OpenVPN - IPv6 DNS - Domain

Foradh

Benutzer
Mitglied seit
13. Jun 2019
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Hallo zusammen,
ich habe aktuell ein Problem mit OpenVPN in verbindung mit IPv6.

In meiner aktuellen Konfiguration verwende ich eine Synology DS1019+ die als Domain Server mit "Sonology Directoy Server, DHCP Server, DNS Server" läuft.
Hierbei wird von 2 Benutzern der Zugang über OpenVPN ermöglicht. Hierbei läuft der OpenVPN Server auf der Synology und es wird per OpenVPN Client die Verbindung zur Domain hergestellt.

Einstellungen in der OpenVPN Config:
Code:
dev tun
tls-client
remote XXX.XXX.XXX.XXX XXX
dhcp-option DNS 192.168.3.2
dhcp-option DOMAIN XXX.local
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----

</ca>

Die Verbindung funktioniert hierbei einwandfrei unter der Bedingung, dass IPv6 deaktiviert ist.
Zur Erklärung: Hinter der Synology sitzt eine Fritzbox 5590 bei der ebenfalls IPv6 deaktiviert ist
Screenshot 2023-04-06 092136.jpg

Das Problem:
Falls der Client nun in einem Netzwerk arbeiten will in dem beispielsweise eine Fritzbox mit aktiviertem IPv6 sitzt, funktioniert die Verbindung zur Domain meist nicht, da ja zusätzlich zum IPv4 DNS ein IPv6 DNS vorhanden ist und somit die Namensauflösung nicht anständig funktioniert.

Nun wollte ich fragen ob sich in der OpenVPN Konfiguration etwas anpassen lässt, dass den DNS auf IPv4 "zwingt".
Oder wäre es möglich das ganze so zu konfigurieren dass IPv4 und IPv6 parallel in der Konfiguration vorhanden ist? Ich habe bisher allerding leider keine Berühungspunkte mit IPv6 und bin daher etwas planlos.

Beste Güße und schonmal vielen Dank
Foradh
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Generell solltest du überlegen ob du dein VPN nicht lieber auf die Fritz!Box laufen lassen willst. WireGuard wird die bisherigen VPN-Protokolle ablösen.
Ich würde dir raten das aktuelle Labor auf der 5590 zu installieren oder notfalls bis zum Release zu warten. Dann wird es aber Zeit, dein VPN noch einmal zu überdenken und anzupassen. Mit WireGuard wird vieles einfacher!
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
WireGuard wird die bisherigen VPN-Protokolle ablösen.
So toll Wireguard auch ist, aber das bezweifel ich sehr stark. Das wird vielleicht im privaten immer größer, aber in Unternehmen bleibt es bei openVPN. Wenn man in unterschiedlichen Netzen unterwegs ist und trotzdem VPN braucht, dann kommt man auch nicht an openVPN vorbei. Du kannst openVPN über TCP und 443 laufen lassen. Dies wird in keinem Netz geblockt. Wireguard verwendet eigene Ports und die könnten geblockt sein.
Wenn du z.B. beim Kunden arbeitest dann ist das auch keine Seltenheit, dass viele Ports gesperrt sind. Dann bringt einem Wireguard leider nichts.
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.167
Punkte für Reaktionen
115
Punkte
83
Weswegen wird eigentlich immer von Wireguard geschwärmt. Ich hatte mich da deswegen drauf gefreut.
Ja, es ist schnell. Aber die Clients haben keinen Passwort Schutz. Es kann also jeder der Zugriff auf dem PC hat sich bei mir zu Hause einwählen.
Z.B. auf dem Arbeits PC deswegen nicht nutzbar.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Die Ports kannst du auch manuell ändern/anpassen. OpenVPN ist angestaubt und alt backend. Wäre ja nicht das erste Mal, wo Unternehmen den Zug verpassen. Das heißt nicht, dass man jetzt immer auf das neueste wechseln soll, aber auch nicht immer diese "haben wir schon immer so gemacht" Mentalität. Wer weis was es noch in der Richtung gibt oder geben wird. Auch IPSec (aktuelle Version v2) wird in Unternehmen genutzt. Dieses VPN bietet die Fritz!Box ebene falls an! Damit sollte man als Enduser auch gut ausgerüstet sein und mit WireGuard noch ein bisschen besser. Was natürlich nicht zu entschuldigen ist: die alte IPSec Version 1 <7.50. Dort fing AVM auch erst an zu arbeiten, nachdem diese Version in Android als unsicher deklariert wurde und nicht mehr zur Auswahl gestanden hatte.

Wenn wir schon in den Professionen Bereich als Grundlage reden, sollte aber auch keine Fritz!Box als Router eingesetzt werden. Da sollte eher ein richtiger Router oder Firewall Einzug halten. Man kann ja nicht das eine begründen und das andere durchgehen lassen.

@Uwe96, Das sollte du mit dem PC kont absichern. Deine Dateien/Bilder etc. werden ja auch nicht mit einem extra Passwort geschützt.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Wireguard ist aber UDP only. Es wird keine TCP Verbindung hergestellt. UDP ist aber auch eher gesperrt. Ich habe auch nie behauptet, dass man im Unternehmen eine Fritzbox einsetzt. Und OpenVPN ist nun mal ein Industriestandard. Wireguard ist nicht die Lösung für Alle.
Privat nutze ich auch Wireguard, aber beruflich hätte ich damit ein Problem. Ich würde nichts von unserer Infrastruktur erreichen können, wenn ich beim Kunden sitze. Das hat nichts mit "Das haben wir schon immer so gemacht".

Edit: Ich weiß nicht wie es aktuell aussieht, aber Wireguard logt auch viel mehr als die anderen Protokolle. Es wurden sämtliche IPs aufgezeichnet die man besucht hat.
 
Zuletzt bearbeitet:

Foradh

Benutzer
Mitglied seit
13. Jun 2019
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Danke für eure Antworten, ich habe tatsächlich schon die Laborfirmware auf der 5590 und mit Wireguard eine VPN Verbindung zzu einer 2. Fritzbox in einer Außenstelle.
Ich nutze OpenVPN zusätzlich auf insgesamt 15 Tablets/Handys und ich wollte nicht zu viele Geräte auf die Fritzbox packen. Gerade weil man im professionellen Bereich ja eigentlich nicht auf eine Fritzbox setzen sollte (aber nachdem der alte Cisco Router den Geist aufgegeben hatte bin ich mit der Fritzbox bisher eigentlich ganz zufrieden)
Was ich bisher noch nicht verstanden habe ist ob und wie man bei Wireguard die Konfiguration für IPv4/IPv6 DNS einfacher konfigurieren kann als mit OpenVPN?

Zum generellen Verständnis...würde ich jetzt im Firmennetzwerk IPv6 auf der Fritzbox aktivieren müsste ich doch bei folgender Einstellung die IPv6 Adresse der Synology eingtagen richtig?
Screenshot 2023-04-06 105519.png
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Generell würde sich sehr lange auf die bestehenden VPN ausgeruht. Auch dort war nicht alles Gold, nur weil es funktioniert. Es hätte eventuell eine viel frühere Weiterentwicklung stattfinden müssen. DAS mit UDP stimmt natürlich. Auch muss WireGuard nicht die Endlösung sein.

Warum du beim Kunden nicht in deinen VPN kommst, verstehe ich nicht, denn es setzt natürlich voraus, das du denn im Kundennetzwerk bist. So etwas sich ich kritisch. Ich würde es nicht als Kunde dulden. Selbst als Dienstleister kannst du deine einige Datenverbindung nutzen, um deinen Server zu erreichen. Ich habe mich auch immer gegen eine Verwendung zu fremden Server und Firmennetzwerken ausgesprochen. Es könnte dadurch einen großen Schaden entstehen und natürlich ist der Verantwortlich auch noch in der Haftung zu nehmen. Das muss nicht unbedingt der Dienstleister selbst sein, es würde eine Infektion, Verschlüsselung oder Datenabfluss reichen

Ist aber meine persönliche Meinung, da ich selbst sehr kritisch bin.

@Foradh, du kannst ruhig viel mehr Geräte auf der Fritz!Box laufen lassen. AVM hat einmal von etwas 20-25 gleichzeitigen Verbindungen gesprochen. Ich sehe da kein Problem.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Wenn ich beim Kunden sitze und an seiner Software arbeite und die Server vom Kunden gestellt sind, dann muss ich in seinem Netz sein. Natürlich in einem seperaten Netz. Da wird dann sehr viel blockiert. Es sind nur die standard Ports offen/erlaubt. Das heißt Wireguard wird blockiert. Wenn ich jetzt aber auf Resourcen von meinen Arbeitgeber zugreifen muss, dann brauche ich dafür VPN. Mit OpenVPN ist das dann kein Problem. Der kann über TCP und 443 laufen. Das wird nie geblockt. Und nein meine eigene Datenverbindung werde ich für sowas bestimmt nicht nutzen. Je nach räumlichkeiten hat man da schlechten Empfang und dann kann man nicht vernünftig arbeiten. Das ist keine Seltenheit, dass man beim Kunden in einem Gastnetz oder extra Netz für externe Leute drin ist.

Ich finde Wireguard toll, aber es ist nicht immer die beste Wahl für jeden Einsatzzweck. Wenn sie das noch mal einbauen könnten, dann wäre das toll. Wenn es um Anonymität geht, dann ist Wireguard auch leider das falsche, weil es keine dynamische IP Zuweisung kann. Man bekommt immer die selbe IP und somit ist man nicht mehr wirklich Anonym unterwegs. Für mich jetzt nicht relevant im privaten Bereich, aber wenn man in China oder ähnlichem Land lebt, dann ist das für einen keine Alternative.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das mit dem "schnellen" 5G Netz sollte doch eine Verbindung zu deinem Arbeitgeber keine Probleme mehr sein. Warum sollte ich als Kunde dir ein Gastnetzwerk bereitstellen? Ich denke nicht, dass deine Dienstleistung sehr günstig sind. Du kaust dir ja auch kein Auto und VW sagt zu dir: "du noch 20m² Blech" abgeben. Aber das ist ein anderes Thema. Natürlich könne wir jetzt endlos lang diskutieren, aber wir sind und ins soweit einig.

Wireguard (Fritzbox) würde ich jetzt nicht als Anonymisierungsdienst ansehen. Dort gibt es andere Anwendungen, die auch jeder User zu Hause bereitstellen kann. Und was China angeht müssen wir aufpassen, dass wir nicht selbst abgleiten in D und EU! Auch hier wird immer wieder versucht viel auszuhebeln unter einem falschen Vorwand. Bevor wir uns über andere Länder brüskieren, sollten wir erst einmal bei uns selber anfangen! Nachher will es wieder keiner gewesen sein.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Warum sollte ich als Kunde dir ein Gastnetzwerk bereitstellen?
Damit ich deine Infrastruktur überhaupt erreichen kann? Wenn du willst, dass ich vor Ort arbeite und nicht vom Homeoffice/Büro, dann musst du sowas bereitstellen. Du kannst mich nicht zu dir ins Büro bestellen und nichts stellen. Selbst wenn ich mein eigenes Netz mit habe, habe ich immer noch kein Zugriff auf die Infrasturktur. Wenn man das per VPN oder so freigeben muss, dann kann ich auch wo anders arbeiten. Aber ja du hast recht, dass ist ein anderes Thema.

Mir ging es auch allgemein und Wireguard und nicht nur auf der Fritzbox. Gibt ja viele die ein VPN einsetzen um anonym zu sein.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Verstehe ich nicht, wenn du die Software/Hardware konfigurieren, oder anpassen musst (als Dienstleister), musst du Zugang zu meinem internen Netz haben, das ist klar. Aber warum musst du dich zu deinem Netzwerk verbinden und das noch über meine Leitung? Somit bist du mit beiden Netzen verbunden und könntest Daten abfischen. Du solltest natürlich schon dein Equipment und Software mitbringen, um deine geplante Aufgabe vollständig durchzuführen. Dafür wird dein Chef den Vorortseinsatz auch in Rechnung stellen. Es mag sein, dass ich es kritischer sehe als alle anderen.

Das soll es aber auch von mir zu diesem OT Thema sein und wir wollen wieder zurück zum OT.
 

Foradh

Benutzer
Mitglied seit
13. Jun 2019
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Alles klar, nochmal danke für euren Input!
Was genau müsste ich denn bei Wireguard einstellen damit die Clienten egal ob IPv4/IPv6 immer den DNS Server der Synology zugewiesen bekommen, um keine Probleme mit der Damain zu bekommen?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Bezogen auf die Fritzbox?
Du trägst bei der Fritz!Box für IPv4 und IPv6 die DS als DNS-Server ein.

Als DNS-Server betreibst du den Synology-DNS, oder AdGuard/Pi-Hole?
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Ich habs so verstanden, dass er den Synology DNS betreibt.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das sollte ja kein Problem sein, da alle gleich arbeiten bzw. in der Fritz!Box der gleichen Einstellung haben. Beim Synology DNS-Server ist höchstens noch der Ausgangsserver interessant.
 

Foradh

Benutzer
Mitglied seit
13. Jun 2019
Beiträge
22
Punkte für Reaktionen
1
Punkte
3
Genau ich verwende den Synology DNS Server.
Jedoch musste ich ja bei OpenVPN zwingend die folgenden Optionen setzen damit der Domainname anständig aufgelöst wurde

Code:
dhcp-option DNS 192.168.3.2
dhcp-option DOMAIN XXX.local

Und hier hatte ich dies eben nur für IPv4 konfiguriert.
Wie sage ich nun bei Wireguard dem Client, dass er nicht den DNS Server des lokalen Routers verwenden soll, sondern sowohl bei IPv4 als auch bei IPv6 den DNS der Synology bezieht?

Zusätzlich ist mir aufgefallen, dass ich schon beim erstellen der IPv6 Adresse für die Synology scheitere.
Screenshot 2023-04-06 135245.jpg

Wie definiere ich denn eine passende IPv6 Adresse im ersten Feld.
In Standard-Gateway muss ja die IPv6 Adresse von der Fritzbox richtig?
Und bei bevorzugter DNS Server wieder die Adresse aus dem obersten Feld?

o_O mit IPv4 war das alles für mich noch schön leicht verständlich
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
Stell einfach IIPv6-Setup auf "Automatisch".
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat