VPN-Server: OpenVPN funktioniert, aber Namensauflösung nicht? --> komm nicht weiter..

[bosk]

VPN-Server: OpenVPN funktioniert, aber Namensauflösung nicht? --> komm nicht weiter..

Hallo zusammen,
ich komm irgendwie nicht weiter..
Ich hab gestern abend mal die DSM 4 Beta installiert. Da läuft und passt auch alles.
Danach hab ich mal den VPN-Server installiert und auf OpenVPN konfiguriert.
Mit meinem MacBookPro habe ich auch eine OpenVPN-Verbindung aufgebaut, das passt auch alles..
Pingen auf die IP-Adressen funktioniert auch, nur nicht auf die Namen...

Anbei meine Netzwerkkomponenten zuhause:
IP-Adresse: 192.168.178.1 FritzBox 7290 (Router und Gateway)
IP-Adresse: 192.168.178.2 DS211j (NAS und VPN-Server)

Die OpenVPN-Einstellung auf der DS211j:
Dynamische IP-Adresse: 10.8.0.0 (Ich denke mal, das stimmt nicht)...

Und noch hier meine OpenVPN-Config (ich hab nur die DynDNS-Adresse ausgegraut):

dev tun
tls-client

remote SERVER.dyndns.org 1194

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

So, meine Frage ist jetzt: Was muß ich machen, damit ich auch komplett im internen Netz bin, und die Namensauflösung funktioniert?
Kann ich in der Konfigurationsdatei noch was einstellen, damit der DNS und Gateway auf die 192.168.178.1 läuft?
Kann mir da jemand helfen?

Vielen Dank ,und viele Grüße

 

[jahlives]

Gesamten Traffic durch VPN: http://openvpn.net/index.php/open-source/documentation/howto.html#redirect
Verschiedene dhcp Optionen pushen (z.B. DNS-Server): http://openvpn.net/index.php/open-source/documentation/howto.html#dhcp
direkt auf eine IP im LAN kann ein OpenVPN-Client nicht so ohne weiteres zugreifen. Dafür müsste er mittels Routen diese Subnetze erst kennen: http://openvpn.net/index.php/open-source/documentation/howto.html#scope

 

[bosk]

@jahlives
Danke Dir für die Links...
Ich bekomms net hin.. Ich weiss jetzt zumindest, dass ich über meine DS211j surfe (wieistmeineip.de).
Ich bekomm auch den Zugriff zu meinen Laufwerken über IP-Adressen hin.
Aber meine Namensauflösung funktioniert leider nicht.. Ich kann meine Fritzbox (fritz.box) oder meine DS211j nicht über Namen anpingen...

Ich hänge nochmal meine aktuelle Konfiguration bin dran.. Evlt. kann mir jemand sagen, was ich falsch mache..
Danke euch

dev tun
tls-client

remote SERVER.dyndns.org 1194

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway
push "dhcp-option DNS 192.168.178.1"
route 192.168.178.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"


pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

 

[jahlives]

kannst du denn die Fritz oder die DS via IP pingen? Also mal direkt ping 192.168.178.1

 

[bosk]

Ja, das funktioniert... (Fritzbox und die DS)..
Nur über den Namen nicht...
Ich kann auf über SMB oder AFP auf die DS zugreifen (aber eben nur über die IP-Adresse)...

 

[jahlives]

was ist denn das Problem? ;-)
Samba nutzt per default kein DNS sondern sogenannte Broadcasts zur Namensauflösung. Was passiert denn wenn du in deinem Client mal nslookup eingibst? Auf welchen DNS Server wirst du verbunden?
die schnellste Lösung wäre es wenn du die Namen-IP-Zuordnung auf dem Client in seinem Hosts File machst. Hätte den Vorteil, dass du damit auch Samba erwischen würdest

 

[bosk]

Hi,
ich spreche gerne meine Geräte mit Namen an
Ne Schmarrn, ich hab sehr viele Scripte (auch Backup-Scripte), die alle auf den Namen lauten, nicht auf die IP-Adressen..
Ausserdem denke ich mir, wenn die Namensauflösung nicht stimmt, dann läuft einfach was nicht richtig..

Ich hab jetzt gerade mal nen nslookup gemacht (auf google.de)

Last login: Wed Feb 29 14:52:25 on ttys000
bosk13inch:~ Admin$ nslookup google.de
Server:		192.168.0.1
Address:	192.168.0.1#53

Non-authoritative answer:
Name:	google.de
Address: 209.85.148.94

bosk13inch:~ Admin$

Warum steht da als Server jetzt die 192.168.0.1 drinnen? Wo kommt der denn her? Ich steh am schlauch....

 

[jahlives]

ist das dein HomeSub? Ich kann ja nicht wissen wie es bei dir ausschaut, aber du scheinst ein Gerät zu haben auf der genannten IP, das DNS Abfragen beantwortet

 

[bosk]

Hi,
ne, mein Netzwerk zuhause sieht so aus:

Anbei meine Netzwerkkomponenten zuhause:
IP-Adresse: 192.168.178.1 FritzBox 7290 (Router und Gateway)
IP-Adresse: 192.168.178.2 DS211j (NAS und VPN-Server)

Die 192.168.0.1 ist der Router hier in der Arbeit.. Hier teste ich gerade...
Und der sollte ja die DNS-Abfrage gar nicht beantworten...

 

[jahlives]

Hast du denn am Arbeitplatz-PC, der via OpenVPN an die DS verbunden ist, überhaupt admin-Rechte?

 

[bosk]

Ist ja mein Arbeits Macbook Also ich hab Admin-Rechte

 

[jahlives]

bei Windows muss man den OpenVPN Client auch als admin EXPLIZIT als admin ausführen, damit der Client die Rechte bekommt an der Routing-Table rumzufummeln. Ob das beim Mac auch so ist, k.A.
guck doch mal mit dem ipconfig-Kommando (oder wie auch immer das beim Mac heisst) was für Eigenschaften die OpenVPN-Schnittstelle bekommen hast. Prüf auch mit dem route Kommando ob die Routen vom OpenVPN Server sauber übernommen wurden

 

[ubuntulinux]

TUN-Devices unterstützen keine Broadcasts. Schalt mal das TAP ein. Könnte gut sein, dass es dann funktioniert.

 

[bosk]

Ich habs jetzt mal so gemacht:

dev tap
tls-client

remote bosk-inch.dyndns.org 1194

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.178.1"
route 192.168.178.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"
ifconfig 192.168.178.1 255.255.255.0


pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

Leider kommt dann als Meldung immer:

2012-02-29 16:14:20 *Tunnelblick client.up.tunnelblick.sh: Sleeping for 4 seconds to wait for DHCP to finish setup.

Und dann bekomme ich nur ne APIA-Adresse

tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 1e:d8:1a:7e:e8:00 
	inet 10.0.8.6 netmask 0xa000805 broadcast 255.255.255.254
	inet 169.254.115.151 netmask 0xffff0000 broadcast 169.254.255.255
	open (pid 1533)

Irgendwas stimmt da einfach nicht...

 

[ubuntulinux]

Moment...

Wieso hast du

push "redirect-gateway def1"
push "dhcp-option DNS 192.168.178.1"
route 192.168.178.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"
ifconfig 192.168.178.1 255.255.255.0

in der Clientconfig? Die gehören in die Serverconfig. Zudem würde ich nur push "redirect-gateway" verwenden, das def1 weglassen. Stimmen TUN/TAP von Client/Server überein?

 

[bosk]

@ubuntulinux
Puh.. Wo finde ich denn das raus (wegen TUN/TAP)?
Hab hab den VPN-Server auf der DS installiert, die Konfiguration exportiert, und auf meinem Mac importiert...
Ich hab jetzt mal nur das
push "redirect-gateway" eingetragen.. gleiches ergebnis (ping auf IP funktioniert, auf Namen nicht)...

 

[bosk]

So, ich nochmal

Ich bin jetzt schon mal einen Schritt weiter..
Ich hab mir jetzt mal einen anderen VPN-Client installiert (Viscosity).. Nicht schlecht muß ich sagen.
Hier kann ich einstellen, dass die DNS-Einstellung über meine Fritzbox laufen, und mein DNS-Suffix (fritz.box) wird auch übernommen.. Das passt also, ich kann meine Geräte mit dem Namen pingen...

Dann gibts noch nen Haken "Gesamten Verkehr über die VPN-Verbindung senden".. Hier habe ich auch meine 192.168.178.1 eingetragen..

Und nun kommt mein Problem: Ich muß Routen vergeben: Ich hab zur Auswahl:
Route : Maske : Gateway : Metrik
(Ich kann mehrere eintragen).. Meine Frage an euch: Was muß ich für Routen vergeben?

Hier nochmal meine Netzwerkkonfiguration:

Fritzbox
IP: 192.168.178.1
Sub: 255.255.255.0
GW: 192.168.178.1

DS:
IP: 192.168.178.2
Sub: 255.255.255.0
GW: 192.168.178.1

DS VPN-Konfig:
IP: 10.0.8.0 - 10.0.8.255

Ich nehme an, ich brauch 2 Routen.. Aber ich hoffe, ihr könnt mir da weiterhelfen.. Jetzt kann ich zwar per Namen auf meine internen Geräte zugreifen, aber surfen tu ich nicht über meinen VPN...

Danke euch