[geloest] DNS im VPN

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
sharbich
Beiträge: 349
Registriert: 27.09.2013 21:12:40

[geloest] DNS im VPN

Beitrag von sharbich » 22.01.2014 23:34:04

Hallo Ihr Lieben,
ich benötige Eure Unterstützung. Ich habe OpenVPN auf mein Wheezy installiert und kann auch eine Verbindung herstellen. Local und Remote Netzwerk inkl. Clients sind erreichbar. DNS Auflösung mit FQDN und Reverse funktioniert. Allerdings funktioniert nicht die Auflösung der Hostnamen und die der Internetadressen. Im lokalen Netzwerk funktioniert alles. Beide Netze nutzen den glaichen DNS-Server.

Code: Alles auswählen

Lokale Netz: 192.168.178.0/24
Remote Netz 192.168.200.0/24
Der DNS-Server lauscht auf 192.168.178.9 und 192.168.200.1. Beide IP-Adressen habe ich mal den VPN Clients zugewiesen. Gleiches Ergebnis.
Internetrouter hat intern die IP 192.168.178.1.

Code: Alles auswählen

tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
                     inet Adresse:192.168.200.1  P-z-P:192.168.200.2  Maske:255.255.255.255
                     UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
                     RX packets:110 errors:0 dropped:0 overruns:0 frame:0
                     TX packets:113 errors:0 dropped:0 overruns:0 carrier:0
                     Kollisionen:0 Sendewarteschlangenlänge:100

Code: Alles auswählen

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         rome01.xyz.de   0.0.0.0         UG    0      0        0 bond0
192.168.178.0   *               255.255.255.0   U     0      0        0 bond0
192.168.200.0   192.168.200.2   255.255.255.0   UG    0      0        0 tun0
192.168.200.2   *               255.255.255.255 UH    0      0        0 tun0
Ich hoffe Ihr habt noch einen Tipp?
Zuletzt geändert von sharbich am 20.03.2014 09:49:18, insgesamt 1-mal geändert.
Nach oben
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: DNS im VPN

Beitrag von DynaBlaster » 25.01.2014 13:34:54

Ich gehe mal davon aus, das der DNS-Server im lokalen Netzzwerk betrieben wird. Lässt dieser denn Anfragen aus dem entfernten Netz (IP-Bereich) zu?

Für Bind als DNS-Server schau mal hier nach: https://wiki.debian.org/Bind9#named.conf_File. Wenn deine Konfiguration ähnlich ist , würde Bind nämlich die Anfragen wegen:

Code: Alles auswählen

#/etc/bind/named.conf.
// Managing acls
acl internals { 127.0.0.0/8; 192.168.178.0/24; };
schlicht ignorieren.
Nach oben
sharbich
Beiträge: 349
Registriert: 27.09.2013 21:12:40

Re: DNS im VPN

Beitrag von sharbich » 27.01.2014 12:00:05

Hallo,
beigefügte meine configs:
named.conf

Code: Alles auswählen

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
named.conf.local

Code: Alles auswählen

//
// Do any local configuration here
//

// Consider adding the 1918 zone here, if they are not used in your
// organisatization
// include "/etc/bind/zones.rfc1918";

logging {
    category default { default_syslog; default_debug; };
    category unmatched { null; };
};

## LDAP Backend mit DLZ-Schema
dlz "xyz.de" {
        database "ldap 1
           v3 simple {cn=admin,ou=dns,dc=xyz,dc=de} {secret} 127.0.0.1
           ldap:///dlzZoneName=$zone$,ou=dns,dc=xyz,dc=de???objectclass=dlzZone
           ldap:///dlzHostName=$record$,dlzZoneName=$zone$,ou=dns,dc=xyz,dc=de?dlzTTL,dlzType,dlzPreference,dlzData,dlzIPAddr,dlzPrimaryNS,dlzAdminEmail,dlzSerial,dlz$
};
named.conf.options

Code: Alles auswählen

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        //listen-on { 192.168.178.9; 192.168.200.1; };
        //recursion yes;

        forwarders { 217.0.43.33; 217.0.43.49; };
        //forward only;

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        //dnssec-validation auto;

        empty-zones-enable no;  # Permit Empty Zones to RFC1918

        auth-nxdomain no;    # conform to RFC1035
        //listen-on-v6 { any; };
};
Auszug über tcpdump, Auflösung von avm.de am Server

Code: Alles auswählen

11:51:05.919839 IP dsme01.xyz.de.41882 > k-nxr-a01.isp.t-ipnet.de.domain: 58049+ [1au] A? avm.de. (35)
11:51:05.919933 IP dsme01.xyz.de.28340 > k-nxr-a01.isp.t-ipnet.de.domain: 30713+ [1au] NS? . (28)
11:51:05.949449 IP k-nxr-a01.isp.t-ipnet.de.domain > dsme01.xyz.de.41882: 58049 1/0/0 A 212.42.244.80 (40)
Auszug über tcpdump, Auflösung von avm.de am Client über VPN

Code: Alles auswählen

11:53:57.077428 IP 192.168.200.97.4674 > dstme01.xyz.de.domain: 7471+ A? avm.de. (24)
11:53:57.078219 IP dstme01.xyz.de.domain > 192.168.200.97.4674: 7471 Refused- 0/0/0 (24)
Ich kann am Client über VPN einfach keine Internetadressen auflösen.
Lieben Gruß von Stefan Harbich
Nach oben
sharbich
Beiträge: 349
Registriert: 27.09.2013 21:12:40

Re: DNS im VPN

Beitrag von sharbich » 27.01.2014 12:21:07

Hallo,
versuche ich lokale Hostnamen im VPN auf zu lösen, bekomme ich folgende Antwort

Code: Alles auswählen

> > ssme01
;; Got recursion not available from 192.168.200.1, trying next server
Server:		10.120.136.116
Address:	10.120.136.116#53

Non-authoritative answer:
Name:	ssme01.xyz.de
Address: 91.5.215.42
Ein Ping auf den Host geht aber

Code: Alles auswählen

ping ssme01
PING ssme01.harnet.de (192.168.178.10) 56(84) bytes of data.
64 bytes from ssme01.xyz.de.178.168.192.in-addr.arpa (192.168.178.10): icmp_req=1 ttl=63 time=512 ms
64 bytes from ssme01.xyz.de.178.168.192.in-addr.arpa (192.168.178.10): icmp_req=2 ttl=63 time=79.6 ms
64 bytes from ssme01.xyz.de.178.168.192.in-addr.arpa (192.168.178.10): icmp_req=3 ttl=63 time=78.0 ms
64 bytes from ssme01.xyz.de.178.168.192.in-addr.arpa (192.168.178.10): icmp_req=4 ttl=63 time=78.7 ms
Hier meine resolv.conf

Code: Alles auswählen

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.200.1
nameserver 10.120.136.116
search xyz.de t-mobile.de
Was kann das nur sein?
Lieben Gruß von Stefan Harbich
Nach oben
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: DNS im VPN

Beitrag von DynaBlaster » 27.01.2014 19:17:56

https://lists.debian.org/debian-user/20 ... 00337.html

Wie vermutet scheint es also doch irgendwie an den Berechtigungen zu liegen.
Nach oben
sharbich
Beiträge: 349
Registriert: 27.09.2013 21:12:40

Re: DNS im VPN

Beitrag von sharbich » 27.01.2014 19:47:52

Hallo Ihr Lieben,
super, genau dieser Eintrag in der /etc/bind/named.conf.options

Code: Alles auswählen

allow-recursion { 192.168.178.0/24; 192.168.200.0/24; };
hat den erhofften Erfolg gebracht. Nun geht auch die Namensauflösung im VPN.
Lieben Gruß von Stefan Harbich
Nach oben
Antworten

Zurück zu „weitere Dienste“