Eigenen DNS Server mit VPN für bestimmte Zieladresse
Hallo zusammen,
ich selbst, kenne mich mit DNS/VPN etc. leider nicht sonderlich gut aus.
Folgendes habe ich aber vor:
Ich würde gerne einen VPS Server mieten (mit fester IP) und diesen als DNS Server nutzen.
Darauf soll Linux laufen.
Alle Zieladressen sollen einfach über den DNS 1.1.1.1 oder 8.8.8.8 als Backup laufen.
Bestimmte Zieladressen sollen aber über einen VPN (IPSec oder OpenVPN) laufen.
Sprich wenn ein Austausch mit bestimmter Adresse, z.B. Google.com stattfindet, soll dies über einen VPN laufen. Alles andere soll über 1.1.1.1 oder 8.8.8.8 laufen.
Hat jemand eine Idee, womit man das am besten anstellen kann?
Hört sich aus meiner Wahrnehmung eigentlich nicht so schwer an, hab sowas allerdings noch nie aufgesetzt, geschweige denn mit DNS/VPN etc. gearbeitet.
Meine feste IP vom Server würde ich dann gerne als meinen DNS setzen, um so über 1.1.1.1/8.8.8.8 zu laufen oder eben bei bestimmter Domain über einen VPN
ich selbst, kenne mich mit DNS/VPN etc. leider nicht sonderlich gut aus.
Folgendes habe ich aber vor:
Ich würde gerne einen VPS Server mieten (mit fester IP) und diesen als DNS Server nutzen.
Darauf soll Linux laufen.
Alle Zieladressen sollen einfach über den DNS 1.1.1.1 oder 8.8.8.8 als Backup laufen.
Bestimmte Zieladressen sollen aber über einen VPN (IPSec oder OpenVPN) laufen.
Sprich wenn ein Austausch mit bestimmter Adresse, z.B. Google.com stattfindet, soll dies über einen VPN laufen. Alles andere soll über 1.1.1.1 oder 8.8.8.8 laufen.
Hat jemand eine Idee, womit man das am besten anstellen kann?
Hört sich aus meiner Wahrnehmung eigentlich nicht so schwer an, hab sowas allerdings noch nie aufgesetzt, geschweige denn mit DNS/VPN etc. gearbeitet.
Meine feste IP vom Server würde ich dann gerne als meinen DNS setzen, um so über 1.1.1.1/8.8.8.8 zu laufen oder eben bei bestimmter Domain über einen VPN
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 51274122296
Url: https://administrator.de/forum/eigenen-dns-server-mit-vpn-fuer-bestimmte-zieladresse-51274122296.html
Ausgedruckt am: 03.04.2025 um 10:04 Uhr
32 Kommentare
Neuester Kommentar

Nennt sich DNS Conditional Forwarding.
Braucht es aber in der Regel nicht wenn man schon seinen eigenen DNS-Server nutzt. Dann trägt man einfach für die gewünschte Domain einen alternativen A-Record oder CNAME Alias in die Zone ein und fertig, schon löst der Client die Domain mit der alternativen Adresse auf.
Pj
Braucht es aber in der Regel nicht wenn man schon seinen eigenen DNS-Server nutzt. Dann trägt man einfach für die gewünschte Domain einen alternativen A-Record oder CNAME Alias in die Zone ein und fertig, schon löst der Client die Domain mit der alternativen Adresse auf.
Pj
Moin,
Es ist nicht ganz klar, was Du machen willst, weil Du zwei Sachen durcheinanderwirfst, DNS und VPN.
Es ist "trivial", einen DNS-Server aufzusetzen, der prinzipiell als Forwarder arbeitet und bestimmte Domains selbst auflöst. Wenn er als Forwarder andere Namerver fragt, kann er das natürlich direkt tun oder über einen VPN-Tunnel, je nachdem wie Du Dein VPN-Routing definiert hast.
Und zu den IP-Adressen, die Du als Ergebnis bekommst, kannst Du natürlich direkt oder per VPN-Tunnel Verbindung aufbauen, auch abhängig vom VPN-Routing.
Nun ist die Frage was Du genau machen willst?
Willst Du nur die DNS-anfragen Tunneln?
Willst Du selber Namen auflösen?
Willst Du aufgrund von Domain amen statt ip-Adressen Tunneln?
Letzteres ist allerdinfs nicht trivial.
Präzisiere bitte Dein Anliegen, damit Dir geholfen werden kann.
lks
PS: Wie Du eine Frage richtig stellst
Es ist nicht ganz klar, was Du machen willst, weil Du zwei Sachen durcheinanderwirfst, DNS und VPN.
Es ist "trivial", einen DNS-Server aufzusetzen, der prinzipiell als Forwarder arbeitet und bestimmte Domains selbst auflöst. Wenn er als Forwarder andere Namerver fragt, kann er das natürlich direkt tun oder über einen VPN-Tunnel, je nachdem wie Du Dein VPN-Routing definiert hast.
Und zu den IP-Adressen, die Du als Ergebnis bekommst, kannst Du natürlich direkt oder per VPN-Tunnel Verbindung aufbauen, auch abhängig vom VPN-Routing.
Nun ist die Frage was Du genau machen willst?
Willst Du nur die DNS-anfragen Tunneln?
Willst Du selber Namen auflösen?
Willst Du aufgrund von Domain amen statt ip-Adressen Tunneln?
Letzteres ist allerdinfs nicht trivial.
Präzisiere bitte Dein Anliegen, damit Dir geholfen werden kann.
lks
PS: Wie Du eine Frage richtig stellst
Moin,
setze eine pfSense/OPNsense zu Hause als Router auf. Entsprechende HowTo gibt es von @aqui.
Somit kannst du mit VPN Providern, wie z.B. Mullvad entsprechende Tunnel auf Basis von OpenVPN oder Wireguard realisieren. Mit Hilfe von Forward-. und Outbound NAT Rules kannst du entsprechend steuern, welche Quell- und/oder Zieladressen direkt bzw. durch den VPN Tunnel geschickt werden.
Gruß,
Dani
setze eine pfSense/OPNsense zu Hause als Router auf. Entsprechende HowTo gibt es von @aqui.
Somit kannst du mit VPN Providern, wie z.B. Mullvad entsprechende Tunnel auf Basis von OpenVPN oder Wireguard realisieren. Mit Hilfe von Forward-. und Outbound NAT Rules kannst du entsprechend steuern, welche Quell- und/oder Zieladressen direkt bzw. durch den VPN Tunnel geschickt werden.
Alle Zieladressen sollen einfach über den DNS 1.1.1.1 oder 8.8.8.8 als Backup laufen.
Weiß nicht, ob ich heute noch 8.8.8.8 verwenden würde. Unabhängig davon würde ich auch IPv6 Adressen von DNS Servern konfigurieren.Gruß,
Dani
Zitat von @Reuddiga:
Im Grunde gehts darum, das ich ein WLAN SSID Netz bei mir erstellen will, welches auf diesen DNS geht. Auf diesem Netz sind nur meine Smart Home Geräte, bzw. z.B. Roboter. Und dem soll vorgegaukelt werden, das der Roboter in China ist (über VPN oder so). Deshalb auch nur für eine bestimmte Domain - Der Rest soll ganz normal über 1.1.1.1/8.8.8.8 laufen.
Hosts oder so von den Robotern etc. ist halt schwierig. Deshalb muss ich irgendwie einen Server haben, auf den die WLAN SSID geht als DNS und der leitet dann je nach Anfrage über den VPN oder normal halt weiter.
Zitat von @MirkoKR:
Moin
Wieviele Clients betrifft das,?
Die lokale Auflösung ("hosts" / "lmhosts" - Datei) schon bedacht?
Moin
Wieviele Clients betrifft das,?
Die lokale Auflösung ("hosts" / "lmhosts" - Datei) schon bedacht?
Im Grunde gehts darum, das ich ein WLAN SSID Netz bei mir erstellen will, welches auf diesen DNS geht. Auf diesem Netz sind nur meine Smart Home Geräte, bzw. z.B. Roboter. Und dem soll vorgegaukelt werden, das der Roboter in China ist (über VPN oder so). Deshalb auch nur für eine bestimmte Domain - Der Rest soll ganz normal über 1.1.1.1/8.8.8.8 laufen.
Hosts oder so von den Robotern etc. ist halt schwierig. Deshalb muss ich irgendwie einen Server haben, auf den die WLAN SSID geht als DNS und der leitet dann je nach Anfrage über den VPN oder normal halt weiter.
Du bist immer noch unpräzise.
Wem genau soll vorgegaukelt werden daß er in China ist? deinem Netzwerk? Den Robotern? Der dns-Server?
Irgendwie verwirrt diese Aussage mehr als Deine ursprüngliche Frage.
lks

Das nennt sich Policy Based Routing, das hat rein gar nichts mit DNS zu tun ...
https://help.mikrotik.com/docs/display/ROS/Policy+Routing
Auf deinem Gateway konfigurierst du eine Regel die den Traffic deines gewünschten Subnetzes über das VPN leitet. Mit so einer Regel lässt sich auch bestimmen das nur bestimmte Zieladressen über das VPN geleitet werden, das kommt aber auf den Router an den du verwendest.
OPNSense, pFSense, OpenWRT, Mikrotik, Cisco, oder Linux allgemein etc. bieten aber alle die Möglichkeit dafür.
Für genauere Informationen zur Konfiguration in deiner Umgebung fehlen hier aber die Informationen zu verfügbaren Hard-/Software deines Netzes !
https://help.mikrotik.com/docs/display/ROS/Policy+Routing
Auf deinem Gateway konfigurierst du eine Regel die den Traffic deines gewünschten Subnetzes über das VPN leitet. Mit so einer Regel lässt sich auch bestimmen das nur bestimmte Zieladressen über das VPN geleitet werden, das kommt aber auf den Router an den du verwendest.
OPNSense, pFSense, OpenWRT, Mikrotik, Cisco, oder Linux allgemein etc. bieten aber alle die Möglichkeit dafür.
Für genauere Informationen zur Konfiguration in deiner Umgebung fehlen hier aber die Informationen zu verfügbaren Hard-/Software deines Netzes !

Das ist Jacke wie Hose, Router basieren ja meist auch nur auf Linux Derivaten.
Und da reicht eine eigene Routing-Table und eine Routing-Rule dafür .
https://man7.org/linux/man-pages/man8/ip-rule.8.html
Sorry, aber mit so wenig Routing Grundlagenwissem anderen öffentliche Dienste anzubieten zu wollen ist schon sehr abenteuerlich ... 🤔
Und da reicht eine eigene Routing-Table und eine Routing-Rule dafür .
https://man7.org/linux/man-pages/man8/ip-rule.8.html
Auf meinem Router kriege ich das ja hin. Mir geht es ja aber darum eine IP Adresse anzubieten, die andere als DNS nutzen können.
Wie gesagt das eine hat mit DNS so viel zu tun wie ein Fisch mit einem Fahrrad. Dir fehlt hier offensichtlich das Verständnis was DNS ist und was Routing. Wenn du mit einer chinesischen IP unterwegs sein musst bringt dir DNS herzlich wenig, du verstehen?!, damit Leute, die nicht viel Ahnung haben, trotzdem ihren Saugroboter nutzen können.
Dann richte auf dem Server einen VPN Responder für deine Clientel ein, der selbst diesen Traffic an diese bestimmten Ziel-IPs über ein eigenes VPN leitet dessen Endpunkt in China liegt, der Rest aber wie gehabt den normalen Exit-Node in DE haben.Sorry, aber mit so wenig Routing Grundlagenwissem anderen öffentliche Dienste anzubieten zu wollen ist schon sehr abenteuerlich ... 🤔

Zitat von @Reuddiga:
. Denn immer wenn ich OpenVPN starte, ist halt die ganze Serververbindung weg und ich krieg einen VPN nur für eine Domain halt nicht hin...
Ist normal wenn du ein "Gateway Redirect" machst geht alles nur noch durch den Tunnel und der Endpunkt ist dort an dem dein VPN terminiert ist . Split-Tunneling ist dein Freund und man nur die Route für die Zieladresse im VPN-Client einträgt und den GW Redirect deaktiviert.. Denn immer wenn ich OpenVPN starte, ist halt die ganze Serververbindung weg und ich krieg einen VPN nur für eine Domain halt nicht hin...
Irgendwie habe ich dein Problem immer noch nicht richtig verstanden. (Mal abgesehen von von den obigen Aussagen zum Routing.)
Wenn du hiesige Geräte über einen VPN-Tunnel in China "erscheinen" lassen willst, liegt ein Endpunkt des Tunnels hier. Der andere Endpunkt liegt zwingend in China und muss zwingend eine chinesische IP haben! Dann kannst du den Datenverkehr durch den Tunnel routen und er erscheint dort mit einer chinesischen IP.
Also noch einmal die Frage: Wie realisierst du den VPN-Tunnen-Endpunkt in China? Hast du eine chinesische IP?
Im Header jedes IP-Pakets steht Absende- und Zieladresse. Dort muss die deutsche Absenderadresse durch eine Chinesische ausgetauscht werden. Das geht nicht mit DNS-Einträgen!
Jürgen
Wenn du hiesige Geräte über einen VPN-Tunnel in China "erscheinen" lassen willst, liegt ein Endpunkt des Tunnels hier. Der andere Endpunkt liegt zwingend in China und muss zwingend eine chinesische IP haben! Dann kannst du den Datenverkehr durch den Tunnel routen und er erscheint dort mit einer chinesischen IP.
Also noch einmal die Frage: Wie realisierst du den VPN-Tunnen-Endpunkt in China? Hast du eine chinesische IP?
Im Header jedes IP-Pakets steht Absende- und Zieladresse. Dort muss die deutsche Absenderadresse durch eine Chinesische ausgetauscht werden. Das geht nicht mit DNS-Einträgen!
Jürgen
Moin,
Du doktorst hier nur an einem Syptom herum. Außerdem will man gar nicht, daß die Geräte mit China reden.
Ich würde einfach den Hersteller fragen, ob die eine andere Firmware und App haben, und ansonsten selber patchen.
Wenn ich das Obige richtig interpretiere, willst Du die Dinger hierzulande vertreiben und dann kannst Du eigentlich Geld in die Hand nehmen und jemanden dafür bezahlen, sei es der Hersteller oder ein Entwickler hierzulande, daß er Dir das Ding für die EU anpaßt.
lks
PS:
Du doktorst hier nur an einem Syptom herum. Außerdem will man gar nicht, daß die Geräte mit China reden.
Ich würde einfach den Hersteller fragen, ob die eine andere Firmware und App haben, und ansonsten selber patchen.
Wenn ich das Obige richtig interpretiere, willst Du die Dinger hierzulande vertreiben und dann kannst Du eigentlich Geld in die Hand nehmen und jemanden dafür bezahlen, sei es der Hersteller oder ein Entwickler hierzulande, daß er Dir das Ding für die EU anpaßt.
lks
PS:
- Müssen die App, der Roboter oder beide dran glauben, daß sie in China sind?
- Funktioniert die App mit dem Roboter, wenn beide im gleichen LAN/WLAN sind?

Im Header jedes IP-Pakets steht Absende- und Zieladresse. Dort muss die deutsche Absenderadresse durch eine Chinesische ausgetauscht werden. Das geht nicht mit DNS-Einträgen!
Meine Rede, das Versuche ich ihm auch schon dauernd klar zu machen , aber wie man sieht vergeblich! Der TO sollte erst mal einen Grundlagen-Kurs in Sachen Routing belegen, bevor er hier mit öffentlichen Servern rum hantiert und sich bewusst wird was er hier eigentlich treibt, auch von rechtlicher Seite🖖
Achso das meinst du, na das ist keine Magie.
DNS-Abfragen auf eine bestimmte Domain die der Sauger abfragt liefern bei Abfragen außerhalb von China einfach kein Ergebnis bzw. NXDOMAIN, nur wenn du dich mit einem Exit-Node in China befindest lösen die dortigen DNS-Server diese Domain auf, China filtert und manipuliert ja sämtliche DNS-Abfragen mit seiner Great-Wall.
Du musst also nur mit Wireshark den Traffic des Saugers aufzeichnen und die DNS-Abfragen analysieren, checken welche Domain hier abgefragt wird und welche Antwort darauf kommt. Diese Records pflegst du dann in deinen DNS Server ein.
Mehr Details dazu wird dir hier sicher niemand verraten, illegale Details verbreiten verstößt ja i.d.R. gegen Forenpolicies.
DNS-Abfragen auf eine bestimmte Domain die der Sauger abfragt liefern bei Abfragen außerhalb von China einfach kein Ergebnis bzw. NXDOMAIN, nur wenn du dich mit einem Exit-Node in China befindest lösen die dortigen DNS-Server diese Domain auf, China filtert und manipuliert ja sämtliche DNS-Abfragen mit seiner Great-Wall.
Du musst also nur mit Wireshark den Traffic des Saugers aufzeichnen und die DNS-Abfragen analysieren, checken welche Domain hier abgefragt wird und welche Antwort darauf kommt. Diese Records pflegst du dann in deinen DNS Server ein.
Mehr Details dazu wird dir hier sicher niemand verraten, illegale Details verbreiten verstößt ja i.d.R. gegen Forenpolicies.

Steht ja schon oben, entweder Conditional-Forwarding über ein VPN am Server oder wenn es statische Einträge sind direkt am DNS-Server die abgefragten Einträge in einer eigenen Zone für die abgefragte Domain hinterlegen.

Zitat von @Reuddiga:
Also erreichbar ist der Roboter ja auch im normalen WLAN Netz, ohne VPN Client nach China. Nur wenn ich den Roboter anklicke, sagt er "Falscher Bereich" was halt bedeutet, das der Anbieter des Roboters absichtlich blockt. Verbindung ist ja an sich da, sehe auch ja Batteriestand, was er gerade macht etc. kann aber nichts einstellen oder steuern.
Und erst wenn er im WLAN Netz ist, wo mein VPN Client läuft (also eigene SSID), dann kann ich ihn auch wieder einstellen.
Vermute also das die schon auf den Standort oder irgendwas schauen, weshalb es mit VPN halt geht aber ohne nicht. Erreichbar ist es ja, also komplett China Block deren Servers wird das wohl nicht sein.
Steht doch oben, er macht nur eine DNS-Abfrage, diese kann man je nach Standort der SRC-IP manipulieren. Ist der Exit-Node der Abfrage in Chine erhältst du ein anderes Egebnis als wenn du die DNS-Abfrage aus DE machst!Also erreichbar ist der Roboter ja auch im normalen WLAN Netz, ohne VPN Client nach China. Nur wenn ich den Roboter anklicke, sagt er "Falscher Bereich" was halt bedeutet, das der Anbieter des Roboters absichtlich blockt. Verbindung ist ja an sich da, sehe auch ja Batteriestand, was er gerade macht etc. kann aber nichts einstellen oder steuern.
Und erst wenn er im WLAN Netz ist, wo mein VPN Client läuft (also eigene SSID), dann kann ich ihn auch wieder einstellen.
Vermute also das die schon auf den Standort oder irgendwas schauen, weshalb es mit VPN halt geht aber ohne nicht. Erreichbar ist es ja, also komplett China Block deren Servers wird das wohl nicht sein.
Mit bind9 war das Forwarden auf 1.1.1.1 und 8.8.8.8 ja prinzipiell erstmal recht einfach. Ist halt nur das VPN Thema das Problem, da jedes mal bei meine ganze Serververbindung usw. unterbricht.
Steht auch schon oben "Split-Tunneling" statt ein GW-Redirect machen!service openvpn start
Ist halt nicht so einfach wenn man in der Materie so gar nicht steckt. Ist halt nicht so einfach wenn man in der Materie so gar nicht steckt.
Dann lies dir die Routing-Basics erst einmal an. Ein Meister fällt ja auch nicht einfach so vom Himmel.https://www.google.com/search?q=Routing+Basics

Zitat von @Reuddiga:
Bedeutet also, ohne VPN nichts möglich oder kann ich meine SRC-IP "fälschen" und eine aus China vorgeben, die ich nicht bin oder sowas? Oder macht es eventuell Sinn, einen Server mit Standort China zu haben?
Je nachdem braucht man kein VPN, du musst nur die DNS-Antworten fälschen die der Roboter erwartet. Sind diese statisch und immer die selben brauchst du nur zum Einrichten und analysieren der Daten ein VPN, hinterher trägst du nur die Records in deinen DNS-Server ein und fertig. Sind sie dagegen dynamisch, brauchst du ein VPN über das du nur die DNS-Forwarding-Abfragen per Policy Routing oder hinzugefügter VPN-Route an einen beliebigen DNS-Server in China leitest.Bedeutet also, ohne VPN nichts möglich oder kann ich meine SRC-IP "fälschen" und eine aus China vorgeben, die ich nicht bin oder sowas? Oder macht es eventuell Sinn, einen Server mit Standort China zu haben?
Nur damit ich sicher sein kann, das ich es richtig verstanden habe. Mit "er" meinst du der Hersteller/Anbieter checkt meine IP-Adresse, schaut dort auf die Location und sagt "außerhalb China, also block".
Moin Reuddiga,
Gruß,
Dani
Mir geht es ja aber darum eine IP Adresse anzubieten, die andere als DNS nutzen können, damit Leute, die nicht viel Ahnung haben, trotzdem ihren Saugroboter nutzen können.
ich erhalte dich nicht für geeignet, solch einen Server bzw. Service zu betreiben. Ganz schnell könnte da eine Abuse Meldung von Netcup einfliegen. Kommt es zu missbräuchlichen Nutzung könnte auch noch Ärger ins Haus truddeln.Hast du da als GUI eine Idee?
OPNsense, pfSense, Mikotek, IPFire,Ich habe Cyberghost als VPN ausprobiert. Wenn ich dort in meinem Router Cyberghost über OpenVPN als VPN Client im Unifi Network anlege, dann kann der Roboter in dem neuen WLAN SSID Netz laufen und es funktioniert.
du wirst aus meiner sicht um die beschriebene Kaskade nicht herumkommen. Ein einfaches DNS Forwarding wird dir bei nicht helfen, wenn hinter dem FQDN des Herstellers des Geräts ein CDN/Cloud steckt. Hier kann die IP-Adresse schneller wechseln als du reagieren kannst. Sogar mehrmals am Tag.Gruß,
Dani