OpenVPN mit pfSense - Standortkopplung bzw. site-to-site
moinmoin ...
... analog zu meiner Frage Zentrale Verwaltung mehrerer Standorte ...
Ausgangslage:
Wir haben bei Hetzner mehrere Root-Server, die derzeit (noch) via IPsec-Tunnel verbunden sind.
Der dortige DC ist in einem gerouteten SubNet mit öffnentlicher IP hinter einer pfSense.
Jetzt würde ich gerne unsere Aussenstellen und diverse RoadWarrior via OpenVPN dort anbinden.
Das ganze ist dank aqui's Anleitung ( OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router ) auch schon im Ansatz erfolgreich ...
Was mir allerdings Kopfzerbrechen bereitet ist die DNS-Auflösung.
Der DC verwendet intern die domain "firma.lan", extern eine öffentlich erreichbare domain mit der TLD intra.net, deren DNS bei Hetzner konfiguriert wird.
Die Aussenstellen verwenden aus gewachsenen Strukturen andere Domains und arbeiten in privaten Subnetzen (192.168.x.x)
Ich will nicht den gesamten Traffic über das VPN erfolgen lassen, sondern nur den "firmenspezifischen" aus "firma.lan".
Der Tunnel wird durch die beiden pfSense zwar aufgebaut, aber eine DNS-Auflösung in das VPN findet nicht statt.
Ein tracert mittels IP zum DC läuft über den Tunnel.
Allerdings wird der DC nicht mit dc-name.firma.lan aufgelöst sondern mit seinem öffentlichen FQDN
Eigentlich auch logisch, da ja der DC eine öffentliche IP besitzt und diese über den Standard-DNS der Aussenstelle ja aufgelöst werden kann.
Ich stehe also vor dem Problem, dass ich DNS Anfragen an ein öffentliches Subnetz durch das VPN routen muss, wenn ich das richtig sehe.
Falls jemand eine Idee hat, wie ich das bewerkstelligen kann, ohne an allen Clients den DNS manuell zu ändern, bin ich für jede Schandtat bereit ;)
Der Rico
... analog zu meiner Frage Zentrale Verwaltung mehrerer Standorte ...
Ausgangslage:
Wir haben bei Hetzner mehrere Root-Server, die derzeit (noch) via IPsec-Tunnel verbunden sind.
Der dortige DC ist in einem gerouteten SubNet mit öffnentlicher IP hinter einer pfSense.
Jetzt würde ich gerne unsere Aussenstellen und diverse RoadWarrior via OpenVPN dort anbinden.
Das ganze ist dank aqui's Anleitung ( OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router ) auch schon im Ansatz erfolgreich ...
Was mir allerdings Kopfzerbrechen bereitet ist die DNS-Auflösung.
Der DC verwendet intern die domain "firma.lan", extern eine öffentlich erreichbare domain mit der TLD intra.net, deren DNS bei Hetzner konfiguriert wird.
Die Aussenstellen verwenden aus gewachsenen Strukturen andere Domains und arbeiten in privaten Subnetzen (192.168.x.x)
Ich will nicht den gesamten Traffic über das VPN erfolgen lassen, sondern nur den "firmenspezifischen" aus "firma.lan".
Der Tunnel wird durch die beiden pfSense zwar aufgebaut, aber eine DNS-Auflösung in das VPN findet nicht statt.
Ein tracert mittels IP zum DC läuft über den Tunnel.
Allerdings wird der DC nicht mit dc-name.firma.lan aufgelöst sondern mit seinem öffentlichen FQDN
Eigentlich auch logisch, da ja der DC eine öffentliche IP besitzt und diese über den Standard-DNS der Aussenstelle ja aufgelöst werden kann.
Ich stehe also vor dem Problem, dass ich DNS Anfragen an ein öffentliches Subnetz durch das VPN routen muss, wenn ich das richtig sehe.
Falls jemand eine Idee hat, wie ich das bewerkstelligen kann, ohne an allen Clients den DNS manuell zu ändern, bin ich für jede Schandtat bereit ;)
Der Rico
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 224048
Url: https://administrator.de/forum/openvpn-mit-pfsense-standortkopplung-bzw-site-to-site-224048.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
2 Kommentare
Neuester Kommentar
Im Tutorial findest du im Kapitel Domain Integration (DNS) die Lösung für dein "Problem".
Das gilt aber nur wenn du auch im internen lokalen LAN des Servers IPs auflösen willst.
Ansonsten nutzt der VPN Client immer den lokal konfigurierten DNS und niemals den der irgendwo im Tunnel oder dahinter liegt ! Wie auch denn dieser ist, folgt man dem Tutorial, gar nicht konfiguriert.
Da du uns aber deine server.conf Datei nicht gepostet hast können wir leider mal wieder nur unsere berühmte Kristallkugel bemühen….
Welchen DNS du nutzt am VPN Client zeigt dieser dir mit einem ipconfig -all an oder eben nslookup.
Das gilt aber nur wenn du auch im internen lokalen LAN des Servers IPs auflösen willst.
Ansonsten nutzt der VPN Client immer den lokal konfigurierten DNS und niemals den der irgendwo im Tunnel oder dahinter liegt ! Wie auch denn dieser ist, folgt man dem Tutorial, gar nicht konfiguriert.
Da du uns aber deine server.conf Datei nicht gepostet hast können wir leider mal wieder nur unsere berühmte Kristallkugel bemühen….
Welchen DNS du nutzt am VPN Client zeigt dieser dir mit einem ipconfig -all an oder eben nslookup.