hier nur um ein home Setup handelt, habe ich zeitweise die einzelnen Clients händisch gepflegt.
Im einfachsten Fall würde ich am Zweig Standort einen eigenen DC betreiben.
Da es sich hier nur um ein home Setup handelt, habe ich zeitweise die einzelnen Clients händisch gepflegt.
Im einfachsten Fall würde ich am Zweig Standort einen eigenen DC betreiben.
Ich hatte vorher testweise einen DNS-Server in der Außenstelle, da haben die Overrides einwandfrei funktioniert, auch über einen längeren Zeitraum inklusive Neustarts der Firewall und des Servers. Daher glaube ich nicht, dass das ein Fehler im DNS ist, sondern eher, dass die Firewall selbst nicht weiß, wie sie ins andere Netz kommt. Daher war meine Idee gewesen, ihre DNS-Redirects über das LAN-Interface zu natten.
Hallo,
Lies nochmal die Links aus meinem Post oben. Der UnboundDNS wird nicht zwangsläufig von der Opnsense für die eigene DNS-Auflösung benutzt. Die nutzt nämlich den DNS aus ihren Systemeinstellungen. Wenn dort nicht konfiguriert ist, dass der unbound verwendet werden soll, nutzt sie den nicht. Dann nützten Dir auch die im unbound konfigurierten overrides nix.
Grüße
lcer
Lies nochmal die Links aus meinem Post oben. Der UnboundDNS wird nicht zwangsläufig von der Opnsense für die eigene DNS-Auflösung benutzt. Die nutzt nämlich den DNS aus ihren Systemeinstellungen. Wenn dort nicht konfiguriert ist, dass der unbound verwendet werden soll, nutzt sie den nicht. Dann nützten Dir auch die im unbound konfigurierten overrides nix.
Grüße
lcer
