dirkho
Goto Top

Per VPN meine Hostnames nicht erreichbar

Hallo zusammen,

ich habe mir privat über meinen Router (LinkSys EA4500) per openWrt einen OpenVPN-Server eingerichtet. Der läuft auch so weit und ich werde bei erfolgreicher Verbindung sowohl bei LAN-, als auch Internet-Verbindungen über das VPN geleitet.

Jetzt habe ich seit vorgestern einen raspberry pi 3 in meinem Netz hängen. Dieser, mein Router, als auch mein Drucker verfügen über jeweils eigene Hostnames (raspberry.lan, router.lan und printer.lan) und statische IPs. Die Hostnames sind auf dem Router konfiguriert als Forwards auf die IPs.

Aus dem Netzwerk heraus kann ich auf alle ohne Probleme über den Hostnamen, als auch die IP zugreifen. Per VPN geht das jedoch nicht und ich kann lediglich über die IP auf die Geräte zugreifen.

Was ich bereits gemacht habe ist in der /etc/config/openvpn den DNS-Eintrag 8.8.8.8 rausgeworfen und stattdessen nur meinen Router (192.168.1.1) als DNS drin stehen - ohne die erhoffte Wirkung. Nun habe ich auch schon hier im Forum gesucht und gegoogled und bin auf einen recht ähnlichen Post gestoßen (da war ein DNS-Server auf einem Windows-Server installiert), wonach "auf dem Server in den DNS Einstellungen eine Weiterleitung auf den Router" eingestellt werden muss. (siehe Server nicht über Hostnamen erreichbar bei VPN-Verbindung)

Ich denke nicht, dass das bei mir genau dasselbe Problem ist, da ja in meinem Fall DNS und Router dasselbe sind.

Habt ihr eine Idee, was ich machen kann / muss, damit das funktioniert? Es ginge zwar grundsätzlich auch ohne, schöner wäre es aber natürlich mit Hostnamen, zumal ich jetzt (erstmal auf dem Raspi, später ist ein Microserver geplant) Owncloud am Laufen habe und für den Rest der Familie die nicht so Computer-Affin sind natürlich so ein Name schöner zu merken ist, als eine IP. ;)

Vielen Dank und viele Grüße,

Dirk

Content-ID: 312335

Url: https://administrator.de/forum/per-vpn-meine-hostnames-nicht-erreichbar-312335.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

ribiku.sith
ribiku.sith 11.08.2016 aktualisiert um 11:10:13 Uhr
Goto Top
Tach auch,

hast Du die Option:

push "dhcp-option DNS 192.168.1.1"  

gesetzt? Sind die in der selben Suchdomäne? Kannst du ggf. so pingen:

ping raspberry.lan

Viele Grüße,

Ribiku

Edit: Unter Windows sollte der VPN-Client mal als Admin geöffnet werden, da er beim Verbinden den Befehl "ipconfig /flushdns" ausführt, diese braucht Admin-Rechte. Könnt also auch da ein Problem sein. Ggf. mal das Log und die Config mit maskierten/gefälschten IP's posten.

Edit 2: Code für die Suchdomäne/Search Domain:
push "dhcp-option SEARCH **deine.domain**"  
DirkHo
DirkHo 11.08.2016 um 11:26:46 Uhr
Goto Top
Hallo,

vielen Dank für deine Antwort.

list push    'dhcp-option DNS 192.168.1.1'  
(die Schreibweise ist etwas anders in der openvpn-Datei als in der server.conf, deshalb auch das "list" davor).

Meine IP-Settings auf meinem Client sind:
Ethernet-Adapter LAN-Verbindung 2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physische Adresse . . . . . . . . : xx-xx-xx-xx-xx-xx
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : xxxx::xxxx:xxxx:xxxx:xxxx%25(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.3.3.2(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Donnerstag, 11. August 2016 11:09:03
   Lease läuft ab. . . . . . . . . . : Freitag, 11. August 2017 11:09:03
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 10.3.3.254
   DHCPv6-IAID . . . . . . . . . . . : 9408840290293
   DHCPv6-Client-DUID. . . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx
   DNS-Server  . . . . . . . . . . . : 192.168.1.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
Die IP-Adressen sind mit 192.168.1.1 und 10.3.3.x bereits maskiert ;) Für die IPv6-Angaben habe ich einfach bisschen auf dem Zahlenfeld der Tastatur rumgedrückt ;)

Meine generelle Konfiguration der /etc/config/openvpn-Datei sieht wie folgt aus (wie gesagt, etwas andere Schreibweise als für die server.conf):

config openvpn 'VPNserver'  
 
        option enabled     '1'  
 
    # --- Protocol ---#
        option dev         'tun0'  
        option topology    'subnet'  
        option proto       'udp'  
# PORT MASKIERT
        option port        '1234'   
 
    #--- Routes ---#
        option server    '10.3.3.0 255.255.255.0'  
        option ifconfig  '10.3.3.1 10.1.1.5'  
        #255.255.255.0' 
 
    #--- Client Config ---#
        option client_config_dir '/etc/openvpn/clients/'  

    #--- Pushed Routes ---#
        list push    'route 192.168.1.0 255.255.255.0'  
        list push    'dhcp-option DNS 192.168.1.1'  
        list push    'redirect-gateway def1'  
        list push    'remote-gateway 192.168.1.1'  
 
    #--- Encryption ---#
        option cipher     'AES-256-CBC'  
        option dh         '/etc/openvpn/keys/dh2048.pem'  
        option ca         '/etc/openvpn/keys/ca.crt'  
        option cert       '/etc/openvpn/keys/my-server.crt'  
        option key        '/etc/openvpn/keys/my-server.key'  
 
    #--- Logging ---#
        option status        '/var/log/openvpn-status.log 20'  
        option log           '/var/log/openvpn.log'  
        option verb          '7'  
 
    #--- Connection Options ---#
        option keepalive        '10 120'  
        option comp_lzo         'yes'  
 
    #--- Connection Reliability ---#
        option client_to_client '1'  
        option persist_key      '1'  
        option persist_tun      '1'  

Für den Client sieht die Konfiguration auf dem Router wie folgt aus:
ifconfig-push 10.1.1.2 255.255.255.0

Auf dem Client-Rechner sieht die my-client.ovpn-Datei so aus:
client
dev tun
proto udp
remote my-client.dyndns.org
#port 1234
resolv-retry infinite
nobind
ca C:\\VPN\\my-client\\ca.crt
cert C:\\VPN\\my-client\\my-client.crt
key C:\\VPN\\my-client\\my-client.key
#pull
#keepalive 10 120
#plcs12 certificate.p12
ns-cert-type server
cipher AES-256-CBC
comp-lzo
#float
redirect-gateway def1
verb 3

Welchen Log meinst du? /var/log/openvpn.log? Oder wo genau finde ich Infos dazu, wo was versucht wird hinzurouten oder welche Info du auch immer meinst?

Securepoint OpenVPN, das ich als Client verwende, funktioniert nur, wenn ich es immer als Admin ausführe. Das passt also. Ein manuelles ipconfig /flushdns hat leider keine Verbesserung der Situation ergeben.

Vielen Dank und viele Grüße,

Dirk
ribiku.sith
Lösung ribiku.sith 11.08.2016 aktualisiert um 11:46:46 Uhr
Goto Top
Teste doch bitte mal noch mit:

list push 'dhcp-option DOMAIN deineLokaleDomain'  

bzw.:

list push 'dhcp-option SEARCH deineLokaleDomain'  

Laut Deinem ersten Post " jeweils eigene Hostnames (raspberry.lan, router.lan und printer.lan) und statische IPs" sollte "deineLokaleDomain" gegen "lan" ersetzt werden.

Viele Grüße,

Ribiku

Edit: bei OpenVPN Client gibt es ein LOG, das meinte ich. Den SecurePoint nutze ich nicht, daher kann ich Dir da nichts zu sagen.
Pjordorf
Lösung Pjordorf 11.08.2016 um 14:51:29 Uhr
Goto Top
Hallo,

Zitat von @DirkHo:
Dieser, mein Router, als auch mein Drucker verfügen über jeweils eigene Hostnames (raspberry.lan, router.lan und printer.lan)
Der Hostname ist aber nur das teil vor den punkt. Du verwendest bei dir aber nur verschiedene Domain Names, noch nicht mal FQDN (die haben 3 teile und zwei punkte). Hosts kann ein WINS auflösen (Nicht routing fahig). FQDN macht ein DNS(Server). gibt es neben deinen DNS Weiterleiter (Router) überhaupt einenn DNS Server? Dein Raspberry kann z.b. locker mit DNSMasq..... DHCP UND DNS).....
Mach ein DNSServer und gibt den auch bei deinen VPN Clients an. Dann passts..

Habt ihr eine Idee, was ich machen kann / muss, damit das funktioniert? Es ginge zwar grundsätzlich auch ohne, schöner wäre
es aber natürlich mit Hostnamen
Wirklich nur der Hostname oder doch eine FQDN (DNS Suffixe in der IP Konfiguration möglich)?

Gruß,
Peter
DirkHo
DirkHo 11.08.2016 um 22:20:51 Uhr
Goto Top
Hallo ihr beiden,

vielen Dank für eure Antworten, sie waren sehr hilfreich.

@ribku.sith: leider waren deine beiden Einträge nicht von Erfolg gekrönt.

@Pjordorf: Ich habe folgendes auf meinem Router eingestellt (den Raspberry Pi möchte ich nicht zwangsweise immer laufen haben müssen, nur, dass ich OpenVPN richtig nutzen kann):

/etc/config/dhcp im Bereich dnsmasq:
list server '/raspberry.lan/192.168.1.2'
list server '/printer.lan/192.168.1.3'
list server '/router.lan/192.168.1.1'

/etc/hosts erweitert um
192.168.1.2 raspberry.lan
192.168.1.3 printer.lan
192.168.1.1 router.lan

Wenn ich danach den Router neustarte und mich dann per VPN verbinde, dann kann ich auf die LAN-Domains zugreifen. Ich habe dann testweise mal die Hosts aus der /etc/hosts rausgeworfen, Router neugestartet und es ging nicht mehr. Dann wieder alles funktionstüchtig gemacht.
So wie ich die dnsmasq-Beschreibung verstand ist die IP beim list server immer diejenige des DNS-Servers, über die eine Domain geleitet werden soll (mein Router also). Es hat aber nicht funktioniert, wenn ich alle auf die 192.168.1.1 geleitet habe.

Also, grundsätzlich funktioniert es, allerdings denke ich, habe ich einen "Fehler" in dem dnsmasq ausgenutzt. So wie ich es verstehe wird beim Aufruf von raspberry.lan an den vermeintlichen DNS-Server 192.168.1.2 weitergeleitet. Da dort aber zufällig auch der VHost ist, kann der Name eben aufgelöst werden.

Ich hätte erwartet, dass ich die Router-IP für alle drei Domains hinterlege und der Router dann entscheidet, auf welche IP geroutet werden muss, je nach Domain (so kam ich auch auf die Idee die /etc/hosts zu erweitern).

Ich will ja auch etwas dazulernen, weshalb ich es gerne "richtig" zum Laufen bekommen würde. Wäre top, wenn ihr mir dabei noch helfen könntet oder vielleicht ist das ja genau der Weg und ich habe es falsch verstanden?

Auf jeden Fall schon mal vielen Dank!
Pjordorf
Pjordorf 11.08.2016 um 23:36:45 Uhr
Goto Top
Hallo,

Zitat von @DirkHo:
@Pjordorf: Ich habe folgendes auf meinem Router eingestellt (den Raspberry Pi möchte ich nicht zwangsweise immer laufen haben müssen, nur, dass ich OpenVPN richtig nutzen kann):
Wasch mich aber mach mich nicht nass.
Du willst DNS namen nutzen aber keinen DNS Server haben. Wird nicht gehen. Punkt.
Ob dein Linksys einen echten DNS(erver) darstellt oder nur blind weiterleitet - wirst du schauen müssen. Ich tippe auf letzteres und das nützt dir nichts.

192.168.1.2 raspberry.lan
192.168.1.3 printer.lan
192.168.1.1 router.lan
Sind aber alles nur Domain Namen und kein Hosts oder FQDNs.

192.168.1.2 weitergeleitet. Da dort aber zufällig auch der VHost ist, kann der Name eben aufgelöst werden.
What ?!?

Ich hätte erwartet, dass ich die Router-IP für alle drei Domains hinterlege
Wo hinterlegen und woher soll dein Router wissen das er dort in irgendeine Liste suchen soll.
Lies dich ein bei DNS, WINS, NETBIOS, Hostname, Domainname, FQDN....

Ich will ja auch etwas dazulernen, weshalb ich es gerne "richtig" zum Laufen bekommen würde
Du willst einen DNS(erver) und deine Router sollte wissen wo der sich befindet und auch dein DHCP sollte dies wissen sowie deine VPN Konfiguration. Dann klappt es auch mit Namen.... ohne das an horst gedreht werden muss.
Schau dir an wie Namensauflösung am Client stattfindet. Windows / Linux....

Gruß,
Peter
DirkHo
DirkHo 12.08.2016 um 08:06:26 Uhr
Goto Top
Guten Morgen,


Zitat von @Pjordorf:
Wasch mich aber mach mich nicht nass.
Danke für das Angebot, aber nein. ;)

Zitat von @Pjordorf:
Du willst DNS namen nutzen aber keinen DNS Server haben. Wird nicht gehen. Punkt.
Ob dein Linksys einen echten DNS(erver) darstellt oder nur blind weiterleitet - wirst du schauen müssen. Ich tippe auf letzteres und das nützt dir nichts.
Ich will ihn halt nicht auf dem Raspberry Pi. Ich werde prüfen, inwiefern ich einen "echten" DNS server auf dem openWrt laufen lassen kann.

Zitat von @Pjordorf:
Lies dich ein bei DNS, WINS, NETBIOS, Hostname, Domainname, FQDN....
Schau dir an wie Namensauflösung am Client stattfindet. Windows / Linux....
Ok, das werde ich tun. Danke! Wenn's zu viel Aufwand wäre, hätte ich ja immer noch meine aktuelle "Lösung".

Vielen Dank und viele Grüße,

Dirk
Pjordorf
Pjordorf 12.08.2016 um 08:47:23 Uhr
Goto Top
Hallo,

Zitat von @DirkHo:
Ich will ihn halt nicht auf dem Raspberry Pi. Ich werde prüfen, inwiefern ich einen "echten" DNS server auf dem openWrt laufen lassen kann.
https://wiki.openwrt.org/doc/howto/dhcp.dnsmasq
https://wiki.openwrt.org/doc/uci/dhcp

Gruß,
Peter