Kein DNS mehr nach einloggen in vpn

[thyme]

Hallo,

jedes mal wenn ich mich mittels openvpn in ein vpn einlogge, kann ich keine Adressen mehr auflösen. D.h. alle Internetseiten, die ich vorher schon aufgerufen habe funktionieren (weil die IP-Adresse schon aufgelöst wurde), aber alle neuen funktionieren nicht. Auch ein ping ist dann nicht möglich. Mit einer konkreten IP-Adresse kann ich aber alles erreichen und auch überall hin pingen.

Die Frage ist also: Wie komme ich wieder an einen DNS Server nach dem login mit openvpn? Gibt es eine Option für die client.conf?

[wanne]

Auch ein ping ist dann nicht möglich.

Klingt für mich weniger nach einem DNS problem als nach nem kaputten VPN. Die alten HTTP/1.1 verbindungen leben weiter aber alles andere ist tot.
OpenVPN konfiguriert dir dein Netzwer um da scheint was schiefzugehen.

[thyme]

Naja, wie gesagt, ein ping zu einer IP-Adresse funktioniert dann immer noch. Das klingt doch sehr nach einem DNS Problem.

[wanne]

Oh, sorry, habe ich nicht genau genug gelesen.
Kannst du mal die resolv.conf posten? (bei verbundenem VPN)
Und dann das subnetz des VPNs (ip a)

[thyme]

Sowohl vor als auch nach dem einloggen die resolv.conf

Code: Alles auswählen

nameserver 195.34.133.21
nameserver 212.186.211.21

und wenn ich eingeloggt bin die Ausgabe von

Code: Alles auswählen

$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:23:cd:b2:5e:25 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.11/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::223:cdff:feb2:5e25/64 scope link 
       valid_lft forever preferred_lft forever
3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether 90:e6:ba:5d:1e:69 brd ff:ff:ff:ff:ff:ff
4: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/ether ee:a2:4f:6b:17:72 brd ff:ff:ff:ff:ff:ff
    inet 10.63.134.2/16 brd 10.63.255.255 scope global tap0
    inet6 fe80::eca2:4fff:fe6b:1772/64 scope link 
       valid_lft forever preferred_lft forever

[wanne]

Trag da mal einen FUnktionierenden DNS-Server ein:
Bei mir reagieren die zwar auf pings liefern aber keine antworten zurück.
Server bekommst du z.B. da: http://www.opennicproject.org/nearest-servers/
oder den von google
Oder meinen 78.47.172.244 (Der antwortet aber für gewisse Werbedienste wie doubleklick.net nicht ganz korrekt )

[thyme]

Der Eingetragene Nameserver funktioniert schon, sonst könnte ich doch gar nichts im Internet machen (unabhängig vom vpn).

Dennoch habe ich den DNS Server gewechselt (zu opennic), aber es bringt keinen Unterschied.

[dufty2]

Trag da mal einen FUnktionierenden DNS-Server ein:
Bei mir reagieren die zwar auf pings liefern aber keine antworten zurück.

Sind vermutlich 2 DNS-Servers des ISP, welche nur den jeweiligen Kundennetzen eine Antwort geben.

@thyme
Hattu iptables oder aehnliches am laufen?

[thyme]

@thyme
Hattu iptables oder aehnliches am laufen?

Nein

[wanne]

Was sagt denn der reihe nach das (#: root $: user):

Code: Alles auswählen

# ping [DNS-Server]
# nmap -sU -p 53 [DNS-Server]
$dig @79.140.49.11 debianforum.de
$dig debianforum.de

[DynaBlaster]

Trag da mal einen FUnktionierenden DNS-Server ein:
Bei mir reagieren die zwar auf pings liefern aber keine antworten zurück.

Sind vermutlich 2 DNS-Servers des ISP, welche nur den jeweiligen Kundennetzen eine Antwort geben.

Entweder dass, oder der gesamte Traffic deines Rechners wird nach erfolgreichem VPN-Aufbau über das VPN geroutet und der Firewall (am OpenVPN-Endpunkt) dort blockt deine DNS-Anfragen. Bei OpenVPN geht das bspw. mit "push redirect-gateway" (oder so ähnlich).

[thyme]

@DynaBlaster: Und was kann ich da machen? Auf den VPN Server habe ich keinen Zugriff, bin nur Client.

@wanne: Hier die Ausgaben.

Zunächst, wenn ich nicht im VPN bin:

Code: Alles auswählen

# ping 131.130.1.11
PING 131.130.1.11 (131.130.1.11) 56(84) bytes of data.
64 bytes from 131.130.1.11: icmp_req=1 ttl=63 time=0.686 ms
64 bytes from 131.130.1.11: icmp_req=2 ttl=63 time=0.702 ms
^C
--- 131.130.1.11 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.686/0.694/0.702/0.008 ms

Code: Alles auswählen

# nmap -sU -p 53 131.130.1.11

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-02 10:04 CEST
Nmap scan report for nsr3.univie.ac.at (131.130.1.11)
Host is up (0.00042s latency).
PORT   STATE         SERVICE
53/udp open|filtered domain

Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds

Code: Alles auswählen

$ dig @79.140.49.11 debianforum.de

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @79.140.49.11 debianforum.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5245
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;debianforum.de.                        IN      A

;; ANSWER SECTION:
debianforum.de.         86400   IN      A       144.76.154.165

;; AUTHORITY SECTION:
debianforum.de.         86400   IN      NS      a.regfish-ns.net.
debianforum.de.         86400   IN      NS      b.regfish-ns.net.
debianforum.de.         86400   IN      NS      c.regfish-ns.net.

;; ADDITIONAL SECTION:
a.regfish-ns.net.       86400   IN      A       79.140.49.11
b.regfish-ns.net.       86400   IN      A       195.247.131.12
c.regfish-ns.net.       86400   IN      A       62.116.182.108

;; Query time: 15 msec
;; SERVER: 79.140.49.11#53(79.140.49.11)
;; WHEN: Mon Jun  2 10:06:28 2014
;; MSG SIZE  rcvd: 158

Code: Alles auswählen

$ dig debianforum.de

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> debianforum.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32273
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 5

;; QUESTION SECTION:
;debianforum.de.                        IN      A

;; ANSWER SECTION:
debianforum.de.         85420   IN      A       144.76.154.165

;; AUTHORITY SECTION:
debianforum.de.         85420   IN      NS      a.regfish-ns.net.
debianforum.de.         85420   IN      NS      c.regfish-ns.net.
debianforum.de.         85420   IN      NS      b.regfish-ns.net.

;; ADDITIONAL SECTION:
a.regfish-ns.net.       11913   IN      A       79.140.49.11
a.regfish-ns.net.       11913   IN      AAAA    2a02:2c0::11
b.regfish-ns.net.       11913   IN      A       195.247.131.12
c.regfish-ns.net.       86278   IN      A       62.116.182.108
c.regfish-ns.net.       86278   IN      AAAA    2001:4178:2:1355::10

;; Query time: 1 msec
;; SERVER: 131.130.1.11#53(131.130.1.11)
;; WHEN: Mon Jun  2 10:06:58 2014
;; MSG SIZE  rcvd: 214

Und dann nochmal, wenn ich im VPN bin:

Code: Alles auswählen

# ping 131.130.1.11
PING 131.130.1.11 (131.130.1.11) 56(84) bytes of data.
64 bytes from 131.130.1.11: icmp_req=1 ttl=51 time=26.3 ms
64 bytes from 131.130.1.11: icmp_req=2 ttl=51 time=26.2 ms
^C
--- 131.130.1.11 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 26.236/26.294/26.352/0.058 ms

Code: Alles auswählen

# nmap -sU -p 53 131.130.1.11

Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-02 10:11 CEST
Nmap scan report for nsr3.univie.ac.at (131.130.1.11)
Host is up (0.026s latency).
PORT   STATE SERVICE
53/udp open  domain

Nmap done: 1 IP address (1 host up) scanned in 0.20 seconds

Code: Alles auswählen

$ dig @79.140.49.11 debianforum.de

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @79.140.49.11 debianforum.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7242
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;debianforum.de.                        IN      A

;; ANSWER SECTION:
debianforum.de.         86400   IN      A       144.76.154.165

;; AUTHORITY SECTION:
debianforum.de.         86400   IN      NS      a.regfish-ns.net.
debianforum.de.         86400   IN      NS      b.regfish-ns.net.
debianforum.de.         86400   IN      NS      c.regfish-ns.net.

;; ADDITIONAL SECTION:
a.regfish-ns.net.       86400   IN      A       79.140.49.11
b.regfish-ns.net.       86400   IN      A       195.247.131.12
c.regfish-ns.net.       86400   IN      A       62.116.182.108

;; Query time: 19 msec
;; SERVER: 79.140.49.11#53(79.140.49.11)
;; WHEN: Mon Jun  2 10:11:41 2014
;; MSG SIZE  rcvd: 158

Code: Alles auswählen

$ dig debianforum.de

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> debianforum.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 4395
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;debianforum.de.                        IN      A

;; Query time: 27 msec
;; SERVER: 131.130.1.11#53(131.130.1.11)
;; WHEN: Mon Jun  2 10:12:37 2014
;; MSG SIZE  rcvd: 32

[wanne]

DU scheinst aber auch Pech mit den DNS-Servern zu haben: 131.130.1.11 funktioniert bei mir auch nicht

[thyme]

DU scheinst aber auch Pech mit den DNS-Servern zu haben: 131.130.1.11 funktioniert bei mir auch nicht

Ich verstehe nicht was du meinst. Der DNS Server funktioniert perfekt.
Nur nicht wenn ich im VPN bin, kann ich nichts mehr auflösen. Würde ich mich nicht in ein VPN einloggen wollen, hätte ich NULL Probleme. Ich könnte ja auch sonst gar nicht hier im Forum schreiben...

Im Grunde ist das doch der Beweis, dass es nicht am DNS Server liegen kann...

[wanne]

Also ich kann bei denen defniniv nicht auflösen ud zwar von nirgends aus (3 verschiedene Provider getestet.):

Code: Alles auswählen

$ dig @131.130.1.11 debianforum.de A | grep status
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 54086

Edit:
Der ist ein typischer authoritative-DNS-Server.
Das einzige was der auflösen kann ist alles was auf univie.ac.at endet.
Wenn du https://www.univie.ac.at/home/ zugreifst wird das funktioneren alles andere nicht.
Oder eben https://univis.univie.ac.at/jbrush_port ... onKey=e2s1

[dufty2]

Der ist ein typischer authoritative-DNS-Server.
Das einzige was der auflösen kann ist alles was auf univie.ac.at endet.

Nö, nicht korrekt, denn

Die IP-Adressen der rekursiven Nameserver, die für den Bereich der Universität Wien als Nameserver zu konfigurieren sind, lauten 131.130.1.11 und 131.130.1.12. Diese Server sind zusätzlich unter den Hostnamen ns3r.univie.ac.at und ns4r.univie.ac.at autoritativ für die Zone univie.ac.at - die Daten dieser Zone können internetweit von diesen beiden Servern abgefragt werden.

[dufty2]

Ok, ohne VPN bist Du im Netz der Uni Wien; wenn Du dann den VPN anmachst, gehst greifst Du durch den VPN hindurch auf den dnsserrver zu, der dann sich so verhält wie im "Fall von wanne", nämlich 'UNI-extern' und daher nur noch autoritativ aber nicht mehr rekursiv.

[thyme]

Ich denke mein Problem reduziert sich auf dieses Problem:
http://debianforum.de/forum/viewtopic.php?f=30&t=149747