incisor2k
Goto Top

MS DNS via VPN nicht erreichbar

Guten Tag zusammen,

folgende Schwierigkeit bzw. Problem besteht. Kurzer Rahmen:
Ein kleiner Verein, Telekom Hybrid Internetzugang mit Speedport Smart 4 (leider ist nichts anderes verfügbar/machbar).
Der Router stellt die Einwahl ins Internet und einen VPN Zugang (Wireguard) zur Verfügung, mehr nicht.
Das verwendete interne Netz: 172.16.2.0/24
Ein Server, auf dem virtuell MS Server 2019 (DC) als VM1 und ein weitere VM, auf welcher unter anderem ein DNS Server installiert ist.

Problem: Externe Clients, welche sich via Wireguard ins Netz einwählen, erhalten eine IP 10.200.200.X (automatisch vom Speedport, nicht änderbar). Leider ist der DNS-Service von den Clients aus nicht nutzbar, Fehler: DNS Timeout. Somit funktioniert auch die interne Namensauflösung nicht. Pingbar sind alle internen Geräte.
Getestet mit nslookup unter Verwendung des DNS VM2 und auch testhalber VM1 (DC).
Firewall habe ich probehalber deaktiviert, daran lag es nicht.
Auch gibt es keinerlei DNS-Richtlinien, welche irgendwo dazwischen funken.

Hat jemand zufällig eine Idee, wo ich noch ansetzen könnte?
Danke und schönes Wochenende! face-smile

Tobi
schema

Content-ID: 52728200242

Url: https://administrator.de/contentid/52728200242

Ausgedruckt am: 24.11.2024 um 02:11 Uhr

Cloudrakete
Cloudrakete 20.01.2024 um 16:24:04 Uhr
Goto Top
Moin,

ich verweise hier mal auf den Beitrag von @aqui
-> Merkzettel: VPN Installation mit Wireguard

Der Punkt "Redirect versus Split Tunneling" könnte wichtig sein. Je nachdem was du hier gebaut hast, musst du den DNS-Server mitgeben. Sonst werden DNS-Anfragen von deinem lokalen Router aufgelöst, welcher natürlich nicht die Einträge deines DNS-Servers vorhalten.

Alternativ könntest du auch über das Hosts-File etwas "cheaten" face-smile
incisor2k
incisor2k 20.01.2024 um 16:32:51 Uhr
Goto Top
Hi, danke für deine Antwort. Hätte ich schreiben müssen, das habe ich bereits versucht. Mit und ohne DNS in der WG-Config.
Zusätzlich habe ich nslookup explizit mit dem zu nutzenden DNS versucht, klappt leider nicht.
Bsp: nslookup server27.intern.domain.de 172.16.2.7 bzw. .6
DivideByZero
DivideByZero 20.01.2024 um 16:46:29 Uhr
Goto Top
Zitat von @incisor2k:
Zusätzlich habe ich nslookup explizit mit dem zu nutzenden DNS versucht, klappt leider nicht.
Bsp: nslookup server27.intern.domain.de 172.16.2.7 bzw. .6
Bedeutet: welche Fehlermeldung?

Du sagst ja, so verstehe ich das, dass von außen ein Client (z.B. 10.200.200.1) intern 172.16.2.7 pingen kann, richtig? Wenn dann nslookup an derselben Stelle fehlschlägt, dürfte es die Windows-Firewall sein, die das fremde Netz nicht kennt.

Gruß

DivideByZero
incisor2k
incisor2k 20.01.2024 um 17:33:35 Uhr
Goto Top
Hi,
Fehler DNS Timeout. Firewall dachte ich auch, hatte ich dann deaktiviert. Daran lag es leider nicht.
aqui
aqui 20.01.2024 aktualisiert um 18:21:03 Uhr
Goto Top
Mit und ohne DNS in der WG-Config.
WIE sieht denn deine WG Client Konfig (Initiator) mit DNS aus? Die sollte ja irgendwie so aussehen:
[Interface]
Address = 100.200.200.101/24
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
DNS = 172.16.2.7

[Peer]
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myspeedport.de:51820 
AllowedIPs = 100.200.200.1/32, 172.16.2.0/24
PersistentkeepAlive = 25 
Dem Client gerade die .1 zu geben ist vermutlich tödlich denn bei einem internen /24er WG Netz hat sich diese sehr wahrscheinlich der Speedport als WG Server (Responder) selbst gegeben (geraten).
Zusätzlich blockt die lokale Winblows Firewall generell Zugriffe aus fremden IP Netzen was sehr wahrscheinlich auch für DNS gilt sofern man das nicht customized in der Firewall. Da alle Client Requests am Server mit der 10.200.200.x ankommen ist das fremd. face-wink
Letztlich ohne deine WG Server und Client Konfig zu kennen ist alles Kristallkugelei. face-sad

Interessant und für eine zielführende Antwort hilfreich wäre ein ipconfig -all bei aktivem WG Tunnel und sofern dein Client eine Winblows Möhre ist!
Ebenfalls ob ein Ping auf die 172.16.2.7 erfolgreich ist, sofern die lokale Winblows Firewall deines Servers IGMP zulässt und das auch von fremden IPs. Normal tut sie das im Default nicht!
In der Regel ein simples Standard Setup was mit einem "normalen" WG Server problemlos funktioniert.
incisor2k
incisor2k 20.01.2024 aktualisiert um 21:09:21 Uhr
Goto Top
Servus aqui,
danke für deinen Beitrag. Die Config sieht genauso aus, wie dein Beispiel - korrekt.
Das der Client die .1 bekommen hat, dafür kann ich nichts. Der Speedport bietet genau einen Button - Nutzer anlegen. Mehr Konfiguration ist auch nicht möglich.

WG-Config:
[Interface]
PrivateKey = XXX
Address = 10.200.200.1/24
DNS = 172.16.2.7

[Peer]
PublicKey = XXX
PresharedKey = XXX
AllowedIPs = 172.16.2.0/24
Endpoint = xyz.de:53280
PersistentKeepalive = 21


Die Firewall habe ich wie gesagt temporär auch deaktiviert. Pings gehen alle durch, auch RDP usw. funktioniert.
nslookup meldet:

nslookup hostxyz.domain.de 172.16.2.7
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 172.16.2.7

DNS request timed out.
timeout was 2 seconds.


Und ja, das Setup ist in der Tat simpel und Standard, genau deswegen wundert mich das ja auch!

Hier noch der Auszug der IP-Config Windows:

Adapter PC:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : WireGuard Tunnel
Physische Adresse . . . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.200.200.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 172.16.2.7
NetBIOS über TCP/IP . . . . . . . : Aktiviert
aqui
aqui 21.01.2024 aktualisiert um 12:39:06 Uhr
Goto Top
Mehr Konfiguration ist auch nicht möglich.
Das ist per se schlecht! face-sad
WG konfigtechnisch gesehen ist die Client Konfig fehlerhaft, denn es fehlt der Server Eintrag unter den "AllowedIPs".
Kannst du bei aktivem Client nochmal ein route print eingeben? Dann sollte sich die interne WG Server IP zeigen.
Vermutlich ist die Speedport WG Implementation genau so ein proprietärer Murks wie bei AVM. face-sad

So oder so ist die IP Connectivity ja aber gegen wenn du die 172.16.2.7 pingen und auch per RDP erreichen kannst. Es liegt also primär sehr wahrscheinlich nicht an der WG Konfig auch wenn diese fehlerhaft ist.
Vielmehr ist zu vermuten das der Server eingehende DNS Requests sehr wahrscheinlich blockt oder abweist. Wäre zumindestens bei der lokalen Windows Firewall normal, da nicht lokale IP Adresse.
Ob man ggf. im DNS Server selber noch eine Freigabe setzen muss das der eingehende DNS Requests aus anderen IP Netzen akzeptiert müsste ein Winblows Spezl beantworten.

Du kannst das aber sehr einfach verifizieren ob die DNS Requests überhaupt am Server ankommen indem du den Server einmal temporär abziehst und ihn mit einem Wireshark Rechner mit gleicher IP ersetzt und den DNS Traffic (UDP und TCP 53) mitsnifferst.
Das würde dir zumindestens wasserdicht zeigen ob der WG Client DNS Traffic bei aktivem Tunnel überhaupt am Server ankommt.
Alternativ kannst du auf dem Server selber Microsofts Network Monitor oder auch den Wireshark dafür nutzen.
incisor2k
incisor2k 21.01.2024 um 19:23:03 Uhr
Goto Top
Das ist per se schlecht!
WG konfigtechnisch gesehen ist die Client Konfig fehlerhaft, denn es fehlt der Server Eintrag unter den > "AllowedIPs".
Kannst du bei aktivem Client nochmal ein route print eingeben? Dann sollte sich die interne WG Server IP zeigen.
Vermutlich ist die Speedport WG Implementation genau so ein proprietärer Murks wie bei AVM.
Ist es, hier noch der Auszug aus route print:

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
10.200.200.0 255.255.255.0 Auf Verbindung 10.200.200.1 261
10.200.200.1 255.255.255.255 Auf Verbindung 10.200.200.1 261
10.200.200.255 255.255.255.255 Auf Verbindung 10.200.200.1 261
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
172.16.2.0 255.255.255.0 Auf Verbindung 10.200.200.1 5
172.16.2.255 255.255.255.255 Auf Verbindung 10.200.200.1 261


Die Idee mit Wireshark kam mir jetzt auch! Hier ist zu erkennen, dass die Anfragen auch rein kommen.
Habe die Debug-Protokollierung auf dem DNS aktiviert. Auch hier sieht man, dass die Anfragen rein kommen...

Hier ein Auszug:

21.01.2024 19:16:49 0E14 PACKET 0000026AB5C48520 UDP Rcv 10.200.200.1 0001 Q [0001 D NOERROR] PTR (1)7(1)2(3)16(3)172(7)in-addr(4)arpa(0)

21.01.2024 19:16:49 0E14 PACKET 0000026AB5C48520 UDP Snd 10.200.200.1 0001 R Q [8381 DR NXDOMAIN] PTR (1)7(1)2(3)16(3)172(7)in-addr(4)arpa(0)

21.01.2024 19:16:51 0E14 PACKET 0000026AB5C56170 UDP Rcv 10.200.200.1 0002 Q [0001 D NOERROR] A (10)srv01(2)ad(22)domain(2)de(0)

21.01.2024 19:16:51 0E14 PACKET 0000026AB5C56170 UDP Snd 10.200.200.1 0002 R Q [8085 A DR NOERROR] A (10)srv01(2)ad(22)domain(2)de(0)


Der DNS erhält also die Anfragen und sendet auch die Antwort... jetzt ist nur noch zu klären, wo diese versandet.
aqui
aqui 28.01.2024 um 11:18:15 Uhr
Goto Top
Wie bereits oben gesagt: es fehlt der Server IP Eintrag unter den "AllowedIPs"!
Siehe Wireguard Tutorial!

Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
incisor2k
incisor2k 28.01.2024 um 11:33:36 Uhr
Goto Top
Ja, nur leider kenne ich die WG-Server IP nicht. Die .1 ist es nicht, das ist der Client. Auch erhält man in der "erweiterten" Übersicht keine Informationen.
Was auch immer da wieder implementiert wurde.. naja! Danke euch trotzdem.
aqui
aqui 28.01.2024 aktualisiert um 12:03:15 Uhr
Goto Top
Ja, nur leider kenne ich die WG-Server IP nicht.
Du kennst nicht einmal die IP deines eigenen WG Servers den du selber aufgesetzt hast? Schon sehr verwunderlich und auch recht fatal in Bezug auf Datensicherheit?! Aber egal... 🤔
So sollte es korrekt aussehen, wobei ".x/32" hier die interne WG Server IP ist:
[Interface]
PrivateKey = XXX
Address = 10.200.200.1/24
DNS = 172.16.2.7

[Peer]
PublicKey = XXX
(PresharedKey = XXX)
AllowedIPs = 10.200.200.x/32, 172.16.2.0/24
Endpoint = xyz.de:53280
PersistentKeepalive = 21 
Ein Preshared Key ist übrigens überflüssiger Unsinn wenn man so oder so mit Keys arbeitet. Das ist so als wenn man zum Gürtel noch unbedingt die Hosenträger braucht. 🤣

Tip:
Mit einem simplen Ping Scanner wie nmap, Advanced IP Scanner oder Angry IP usw. usw. die man einmal auf das 10.200.200.0/24er Netz loslässt ermittelst du die Server IP im Handumdrehen selber sofern ein Fremder die WG Server Konfig ohne dein Wissen erstellt hat. Wenn derjenige dann etwas intelligent nachgedacht hat bei der WG Adressvergabe in einem /24er Netz, ist der Server sicherlich die letzte IP im Netz mit der .254. face-wink
https://nmap.org
https://www.advanced-ip-scanner.com/de/
https://angryip.org

Oder... Falls alle Stricke reissen ersetzt du im WG Client die AllowedIPs mit "AllowedIPs = 0.0.0.0/0"
Damit machst du dann einen Gateway Redirect und routest jeglichen Client Netzwerk Verkehr in den VPN Tunnel, dein Servertraffic inklusive. Auch damit bekommt man per Ping Scan aufs WG interne Netz die Server IP raus. (Siehe Tutorial) 😉
incisor2k
incisor2k 28.01.2024 um 17:13:54 Uhr
Goto Top
Du kennst nicht einmal die IP deines eigenen WG Servers den du selber aufgesetzt hast? Schon sehr verwunderlich > und auch recht fatal in Bezug auf Datensicherheit?! Aber egal... 🤔

Siehe oben - das ist kein eigener WG-Server. Das im Gegensatz zur normalen Config einiges anders ist, das ist mir bewusst. Die wird aber eben so vom Speedport erzeugt. Der einzige Unterschied ist, dass bei AllowedIPs = 0.0.0.0/0 vordefiniert ist. Aber auch damit funktioniert das ganze nicht. Warum die zusätzliche Angabe vom Server nicht notwendig ist, weis ich nicht, wird aber eben so erzeugt.
Selbst wenn ich diese jetzt mit angebe (ist übrigens in der Tat die 10.200.200.254) ändert das an der Funktionalität nichts.
screenshot 2024-01-28 120121
aqui
aqui 28.01.2024 um 17:16:57 Uhr
Goto Top
Könnte auch der DNS Rebind Schutz sein. Hast du den testweise mal deaktiviert?
Ansonsten Speedport Schrott entsorgen und was Anständiges beschaffen! face-wink
incisor2k
incisor2k 28.01.2024 um 18:27:54 Uhr
Goto Top
DNS Rebind ist deaktiviert. Ich erreiche auch aus dem internen Netz keinen VPN Client, trotz deaktivierter Firewall.
Habe mir jetzt schon überlegt, noch einen zusätzlichen Router hinzusetzen. Problem hier ist, dass der Speedport nicht mal statische Routen unterstützt.
Würde das Ding gern loswerden, leider ist DSL Hybrid die einzig sinnvolle verfügbare Lösung dort.
aqui
aqui 28.01.2024 um 19:18:32 Uhr
Goto Top
Nein, das stimmt so nicht. Das kann bekanntlich jeder beliebige Dual WAN Balancing Router von der Stange auch. Er kann zwar nicht beide Bandbreiten bündeln wie die Speedport Gruselgurke (die eigentlich ein umgebrandeter Huawei Router ist) sondern macht das je nach Balancing Profil im Round Robin oder man kann bestimmen das schneller Traffic über die schneller Infrastruktur rausgeht und langsame übers langsamere oder nach bestimmten Diensten oder oder...
incisor2k
incisor2k 28.01.2024 um 19:27:47 Uhr
Goto Top
Da hast du völlig Recht, aber:
Dafür muss es auch ein 5G Router sein. Bei Telekom Hybrid bekommt man so ein POE-5G-Modem.
Telekom Hybrid 5G
Sicher kann man das auch alles anders aufziehen. Aber da es sich um einen kleinen Verein handelt, muss das eben alles im Rahmen bleiben.
Und die Bandbreitenbündelung ist leider tatsächlich wichtig, da man mit den 6/2 MBit nicht weit kommt.
aqui
aqui 28.01.2024 um 19:35:30 Uhr
Goto Top
Nein, auch das stimmt so nicht, denn man kann einen preiswerten Chinesen 5G Mobil- oder Taschenrouter als Kaskade am 2ten WAN Port betreiben!
Viele Multiport Router wie z.B. Mikrotik supporten auch einfache USB Sticks al Mobilfunk Interface. Oder die Mobilfunk Router von Mikrotik haben mehrere Interfaces über das man zusätzlich xDSL oder TV_Kabel mit einem billigen nur Modem betreiben kann.
Es gibt halt viele preiswerte Wege nach Rom man muss es nur richtig machen! face-wink
Was sind 6 halbe Mbit??
incisor2k
incisor2k 28.01.2024 aktualisiert um 20:09:04 Uhr
Goto Top
Nein, auch das stimmt so nicht, denn man kann einen preiswerten Chinesen 5G Mobil- oder Taschenrouter als > > Kaskade am 2ten WAN Port betreiben!
Viele Multiport Router wie z.B. Mikrotik supporten auch einfache USB Sticks al Mobilfunk Interface. Oder die > Mobilfunk Router von Mikrotik haben mehrere Interfaces über das man zusätzlich xDSL oder TV_Kabel mit einem > billigen nur Modem betreiben kann.
Sry, hab mich nicht ganz korrekt ausgedrückt. Das eine Multi-WAN Lösung funktioniert ist mir bewusst. Wohl aber nicht mit dem Telekom-Kram, hier wird also wieder neue / andere Hardware notwendig. Und einen wirklich "günstigen" 5G Router / Modem habe ich noch nicht gefunden.
Zudem ist man gezwungen, bei dem Hybrid-Tarif die Telekom Hardware zu mieten oder zu kaufen. Jetzt noch zu erklären, warum man zusätzlich noch etwas anderes benötigt, ist dann nicht mehr zielführend.
Da es als LAN-Client in dem ganzen Konstrukt noch eine Fritzbox gibt (AVM DECT Telefone waren vorhanden und sollen im Umfang weiter betrieben werden), die hier die Telefonie zur Verfügung stellt, werde ich mal ein Loch in die Firewall reißen und schauen, ob das Wireguard der Fritte es besser hin bekommt. (Bedenken sind bekannt).
Was sind 6 halbe Mbit??
Das wären 3 MBit, tatsächlich aber wollte ich damit nur Download-u. Uploadrate in kurzer Schreibweise darstellen face-wink
aqui
aqui 28.01.2024 aktualisiert um 20:56:32 Uhr
Goto Top
Keine Ahnung aber ist 90€ schon günstig oder nicht günstig für dich?! Ist ja bekanntlich alles relativ.
https://www.varia-store.com/de/produkt/730750-l41g-2axd-amp-fg621-ea-hap ...
Der kann out of the Box alles inkl. WLAN. Die FB lässt sich daran natürlich auch betreiben und VPN supportet er alles von IPsec, L2TP, Wireguard, OpenVPN, Microsoft SSTP.
Na ja...eine von zig Optionen.
incisor2k
incisor2k 28.01.2024 um 21:19:58 Uhr
Goto Top
Ist wirklich günstig. Aber leider nur 4G. Wir hier quasi in einer Kleinstadt in Süddeutschland sind ja schon zufrieden, dass die moderne Technik überhaupt Einzug hält. 4G ist leider völlig überlastet, vorallem in der Zeit, in der gearbeitet wird. Deshalb leider nicht nutzbar.