26
OpenVPN Client kann Namen nicht auflösen
Hallo,
hatte nun meinen Router ASUS AC86U geupdatet, womit mein OpenVPN Server zurückgesetzt wurde.
Habe die letzte Config eingespielt, sodass sich die Clients wieder verbinden können und können sowohl alle IP's im lokalen Netz sowie im VPN als auch im Internet gepingt werden. Allerdings können keine Namen aufgelöst werden und es können auch die Webinterfaces von Router und NAS nicht erreicht werden. Im Wireshark gehen viele 10000 DNS anfragen durch, werden aber mit "Standard query response: Refused..." beantwortet.
Sieht für mich so aus als ob die Clients keinen DNS zugewiesen bekommen oder ihn nicht erreichen. Eventuell ein Problem mit TCP/UDP?
Vielen Dank für eure Unterstützung
hatte nun meinen Router ASUS AC86U geupdatet, womit mein OpenVPN Server zurückgesetzt wurde.
Habe die letzte Config eingespielt, sodass sich die Clients wieder verbinden können und können sowohl alle IP's im lokalen Netz sowie im VPN als auch im Internet gepingt werden. Allerdings können keine Namen aufgelöst werden und es können auch die Webinterfaces von Router und NAS nicht erreicht werden. Im Wireshark gehen viele 10000 DNS anfragen durch, werden aber mit "Standard query response: Refused..." beantwortet.
Sieht für mich so aus als ob die Clients keinen DNS zugewiesen bekommen oder ihn nicht erreichen. Eventuell ein Problem mit TCP/UDP?
Vielen Dank für eure Unterstützung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 600823
Url: https://administrator.de/contentid/600823
Printed on: May 2, 2024 at 13:05 o'clock
26 Comments
Latest comment
Hallo,
„Refused“ heißt „verweigert“.
Bei mir wird gleich unter dem ersten Google-Treffer eine Lösung präsentiert. Hast Du die schon getestet?
Gruß,
Jörg
„Refused“ heißt „verweigert“.
Bei mir wird gleich unter dem ersten Google-Treffer eine Lösung präsentiert. Hast Du die schon getestet?
Gruß,
Jörg
Zitat von @bugzzz:
Hallo,
hatte nun meinen Router ASUS AC86U geupdatet, womit mein OpenVPN Server zurückgesetzt wurde.
Habe die letzte Config eingespielt, sodass sich die Clients wieder verbinden können und können sowohl alle IP's im lokalen Netz sowie im VPN als auch im Internet gepingt werden. Allerdings können keine Namen aufgelöst werden und es können auch die Webinterfaces von Router und NAS nicht erreicht werden. Im Wireshark gehen viele 10000 DNS anfragen durch, werden aber mit "Standard query response: Refused..." beantwortet.
Sieht für mich so aus als ob die Clients keinen DNS zugewiesen bekommen oder ihn nicht erreichen. Eventuell ein Problem mit TCP/UDP?
Vielen Dank für eure Unterstützung
Hallo,
hatte nun meinen Router ASUS AC86U geupdatet, womit mein OpenVPN Server zurückgesetzt wurde.
Habe die letzte Config eingespielt, sodass sich die Clients wieder verbinden können und können sowohl alle IP's im lokalen Netz sowie im VPN als auch im Internet gepingt werden. Allerdings können keine Namen aufgelöst werden und es können auch die Webinterfaces von Router und NAS nicht erreicht werden. Im Wireshark gehen viele 10000 DNS anfragen durch, werden aber mit "Standard query response: Refused..." beantwortet.
Sieht für mich so aus als ob die Clients keinen DNS zugewiesen bekommen oder ihn nicht erreichen. Eventuell ein Problem mit TCP/UDP?
Vielen Dank für eure Unterstützung
Was sagt denn ein ipconfig /all? Welche Namen werden nicht aufgelöst? Alle oder nur die hinter dem Tunnel?
🖖
nslookup wäre sinnvoller zum Test bei aktivem VPN Client.
So oder so ist es aber ohne OpenVPN Server Konfig Datei fast unmöglich eine zielführende Antwort zu geben.
Merkzettel: VPN Installation mit OpenVPN
Leider hat der TO es nicht geschafft diese wichtige Konfig hier zu posten. Da bleibt uns dann auch nur die Kristallkugel.
So oder so ist es aber ohne OpenVPN Server Konfig Datei fast unmöglich eine zielführende Antwort zu geben.
Merkzettel: VPN Installation mit OpenVPN
Leider hat der TO es nicht geschafft diese wichtige Konfig hier zu posten. Da bleibt uns dann auch nur die Kristallkugel.
Hallo,
nö, der DNS auf dem ASUS rejected ja.
Sprich: Er kann keine DNS via WAN für Auflösungen außerhalb seiner eigenen Domain erreichen
Gruß,
Jörg
nö, der DNS auf dem ASUS rejected ja.
Sprich: Er kann keine DNS via WAN für Auflösungen außerhalb seiner eigenen Domain erreichen
Gruß,
Jörg
Zitat von @117471:
Hallo,
nö, der DNS auf dem ASUS rejected ja.
Sprich: Er kann keine DNS via WAN für Auflösungen außerhalb seiner eigenen Domain erreichen
Gruß,
Jörg
Nicht richtig. Er kann auch kein DNS innerhalb der Domain, da ja die Webinterfaces von NAS und Router auch nicht erreichbar sind. Hört sich für mich so an, als wenn da ein DHCP IPv6 Server auf dem Router läuft und die Namensauflösung durcheinanderschmeißt. Habe ich gerade erst leztzte Woche mit einer Fritte gehabt.Hallo,
nö, der DNS auf dem ASUS rejected ja.
Sprich: Er kann keine DNS via WAN für Auflösungen außerhalb seiner eigenen Domain erreichen
Gruß,
Jörg
Fritzbox als Router rein -> nix geht mehr, Fritzbox raus -> alles geht, IPv6 DHCP Server auf der Fritzbox abgeschaltet und Fritte wieder reingehängt -> alles geht.
🖖
Hallo,
doch richtig. Wenn er den Uplink DNS nicht erreicht ist, reißt der mit genau diesem Fehler die Hufe. Vergleiche sämtliche einschlägigen Erfahrungen
Ergo: Entweder DNS per DHCP betanken oder manuell, dafür aber vollständig konfigurieren.
Gruß,
Jörg
doch richtig. Wenn er den Uplink DNS nicht erreicht ist, reißt der mit genau diesem Fehler die Hufe. Vergleiche sämtliche einschlägigen Erfahrungen
Ergo: Entweder DNS per DHCP betanken oder manuell, dafür aber vollständig konfigurieren.
Gruß,
Jörg
Nee, den DNS auf dem ASUS darf er von einem Client aus gar nicht per default ansprechen. Da sollte nur der DC drinstehen, so der denn den DNS Server macht. Und wenn der keine Antwort bekommt, sollte der DC dem Client antworten und nicht der ASUS. Zumindest lese ich das so als wenn der ASUS antwortet. Daher ja der Verdacht auf IPv6. Wenn er nämlich den Router upgedatet hat, kann ich mir gut vorstellen, das der den integrierten IPv6 DHCP Server per default eingeschaltet.
🖖
🖖
Hallo,
weißt Du was? Du hast Recht und ich habe meine Ruhe
Gruß,
Jörg
weißt Du was? Du hast Recht und ich habe meine Ruhe
Gruß,
Jörg
Zitat von @117471:
Hallo,
weißt Du was? Du hast Recht und ich habe meine Ruhe
Gruß,
Jörg
😛 Hallo,
weißt Du was? Du hast Recht und ich habe meine Ruhe
Gruß,
Jörg
🖖
So, hier die Configs entschuldigt die lange Wartezeit
server.conf
client.conf
Ich erreiche vom Client nichts, kann nur pingen.
Aktuell bekommen die Clients eigentlich den DNS per DHCP, hier setze ich den ASUS als DNS und den CCC DNS (204.152.184.76) bzw. den von Digitale Gesellschaft CH (185.95.218.42).
Mit einem nslookup krieg ich einen Timeout.
server.conf
daemon ovpn-server1
topology subnet
server 172.16.4.0 255.255.255.0
proto udp
port 1194
dev tun21
txqueuelen 1000
ncp-ciphers AES-128-GCM:AES-128-CBC:AES-256-GCM:AES-256-CBC:AES-192-GCM:AES-192-CBC
cipher AES-128-CBC
auth SHA256
compress lz4-v2
keepalive 15 60
verb 6
client-config-dir ccd
client-to-client
push "redirect-gateway def1"
plugin /usr/lib/openvpn-plugin-auth-pam.so openvpn
verify-client-cert none
username-as-common-name
ca ca.crt
dh dh.pem
cert server.crt
key server.key
script-security 2
up 'ovpn-up 1 server'
down 'ovpn-down 1 server'
status-version 2
status status 5
# Custom Configuration
client-config-dir /jffs/scripts/ccd
topology "subnet"
push "topology subnet"
#push "dhcp-option DNS 185.95.218.42"
#push "dhcp-option DNS 185.95.218.43" client.conf
client
dev tun
proto udp
remote my.ddns.net 1194
resolv-retry infinite
nobind
float
ncp-ciphers AES-128-GCM:AES-128-CBC:AES-256-GCM:AES-256-CBC:AES-192-GCM:AES-192-CBC
cipher AES-128-CBC
auth SHA256
compress lz4-v2
keepalive 15 60
auth-user-pass
remote-cert-tls server
<ca>
-----BEGIN CERTIFICATE-----
MIIETzCCAzegAwIBAgIUNbb0fcvcUknYuR8+qOhbtZcaA8IwDQYJKoZIhvcNAQEF
BQAwcDELMAkUVzELMAkGA1UECBMCVFcxDzANBgNVBAcTBlRhaXBl
aTENMAsGA1UEChMEQVNVUzERMA8GA1UEAxMIUlQtQUM4NlUxITAfBgkqhkiG9w0B
CQEWEm1lQG15aG9zhOLH60i4CG
//w+
-----END CERTIFICATE-----
</ca>Ich erreiche vom Client nichts, kann nur pingen.
Aktuell bekommen die Clients eigentlich den DNS per DHCP, hier setze ich den ASUS als DNS und den CCC DNS (204.152.184.76) bzw. den von Digitale Gesellschaft CH (185.95.218.42).
Mit einem nslookup krieg ich einen Timeout.
Hallo,
O.K.; auch wenn ich mich aufgrund zunehmender Schwurbelei (siehe oben) aus diesem Thema heraushalten wollte, ein letzer Versuch
Es ist, wie ich bereits geschrieben habe: Der DNS auf dem ASUS *muss* laufen. Der funktioniert nur, wenn der ASUS selber via WAN einen DNS kennt und erreichen kann, an die er Anfragen für fremde Domains weiterleiten kann. Das kann z.B. ein Domaincontroller, dein Router oder sonstwas sein.
Mit anderen Worten: Solange der ASUS niemanden hat, der seine DNS-Anfragen beantwortet, wird sein interner DNS-Server nicht funktionieren.
Sobald der DNS auf dem ASUS läuft, pusht Du diesen in der OpenVPN-Konfiguration vom Server zu den Clients.
Bitte vermeide, einen anderen DNS als den ASUS durch den Tunnel zu pushen. Zum Einen fehlt Dir dann die DNS-Domain vom ASUS "an sich", zum Anderen ist das sicherheitstechnisch ausgesprochen fragwürdig und auch nicht besonders "zukunftssicher". Sprich: Es fliegt Dir beim nächsten Update um die Ohren. Der ASUS sitzt immer als eine Art "Proxy" dazwischen.
Gruß,
Jörg
O.K.; auch wenn ich mich aufgrund zunehmender Schwurbelei (siehe oben) aus diesem Thema heraushalten wollte, ein letzer Versuch
Es ist, wie ich bereits geschrieben habe: Der DNS auf dem ASUS *muss* laufen. Der funktioniert nur, wenn der ASUS selber via WAN einen DNS kennt und erreichen kann, an die er Anfragen für fremde Domains weiterleiten kann. Das kann z.B. ein Domaincontroller, dein Router oder sonstwas sein.
Mit anderen Worten: Solange der ASUS niemanden hat, der seine DNS-Anfragen beantwortet, wird sein interner DNS-Server nicht funktionieren.
Sobald der DNS auf dem ASUS läuft, pusht Du diesen in der OpenVPN-Konfiguration vom Server zu den Clients.
Bitte vermeide, einen anderen DNS als den ASUS durch den Tunnel zu pushen. Zum Einen fehlt Dir dann die DNS-Domain vom ASUS "an sich", zum Anderen ist das sicherheitstechnisch ausgesprochen fragwürdig und auch nicht besonders "zukunftssicher". Sprich: Es fliegt Dir beim nächsten Update um die Ohren. Der ASUS sitzt immer als eine Art "Proxy" dazwischen.
Gruß,
Jörg
Komisch, aber wenn ich über WLAN auf dem ASUS bin dann bekomme ich auch einen funktionierenden DNS zugewiesen?! Dürft dann auch nicht funktionieren oder?
Den push von DNS Servern habe ich mal probiert, um zu schauen ob der Client dann die Anfragen durchkriegt aber geht einfacht nicht.
ifconfig
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 172.16.4.3 netmask 255.255.255.0 destination 172.16.4.3
inet6 fe80::f756:7d9d:a349:4af2 prefixlen 64 scopeid 0x20<link>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 100 (UNSPEC)
RX packets 8134 bytes 5711679 (5.7 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 6426 bytes 476481 (476.4 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wwan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.111.197.237 netmask 255.255.255.252 broadcast 10.111.197.239
ether 02:1e:10:1f:00:00 txqueuelen 1000 (Ethernet)
RX packets 96567 bytes 109086714 (109.0 MB)
RX errors 0 dropped 1 overruns 0 frame 0
TX packets 48829 bytes 5031825 (5.0 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Den push von DNS Servern habe ich mal probiert, um zu schauen ob der Client dann die Anfragen durchkriegt aber geht einfacht nicht.
ifconfig
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 172.16.4.3 netmask 255.255.255.0 destination 172.16.4.3
inet6 fe80::f756:7d9d:a349:4af2 prefixlen 64 scopeid 0x20<link>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 100 (UNSPEC)
RX packets 8134 bytes 5711679 (5.7 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 6426 bytes 476481 (476.4 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wwan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.111.197.237 netmask 255.255.255.252 broadcast 10.111.197.239
ether 02:1e:10:1f:00:00 txqueuelen 1000 (Ethernet)
RX packets 96567 bytes 109086714 (109.0 MB)
RX errors 0 dropped 1 overruns 0 frame 0
TX packets 48829 bytes 5031825 (5.0 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Hallo,
wenn Du via WLAN mit dem Router verbunden bist, bekommen deine Clients den DNS von deinem DHCP-Server zugewiesen.
Wenn Du via OpenVPN verbunden bist, behalten die OpenVPN-Clients grundsätzlich erst einmal den DNS-Server in dem Netz, in dem sie sich befinden. Es sei denn, Du pusht einen DNS-Server durch die OpenVPN-Serverkonfiguration. Siehe oben.
Was sollte daran "komisch" sein?
Welchen DNS welches Gerät wann und wofür benutzt, kannst Du übrigens mit nslookup überprüfen. Letztendlich siehst Du ja, von wo aus die Antworten kommen bzw. ausbleiben.
Hilfreich ist auch "ipconfig /all" - das zeigt Dir ebenfalls an, welche DNS-Server konfiguriert sind.
Gruß,
Jörg
Übrigens: Wenn Du den DNS von der digitalen Gesellschaft direkt pusht, müsste es bei externen Domains tatsächlich funktionieren; allerdings fehlt Dir dann dein natürlich gesamtes lokales Geraffel (NAS usw.).
wenn Du via WLAN mit dem Router verbunden bist, bekommen deine Clients den DNS von deinem DHCP-Server zugewiesen.
Wenn Du via OpenVPN verbunden bist, behalten die OpenVPN-Clients grundsätzlich erst einmal den DNS-Server in dem Netz, in dem sie sich befinden. Es sei denn, Du pusht einen DNS-Server durch die OpenVPN-Serverkonfiguration. Siehe oben.
Was sollte daran "komisch" sein?
Welchen DNS welches Gerät wann und wofür benutzt, kannst Du übrigens mit nslookup überprüfen. Letztendlich siehst Du ja, von wo aus die Antworten kommen bzw. ausbleiben.
Hilfreich ist auch "ipconfig /all" - das zeigt Dir ebenfalls an, welche DNS-Server konfiguriert sind.
Gruß,
Jörg
Übrigens: Wenn Du den DNS von der digitalen Gesellschaft direkt pusht, müsste es bei externen Domains tatsächlich funktionieren; allerdings fehlt Dir dann dein natürlich gesamtes lokales Geraffel (NAS usw.).
Also mit nslookup bekomme ich für lokale wie auch externe Adressen ein Timeout.
Habe nun die IP vom Router gepusht als DNS, aber hat nichts gebracht und ich erreiche auch mit dem öffentlichen DNS, wenn gepusht ist, nichts.
Es sieht so aus, als ob er nicht mal mit dem Push den DNS mitbekommt. Die Routen sehen glaub recht vernünftig aus, zumindest funktioniert auch der Ping überall hin. Vermute irgendwie die Config von dem ASUS WRT hat es irgendwie zerhauen...
ipconfig /all -> nmcli dev showt
/etc/resolv.conf
netstat -rn
Habe nun die IP vom Router gepusht als DNS, aber hat nichts gebracht und ich erreiche auch mit dem öffentlichen DNS, wenn gepusht ist, nichts.
Es sieht so aus, als ob er nicht mal mit dem Push den DNS mitbekommt. Die Routen sehen glaub recht vernünftig aus, zumindest funktioniert auch der Ping überall hin. Vermute irgendwie die Config von dem ASUS WRT hat es irgendwie zerhauen...
ipconfig /all -> nmcli dev showt
GENERAL.DEVICE: ttyUSB0
GENERAL.TYPE: gsm
GENERAL.HWADDR: (unknown)
GENERAL.MTU: 1500
GENERAL.STATE: 100 (connected)
GENERAL.CONNECTION: O2 o2 MMS
GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveConnection/137
IP4.ADDRESS[1]: 10.213.197.237/30
IP4.GATEWAY: 10.213.197.238
IP4.ROUTE[1]: dst = 10.213.197.236/30, nh = 0.0.0.0, mt = 700
IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 10.213.197.238, mt = 20700
IP4.DNS[1]: 62.109.121.17
IP4.DNS[2]: 62.109.121.18
IP6.GATEWAY: --
GENERAL.DEVICE: tun0
GENERAL.TYPE: tun
GENERAL.HWADDR: (unknown)
GENERAL.MTU: 1500
GENERAL.STATE: 100 (connected)
GENERAL.CONNECTION: tun0
GENERAL.CON-PATH: /org/freedesktop/NetworkManager/ActiveConnection/138
IP4.ADDRESS[1]: 172.16.4.3/24
IP4.GATEWAY: --
IP4.ROUTE[1]: dst = 172.16.4.0/24, nh = 0.0.0.0, mt = 0
IP4.ROUTE[2]: dst = 0.0.0.0/1, nh = 172.16.4.1, mt = 0
IP4.ROUTE[3]: dst = 128.0.0.0/1, nh = 172.16.4.1, mt = 0
IP6.ADDRESS[1]: fe80::dea2:7704:467a:4b49/64
IP6.GATEWAY: --
IP6.ROUTE[1]: dst = ff00::/8, nh = ::, mt = 256, table=255
IP6.ROUTE[2]: dst = fe80::/64, nh = ::, mt = 256
GENERAL.DEVICE: eth0
GENERAL.TYPE: ethernet
GENERAL.HWADDR: C8:5B:76:9E:D2:66
GENERAL.MTU: 1500
GENERAL.STATE: 20 (unavailable)
GENERAL.CONNECTION: --
GENERAL.CON-PATH: --
WIRED-PROPERTIES.CARRIER: off
GENERAL.DEVICE: wlan0
GENERAL.TYPE: wifi
GENERAL.HWADDR: F0:D5:BF:A0:D2:2D
GENERAL.MTU: 1500
GENERAL.STATE: 20 (unavailable)
GENERAL.CONNECTION: --
GENERAL.CON-PATH: --
GENERAL.DEVICE: lo
GENERAL.TYPE: loopback
GENERAL.HWADDR: 00:00:00:00:00:00
GENERAL.MTU: 65536
GENERAL.STATE: 10 (unmanaged)
GENERAL.CONNECTION: --
GENERAL.CON-PATH: --
IP4.ADDRESS[1]: 127.0.0.1/8
IP4.GATEWAY: --
IP6.ADDRESS[1]: ::1/128
IP6.GATEWAY: --
lines 24-68/68 (END)
IP4.GATEWAY: --
IP4.ROUTE[1]: dst = 172.18.0.0/16, nh = 0.0.0.0, mt = 0
IP4.ROUTE[2]: dst = 169.254.0.0/16, nh = 0.0.0.0, mt = 1000
IP6.GATEWAY: --
GENERAL.DEVICE: wlan0
GENERAL.TYPE: wifi
GENERAL.HWADDR: F0:D5:BF:A0:D2:2D
GENERAL.MTU: 1500
GENERAL.STATE: 20 (unavailable)
GENERAL.CONNECTION: --
GENERAL.CON-PATH: --
GENERAL.DEVICE: lo
GENERAL.TYPE: loopback
GENERAL.HWADDR: 00:00:00:00:00:00
GENERAL.MTU: 65536
GENERAL.STATE: 10 (unmanaged)
GENERAL.CONNECTION: --
GENERAL.CON-PATH: --
IP4.ADDRESS[1]: 127.0.0.1/8
IP4.GATEWAY: --
IP6.ADDRESS[1]: ::1/128
IP6.GATEWAY: --/etc/resolv.conf
nameserver 127.0.0.53
options edns0netstat -rn
0.0.0.0 172.16.4.1 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 10.213.197.238 0.0.0.0 UG 0 0 0 wwan0
10.213.197.236 0.0.0.0 255.255.255.252 U 0 0 0 wwan0
79.244.118.13 10.213.197.238 255.255.255.255 UGH 0 0 0 wwan0
128.0.0.0 172.16.4.1 128.0.0.0 UG 0 0 0 tun0
172.16.4.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
Hallo,,
warum versteifst Du dich so sehr auf das OpenVPN?
Das DNS auf dem Router läuft offenbar immer noch nicht.
Solange der Router nicht sauber im Netzwerk angebunden ist, kannst Du dir das Gebastel am OpenVPN sparen.
Richte den Router so ein, dass der Router den DNS fragt der dein NAS kennt. Das ist der elementare erste Schritt.
BTW: Bist Du wirklich Festnetzkunde bei O2?
Gruß,
Jörg
warum versteifst Du dich so sehr auf das OpenVPN?
Das DNS auf dem Router läuft offenbar immer noch nicht.
Solange der Router nicht sauber im Netzwerk angebunden ist, kannst Du dir das Gebastel am OpenVPN sparen.
Richte den Router so ein, dass der Router den DNS fragt der dein NAS kennt. Das ist der elementare erste Schritt.
BTW: Bist Du wirklich Festnetzkunde bei O2?
Gruß,
Jörg
Zitat von @117471:
Hallo,
O.K.; auch wenn ich mich aufgrund zunehmender Schwurbelei (siehe oben) aus diesem Thema heraushalten wollte, ein letzer Versuch
Jaja, Hallo,
O.K.; auch wenn ich mich aufgrund zunehmender Schwurbelei (siehe oben) aus diesem Thema heraushalten wollte, ein letzer Versuch
Mir war nicht klar, das der ASUS der einzige DNS ist, ging für mich bisher nicht aus den Posts hervor. Wenn dem so ist, bin ich vollkommen bei Dir.🖖
Moin,
du sagst wenn ich einen öffentlichen DNS pushe müsste es gehen, tut es aber nicht.
Es geht nicht nur um mir mein NAS, sondern auch um öffentliche Adressen.
Also wenn ich über SSH auf den ASUS gehe, dann kann er alle Namen auflösen. Habe den DNS des Routers unter WAN und für DHCP gesetzt weitere Möglichkeiten sehe ich nicht. Außer ihn über den OpenVPN server zu pushen.
Ich kann den DNS auch pingen, aber die Namensauflösung packt er nicht.
OT: Mobilfunk. Teste das mit meinem Notebook aus dem Mobilfunknetz, verbinde mich dann über VPN ins Netz.
du sagst wenn ich einen öffentlichen DNS pushe müsste es gehen, tut es aber nicht.
Es geht nicht nur um mir mein NAS, sondern auch um öffentliche Adressen.
Also wenn ich über SSH auf den ASUS gehe, dann kann er alle Namen auflösen. Habe den DNS des Routers unter WAN und für DHCP gesetzt weitere Möglichkeiten sehe ich nicht. Außer ihn über den OpenVPN server zu pushen.
Ich kann den DNS auch pingen, aber die Namensauflösung packt er nicht.
OT: Mobilfunk. Teste das mit meinem Notebook aus dem Mobilfunknetz, verbinde mich dann über VPN ins Netz.
Hallo,
O.K. - wenn der ASUS in der SSH alle Namen auflösen kann, ist das eine ziemlich relevante Information, die hier schlichtweg gefehlt hat.
Vielleicht gibt es Filterregeln, die das verhindern bzw. es fehlt eine Filterregel, die das erlaubt?!?
In deiner Konfiguration steht "server 172.16.4.0 255.255.255.0" - das ist das Netz, dass OpenVPN als Transportnetz verwendet. Also ein anderes Netz als deine Geräte zu Hause und ein anderes Netz als der Standort, an dem dein Client steht. Insofern macht so ein "exotisches" Netz tatsächlich sehr viel Sinn.
Dein OpenVPN-Server bekommt in diesem Netz immer die erste IP, also die 172.16.4.1
D.h., vom Client aus solltest Du nach dem Verbindungsaufbau mit "nslookup www.administrator.de 172.16.4.1" eine Antwort bekommen. Wenn das nicht der Fall ist, dann solltest Du via SSH direkt auf dem ASUS überprüfen, ob Du da eine Namensauflösung über localhost funktioniert: "nslookup www.administrator.de 127.0.0.1"
Ist das nicht der Fall, dann liegt etwas in der Routerkonfiguration "im Argen". D.h., der DNS-Server auf dem Gerät startet aus irgend einem Grund nicht.
Funktioniert es, dann blockiert vermutlich etwas den Zugriff von den Clients auf den DNS-Server:
Die Regel an sich - muss bildlich - gesprochen "erlaube Port 53 eingehend TCP und UPD aus dem Netz 172.16.4.0/24 auf mich selber bzw. auf 172.16.4.1" lauten.
Gruß,
Jörg
O.K. - wenn der ASUS in der SSH alle Namen auflösen kann, ist das eine ziemlich relevante Information, die hier schlichtweg gefehlt hat.
Vielleicht gibt es Filterregeln, die das verhindern bzw. es fehlt eine Filterregel, die das erlaubt?!?
In deiner Konfiguration steht "server 172.16.4.0 255.255.255.0" - das ist das Netz, dass OpenVPN als Transportnetz verwendet. Also ein anderes Netz als deine Geräte zu Hause und ein anderes Netz als der Standort, an dem dein Client steht. Insofern macht so ein "exotisches" Netz tatsächlich sehr viel Sinn.
Dein OpenVPN-Server bekommt in diesem Netz immer die erste IP, also die 172.16.4.1
D.h., vom Client aus solltest Du nach dem Verbindungsaufbau mit "nslookup www.administrator.de 172.16.4.1" eine Antwort bekommen. Wenn das nicht der Fall ist, dann solltest Du via SSH direkt auf dem ASUS überprüfen, ob Du da eine Namensauflösung über localhost funktioniert: "nslookup www.administrator.de 127.0.0.1"
Ist das nicht der Fall, dann liegt etwas in der Routerkonfiguration "im Argen". D.h., der DNS-Server auf dem Gerät startet aus irgend einem Grund nicht.
Funktioniert es, dann blockiert vermutlich etwas den Zugriff von den Clients auf den DNS-Server:
- der DNS-Server hat eine ACL oder Sicherheitsfunktionen, in denen Netzte freigeschaltet werden müssen
- es gibt eine Firewallregel, die das blockiert
- es gibt keine Firewallregel, die das erlaubt
Die Regel an sich - muss bildlich - gesprochen "erlaube Port 53 eingehend TCP und UPD aus dem Netz 172.16.4.0/24 auf mich selber bzw. auf 172.16.4.1" lauten.
Gruß,
Jörg
Weiterhin Timeout, wenn ich den hier mache "nslookup www.administrator.de 172.16.4.1", aber kein Problem wenn ich über SSH den hier "nslookup www.administrator.de 127.0.0.1" ausführe.
Komischerweise, hat das Setup vor dem Update ohne eine solche Regel funktioniert.
Komischerweise, hat das Setup vor dem Update ohne eine solche Regel funktioniert.
Hallo,
dann blockt irgend etwas den Zugriff aus dem OpenVPN-Netz auf den DNS-Server.
Vielleicht hat ASUS neue Sicherheitsfunktionen eingeführt oder bestehende Sicherheitsfunktionen / Filterregeln zurückgesetzt?
Gruß,
Jörg
dann blockt irgend etwas den Zugriff aus dem OpenVPN-Netz auf den DNS-Server.
Vielleicht hat ASUS neue Sicherheitsfunktionen eingeführt oder bestehende Sicherheitsfunktionen / Filterregeln zurückgesetzt?
Gruß,
Jörg
Vermutlich, im Changelog steht was im Zusammenhang mit DNS und OpenVPN. Kann schlecht beurteilen inwiefern das Auswirkungen auf die Problematik hat.
https://www.snbforums.com/threads/release-asuswrt-merlin-384-19-is-now-a ...
Mit der Version scheinen mehrere Probleme gehabt zu haben.
https://www.snbforums.com/threads/release-asuswrt-merlin-384-19-is-now-a ...
Mit der Version scheinen mehrere Probleme gehabt zu haben.
Keine Ahnung wie der OpenVPN-Server seine Einstellungen vornimmt, wenn "<<LAN only | Internet only | Both>>" gewählt wird. Komischerweise habe ich nun mit LAN only Zugriff auf Internet + LAN. Vermutlich werden auch die DNS-Anfragen mit diesen Einstellungen geblockt.
Hätte mich ja bei einem eigenen OpenVPN-Server an @aqui's Guide gehalten, aber leider wird die config hier mit jeder Änderung im WebUI überschrieben.
LAN only hat nun eine Route ins private Netz gepusht und den redirect-gateway rausgenommen. Nicht so ganz durchschaubar was der Router für eine Config generiert. Wenn mich der Server nochmal soviel Nerven kostet, dann wird er gleich auf dem NAS aufgesetzt.
Nochmals danke an eure Unterstützung.
Hätte mich ja bei einem eigenen OpenVPN-Server an @aqui's Guide gehalten, aber leider wird die config hier mit jeder Änderung im WebUI überschrieben.
LAN only hat nun eine Route ins private Netz gepusht und den redirect-gateway rausgenommen. Nicht so ganz durchschaubar was der Router für eine Config generiert. Wenn mich der Server nochmal soviel Nerven kostet, dann wird er gleich auf dem NAS aufgesetzt.
Nochmals danke an eure Unterstützung.
Hallo,
eigentlich solltest Du das positiv sehen - letztendlich hast Du ja eine Menge gelernt.
Z.B. systematisch nach Fehlern zu suchen und Patchnotes zu lesen
Gruß,
Jörg
eigentlich solltest Du das positiv sehen - letztendlich hast Du ja eine Menge gelernt.
Z.B. systematisch nach Fehlern zu suchen und Patchnotes zu lesen
Gruß,
Jörg
Das stimmt.
Mach das hier nochmal auf und zwar, das hat gestern zwar funktioniert. Also wenn ich von extern ins VPN Netz verbinde konnte ich alles erreichen (LAN-Clients, VPN-Clients und das Internet). Problem, ich habe einen Client der sich aus dem LAN ins VPN-Netz verbindet (einfach um Datenübertragung zu encrypten) und genau dieser Client hatte nun das Problem, dass er keine Geräte mehr erreicht hat.
Habe nun eine weitere Einstellung probiert (LAN only | Internet only | Both) und so funktioniert für den internen Client alles, aber von extern habe ich nun ein anderes Problem. Verbinde ich mich von extern auf den Server, kann dieses mal ein nslookup durchführen, kann die WebInterfaces erreichen und kann über SSH auf die Maschinen, aber ich kann keine Seiten im Internet aufrufen.
Ich kann das einfach nicht nachvollziehen, was der für Einstellungen vornimmt. Ich setze mir den glaub auf meinem G8 auf.
Mach das hier nochmal auf und zwar, das hat gestern zwar funktioniert. Also wenn ich von extern ins VPN Netz verbinde konnte ich alles erreichen (LAN-Clients, VPN-Clients und das Internet). Problem, ich habe einen Client der sich aus dem LAN ins VPN-Netz verbindet (einfach um Datenübertragung zu encrypten) und genau dieser Client hatte nun das Problem, dass er keine Geräte mehr erreicht hat.
Habe nun eine weitere Einstellung probiert (LAN only | Internet only | Both) und so funktioniert für den internen Client alles, aber von extern habe ich nun ein anderes Problem. Verbinde ich mich von extern auf den Server, kann dieses mal ein nslookup durchführen, kann die WebInterfaces erreichen und kann über SSH auf die Maschinen, aber ich kann keine Seiten im Internet aufrufen.
Ich kann das einfach nicht nachvollziehen, was der für Einstellungen vornimmt. Ich setze mir den glaub auf meinem G8 auf.
Hallo,
der Client im LAN wird sicher ein Gateway nutzen; und das benötigt eine Route ins VPN-Netz....
Gruß,
Jörg
der Client im LAN wird sicher ein Gateway nutzen; und das benötigt eine Route ins VPN-Netz....
Gruß,
Jörg
