Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN mit pfSense - Standortkopplung bzw. site-to-site

Mitglied: RicoPausB

RicoPausB (Level 1) - Jetzt verbinden

09.12.2013 um 10:06 Uhr, 3933 Aufrufe, 2 Kommentare

moinmoin ...

... analog zu meiner Frage https://www.administrator.de/contentid/208726 ...

Ausgangslage:
Wir haben bei Hetzner mehrere Root-Server, die derzeit (noch) via IPsec-Tunnel verbunden sind.
Der dortige DC ist in einem gerouteten SubNet mit öffnentlicher IP hinter einer pfSense.

Jetzt würde ich gerne unsere Aussenstellen und diverse RoadWarrior via OpenVPN dort anbinden.
Das ganze ist dank aqui's Anleitung ( https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... ) auch schon im Ansatz erfolgreich ...

Was mir allerdings Kopfzerbrechen bereitet ist die DNS-Auflösung.
Der DC verwendet intern die domain "firma.lan", extern eine öffentlich erreichbare domain mit der TLD intra.net, deren DNS bei Hetzner konfiguriert wird.
Die Aussenstellen verwenden aus gewachsenen Strukturen andere Domains und arbeiten in privaten Subnetzen (192.168.x.x)
Ich will nicht den gesamten Traffic über das VPN erfolgen lassen, sondern nur den "firmenspezifischen" aus "firma.lan".

Der Tunnel wird durch die beiden pfSense zwar aufgebaut, aber eine DNS-Auflösung in das VPN findet nicht statt.

Ein tracert mittels IP zum DC läuft über den Tunnel.
Allerdings wird der DC nicht mit dc-name.firma.lan aufgelöst sondern mit seinem öffentlichen FQDN
Eigentlich auch logisch, da ja der DC eine öffentliche IP besitzt und diese über den Standard-DNS der Aussenstelle ja aufgelöst werden kann.

Ich stehe also vor dem Problem, dass ich DNS Anfragen an ein öffentliches Subnetz durch das VPN routen muss, wenn ich das richtig sehe.

Falls jemand eine Idee hat, wie ich das bewerkstelligen kann, ohne an allen Clients den DNS manuell zu ändern, bin ich für jede Schandtat bereit ;)

Der Rico
Mitglied: aqui
09.12.2013, aktualisiert um 12:01 Uhr
Im Tutorial findest du im Kapitel Domain Integration (DNS) die Lösung für dein "Problem".
Das gilt aber nur wenn du auch im internen lokalen LAN des Servers IPs auflösen willst.
Ansonsten nutzt der VPN Client immer den lokal konfigurierten DNS und niemals den der irgendwo im Tunnel oder dahinter liegt ! Wie auch denn dieser ist, folgt man dem Tutorial, gar nicht konfiguriert.
Da du uns aber deine server.conf Datei nicht gepostet hast können wir leider mal wieder nur unsere berühmte Kristallkugel bemühen….
Welchen DNS du nutzt am VPN Client zeigt dieser dir mit einem ipconfig -all an oder eben nslookup.
Bitte warten ..
Mitglied: RicoPausB
09.12.2013, aktualisiert um 13:42 Uhr
die server.conf hatte ich (Asche über mein Haupt ...) vergessen ...
hier wäre sie:
### BEGIN ###
dev ovpns1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 144.10.20.253
tls-server
server 10.10.10.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 78.20.30.160 255.255.255.248"
push "dhcp-option DOMAIN firma.lan"
push "dhcp-option DNS 78.20.30.161"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
route 192.168.0.0 255.255.0.0

push route 78.20.30.160 255.255.255.248
### END ###

ansonsten habe ich nur noch die "client-specific-overrides" mit der iroute versorgt und auf dem client unter dns-forwarder den localen DNS (DC) der Aussenstelle eingetragen

#client-specific-overrides (CN aus dem client vert verwendet)
iroute 192.168.0.0 255.255.255.0

#dns-forwarder auf client site
dc.firma.lan 192.168.0.10

achja ... auf beiden Seiten kommt pfSense in der Version 2.1 zum Einsatz, weshalb ich auch bei einigen Screenshots anfangs verwirrt war ...
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail

Outlook 2016 beim Senden einer Mail sit die Liste unter "Datei anfügen" ausgegraut

Frage von spiky123Outlook & Mail1 Kommentar

Hallo Zusammen, ich habe mit einem frisch installierten Outlook 2016 mit Zugriff auf den Cloud-Exchange-Server von Microsoft ein Problem. ...

Firewall

PFsens Open VPN Verbindung

Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Netzwerke

Site-to-Site OpenVPN mit Linux Rechnern

gelöst Frage von alexandersrzNetzwerke6 Kommentare

Hallo, Ich möchte zwei Netzwerke per VPN Tunnel so verbinden, dass alle Geräte von Netzwerk A auf alle Geräte ...

Linux Netzwerk

OpenVPN: Client to Client ohne client-to-client Direktive: nur One way Ping

Frage von SnowCrushLinux Netzwerk

Hi Gurus, ich versuche die OpenVPN Funktion client-to-client zu emulieren (ohne diese option zu nutzen). Hintergrund ist das ich ...

Neue Wissensbeiträge
Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 21 StundenBackup

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 2 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 2 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 3 TagenBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Heiß diskutierte Inhalte
Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android24 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Windows Server
Windows Server 2016 einrichten
Frage von borjiaWindows Server20 Kommentare

Ich würde gerne einen Server einrichten, erstmal nur mit DNS und AD. Habe mich die letzten Wochen durch diverse ...

Exchange Server
Vorgehen um von Tobit auf Exchange zu wechseln
Frage von Martin1987Exchange Server17 Kommentare

Guten Abend Ich habe den Auftrag erhalten, unser Mail von David zu Outlook zu wechseln. Wie muss ich da ...

Microsoft Office
Office 365 eMail via Website verschicken
Frage von BiBeSoMicrosoft Office16 Kommentare

Hallo, kann man im Office 365 eMails anlegen welche zum versenden (smtp) für die Website funktionieren ? Muss man ...