ComputerBase Menü
Aktuelles

DNS Auflösung über OpenVPN funktioniert nicht

S

Sebastian2003

Lieutenant
Registriert
Sep. 2007
Beiträge
641
Hallo Leute,

ich habe hier ein OpenVPN Client unter Windows 10 am Laufen (Start mit Adminrechten). Wenn ich mich nun in unser Büronetz verbinden möchte, um die interne Seite aufzurufen, werde ich auf folgende Seite verwiesen: http://navigationshilfe1.t-online.de/dnserror?url=http://intern.****/ . Beim ersten Start funktionierte es etwa für 1 Minute, dann konnte der DNS wieder nicht aufgelöst werden. Jemand ne Idee woran es liegen könnte? redirect gateway wurde in der Config schon hinterlegt.

VG
 
Probiere bitte mal ein nslookup auf den Name und poste mal den Code den er ausspuckt. Ähnliche Probleme hatte ich vor kurzem auch mit den VPNs unserer Mitarbeiter.
 
Hast du die aktuelle Version von OpenVPN? DNS-Probleme nach einer gewissen Zeit unter Win 10 sind ein bekanntes Problem von älteren OpenVPN-Versionen.
 
C:\Users\Sebastian>nslookup -q=any intern.***
Server: speedport.ip
Address: fe80::1

Nicht autorisierende Antwort:
intern.*** internet address = 80.156.**.**
intern.*** internet address = 62.157.***.**

Edit: Ja neuste Version ist installiert (64bit) ich versuch mich mal mit der 32bit: Funktioniert nicht :-)
 
Zuletzt bearbeitet:
Also ich konnte es beheben in dem ich die Metriken der Netzwerkschnittstelle geändert habe. kannst du bei aufgebauter VPN Verbindung mal noch ein netstat-rn machen und die Ausgabe hierher posten.
 
C:\Users\Sebastian>netstat -n

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 10.10.10.236:51499 193.59.178.***:443 HERGESTELLT
TCP 10.10.10.236:51500 193.59.178.***:443 HERGESTELLT
TCP 10.10.10.236:51509 191.232.139.***:443 WARTEND
TCP 10.10.10.236:51529 89.163.159.***:443 SCHLIESSEN_WARTEN
TCP 10.10.10.236:51530 91.215.103.***:443 SCHLIESSEN_WARTEN
TCP 10.10.10.236:51532 204.79.197.***:443 WARTEND
TCP 10.10.10.236:51533 204.79.197.***:443 WARTEND
TCP 10.10.10.236:51534 204.79.197.***:443 WARTEND
TCP 10.10.10.236:51535 204.79.197.***:443 HERGESTELLT
TCP 127.0.0.1:25340 127.0.0.1:51286 HERGESTELLT
TCP 127.0.0.1:49732 127.0.0.1:65001 HERGESTELLT
TCP 127.0.0.1:51286 127.0.0.1:25340 HERGESTELLT
TCP 127.0.0.1:65001 127.0.0.1:49732 HERGESTELLT
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51393 [2a00:1450:400c:***::bc]:443 HERGESTELLT
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51505 [2a00:1450:4001:***::200e]:443 WARTEND
TCP [2003:7a:a931:3046:4152:2fd:67a1:***:51508 [2a00:1450:4001:***::200e]:443 HERGESTELLT
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51510 [2a02:26f0:2c:***::6bb]:80 WARTEND
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51511 [2a02:26f0:ce::***:9052]:80 WARTEND
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51516 [2a00:1450:4008:800::***]:443 HERGESTELLT
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51517 [2a00:1450:4001:816::***]:443 HERGESTELLT
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51518 [2a00:1450:4008:803::***:443 HERGESTELLT
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51528 [2a01:488:2000:201::***]:443 HERGESTELLT
TCP [2003:7a:a931:3046:4152:2fd:67a1:***]:51531 [2a00:1450:4001:80c::***]:443 HERGESTELLT

die 10.10.10.* ist das interne Netz !
 
C:\Users\Sebastian>netstat -rn
===========================================================================
Schnittstellenliste
5...bc 5f f4 de 6b 9b ......Intel(R) Ethernet Connection I217-V
3...00 ff 56 98 a4 c1 ......TAP-Windows Adapter V9
1...........................Software Loopback Interface 1
8...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
7...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
4...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.236 20
10.10.10.0 255.255.255.0 Auf Verbindung 10.10.10.236 276
10.10.10.236 255.255.255.255 Auf Verbindung 10.10.10.236 276
10.10.10.255 255.255.255.255 Auf Verbindung 10.10.10.236 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
129.217.223.250 255.255.255.255 192.168.2.1 192.168.2.102 10
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.102 266
192.168.2.102 255.255.255.255 Auf Verbindung 192.168.2.102 266
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.102 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.102 266
224.0.0.0 240.0.0.0 Auf Verbindung 10.10.10.236 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.2.102 266
255.255.255.255 255.255.255.255 Auf Verbindung 10.10.10.236 276
===========================================================================
Ständige Routen:
Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
If Metrik Netzwerkziel Gateway
5 26 ::/0 fe80::1
1 306 ::1/128 Auf Verbindung
7 306 2001::/32 Auf Verbindung
7 306 2001:0:5ef5:79fd:1c8c:22c7:7e26:2005/128
Auf Verbindung
5 26 2003:7a:a931:3046::/64 Auf Verbindung
5 266 2003:7a:a931:3046:25b1:b268:d447:cc96/128
Auf Verbindung
5 266 2003:7a:a931:3046:4152:2fd:67a1:c1cf/128
Auf Verbindung
5 266 fe80::/64 Auf Verbindung
3 276 fe80::/64 Auf Verbindung
7 306 fe80::/64 Auf Verbindung
7 306 fe80::1c8c:22c7:7e26:2005/128
Auf Verbindung
5 266 fe80::25b1:b268:d447:cc96/128
Auf Verbindung
3 276 fe80::4df7:db61:1b84:bf43/128
Auf Verbindung
1 306 ff00::/8 Auf Verbindung
5 266 ff00::/8 Auf Verbindung
7 306 ff00::/8 Auf Verbindung
3 276 ff00::/8 Auf Verbindung
===========================================================================
Ständige Routen:
Keine

C:\Users\Sebastian>
 
redirect gateway biegt ja nur das Standardgateway in der Routingtabelle um. Das hat erstmal nichts mit dem DNS zu tun. Beispiel: Wenn du als DNS 8.8.8.8 eingestellt hast, dann würde ein nslookup ohne redirect gateway über den lokalen Internetrouter ins www geroutet werden. Ist redirect gateway aktiv, dann würde dieselbe Anfrage an 8.8.8.8 über das VPN ins Büro geroutet werden und von dort über den Internetrouter ins www. In beiden Fällen hat 8.8.8.8 aber absolut keine Ahnung von deinen internen IPs.

Bei deinem nslookup wird ein Speedport als DNS gefragt. Wenn du aber interne IPs aus deinem Netzwerk hinter dem VPN haben möchtest, dann darfst du nicht den lokalen DNS fragen, weil der keine Ahnung von dem anderen Netzwerk hat.

Versuch mal Folgendes:

Code: 
nslookup interne.seite
nslookup interne.seite vpn.ip.vom.vpn.server
nslookup interne.seite lan.ip.vom.dns.im.büro

Damit fragst du explizit bestimmte DNS-Server nach einer IP, einmal den default-dns (in der Regel der lokale Internetrouter), einmal den VPN-Server am anderen Ende (sofern der DNS dort ein DNS server läuft) bzw. den Internetrouter im Büro (zB die dortige Fritzbox bzw. den Windows- oder Linux-Router).

Wenn #2 bzw. #3 funktionieren, kannst du in der OpenVPN-Config explizit einen DNS pushen (server.conf) oder am client individuell einstellen (client.conf). Anbei ein Beispiel, das explizit den google-public-dns in der server.conf pusht (1) bzw. individuell in der client.conf einstellt (2).

Code: 
push "dhcp-option DNS 8.8.8.8"
dhcp-option DNS 8.8.8.8
 
Zuletzt bearbeitet:
also über nslookup intern.*** 10.10.10.1 bekomme ich eine Antwort. Mit Eintragung von:
push "dhcp-option DNS 10.10.10.1"
dhcp-option DNS 10.10.10.1

in die Config, funktioniert es leider immer noch nicht ;-(

Komisch ist, dass das ganze für 1 Minute funktioniert hat (auch ohne Änderungen) und dann nicht mehr..
 
Zuletzt bearbeitet:
Gib deiner Netzwerkschnittstelle bitte mal testweise eine Metrik von 300.
Siehe Beispielbild metrik.gif
Danach ein ipconfig /flushdns und nochmal testen.
 
Eigentlich sollte es funktionieren, läuft bei mir genau so einwandfrei.

Code: 
# server.conf
# pusht den angegebenen DNS zu den clients, sofern dort -client bzw. -pull aktiv ist

push "dhcp-option DNS 10.10.10.1"

Code: 
# client.conf
# stellt am client explizit den DNS ein
dhcp-option DNS 10.10.10.1


Schau mal genau ins Log beim Tunnelaufbau. Evtl. musst du verb=3+ setzen. Es kann zB sein, dass OpenVPN Änderungen am DNS blockiert (Stichwort: script security). Prüfe vor bzw. nach Verbindugsaufbau mit "nslookup" welchen DNS er verwendet. Mit "ipconfig /all" kannst du auch schauen ob der DNS für den VPN-Adapter korrekt eingetragen wurde.
 
@Icki du meinst die Tunnelnetzwerkschnittstelle? Diese habe ich nun auf 300 gestellt, keine Verbesserung!

Code: 
Wed Aug 10 12:17:01 2016 OpenVPN 2.3.11 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016
Wed Aug 10 12:17:01 2016 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Aug 10 12:17:01 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Wed Aug 10 12:17:01 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Aug 10 12:17:01 2016 Need hold release from management interface, waiting...
Wed Aug 10 12:17:01 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Aug 10 12:17:01 2016 MANAGEMENT: CMD 'state on'
Wed Aug 10 12:17:01 2016 MANAGEMENT: CMD 'log all on'
Wed Aug 10 12:17:01 2016 MANAGEMENT: CMD 'hold off'
Wed Aug 10 12:17:01 2016 MANAGEMENT: CMD 'hold release'
Wed Aug 10 12:17:08 2016 MANAGEMENT: CMD 'username "Auth" "sebastian.*****"'
Wed Aug 10 12:17:08 2016 MANAGEMENT: CMD 'password [...]'
Wed Aug 10 12:17:08 2016 WARNING: No server certificate verification method has been enabled.  See [url]http://openvpn.net/howto.html#mitm[/url] for more info.
Wed Aug 10 12:17:08 2016 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Aug 10 12:17:08 2016 UDPv4 link local: [undef]
Wed Aug 10 12:17:08 2016 UDPv4 link remote: [AF_INET]***.***.***.***:1194
Wed Aug 10 12:17:08 2016 MANAGEMENT: >STATE:1470824228,WAIT,,,
Wed Aug 10 12:17:08 2016 MANAGEMENT: >STATE:1470824228,AUTH,,,
Wed Aug 10 12:17:08 2016 TLS: Initial packet from [AF_INET]***.***.***.***:1194, sid=7656b559 ec897036
Wed Aug 10 12:17:08 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Aug 10 12:17:08 2016 VERIFY OK: depth=1, C=IT, O=efw, CN=efw CA
Wed Aug 10 12:17:08 2016 VERIFY OK: depth=0, C=IT, O=efw, CN=127.0.0.1
Wed Aug 10 12:17:08 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Aug 10 12:17:08 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Aug 10 12:17:08 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Aug 10 12:17:08 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Aug 10 12:17:08 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Aug 10 12:17:08 2016 [127.0.0.1] Peer Connection Initiated with [AF_INET]***.***.***.***:1194
Wed Aug 10 12:17:09 2016 MANAGEMENT: >STATE:1470824229,GET_CONFIG,,,
Wed Aug 10 12:17:10 2016 SENT CONTROL [127.0.0.1]: 'PUSH_REQUEST' (status=1)
Wed Aug 10 12:17:10 2016 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.10.10.1,route-gateway 10.10.10.1,route-gateway 10.10.10.1,ping 8,ping-restart 30,ifconfig 10.10.10.236 255.255.255.0'
Wed Aug 10 12:17:10 2016 OPTIONS IMPORT: timers and/or timeouts modified
Wed Aug 10 12:17:10 2016 OPTIONS IMPORT: --ifconfig/up options modified
Wed Aug 10 12:17:10 2016 OPTIONS IMPORT: route-related options modified
Wed Aug 10 12:17:10 2016 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Aug 10 12:17:10 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Aug 10 12:17:10 2016 MANAGEMENT: >STATE:1470824230,ASSIGN_IP,,10.10.10.236,
Wed Aug 10 12:17:10 2016 open_tun, tt->ipv6=0
Wed Aug 10 12:17:10 2016 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{5698A4C1-463E-48D5-B2C0-1BA9F6ACB356}.tap
Wed Aug 10 12:17:10 2016 TAP-Windows Driver Version 9.21 
Wed Aug 10 12:17:10 2016 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.10.236/255.255.255.0 on interface {5698A4C1-463E-48D5-B2C0-1BA9F6ACB356} [DHCP-serv: 10.10.10.0, lease-time: 31536000]
Wed Aug 10 12:17:10 2016 Successful ARP Flush on interface [3] {5698A4C1-463E-48D5-B2C0-1BA9F6ACB356}
Wed Aug 10 12:17:15 2016 TEST ROUTES: 0/0 succeeded len=0 ret=1 a=0 u/d=up
Wed Aug 10 12:17:15 2016 Initialization Sequence Completed
Wed Aug 10 12:17:15 2016 MANAGEMENT: >STATE:1470824235,CONNECTED,SUCCESS,10.10.10.236,***.***.***.***
Ich habe garkeine Client config, sondern nur eine Konfigurationsdatei in OpenVPN Config, die nun wie folgt aussieht:
Code: 
#OpenVPN Server conf
client
dev tap
proto udp
remote ***.***.***.*** 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca lwt-gateway.pem
auth-user-pass
comp-lzo
verb 3
push "dhcp-option DNS 10.10.10.1"
Ipconfig spuckt mir für den TAP Adapter nun folgendes aus:
Code: 
Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physische Adresse . . . . . . . . : 00-FF-56-98-A4-C1
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::4df7:db61:1b84:bf43%3(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.10.10.236(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 10. August 2016 12:17:10
   Lease läuft ab. . . . . . . . . . : Donnerstag, 10. August 2017 12:17:10
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 10.10.10.0
   DHCPv6-IAID . . . . . . . . . . . : 50397014
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1E-F4-DB-CE-BC-5F-F4-DE-6B-9B
   DNS-Server  . . . . . . . . . . . : 10.10.10.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
 
Zuletzt bearbeitet:
Korrigiert: es funktioniert doch nicht! Es hat wieder kurzzeitig funktioniert, dann wieder nicht :-)
 
Wie du hast keine Client-Config? Ohne geht's nicht. Unter C:\programme\openvpn\config liegen normalerweise die configs, bzw. unter Windows meist .ovpn. Es gibt immer eine config, auch wenn sie evtl. woanders abgelegt ist. Sonst wüsste OpenVPN ja nicht mal mit welcher Server-IP man sich verbinden möchte.

Bei dir ist aber etwas nicht ganz richtig. Eine "push" Anweisung hat in einem "client" nichts zu suchen. "client" beinhaltet "pull", was soviel heißt wie "Wenn vom Server ein push kommt, nimm ihn an". Der Client pusht nicht. Die Zeile kannst du beim Client getrost löschen, wird im Client mode eh ignoriert bzw. produziert im worst case einen Fehler. Wenn, dann wie oben beschrieben die dhcp-option ohne push.
Wie dem auch sei, laut Log kommt vom Server ein push dns und Windows trägt ihn auch korrekt ein.

Obwohl du es nicht gepostet hast, gehe ich davon aus, dass Windows bei "nslookup google.de" nach wie vor den lokalen DNS, den Speedport fragt. Wenn das VPN aufgebaut wurde, gibt es zwei DNS-Einträge - einen für die LAN-Verbindung und einen für die VPN-Verbindung (zu sehen unter ipconfig /all). Welchen soll Windows nun als primären DNS nehmen?


Netzwerkcenter --> Adapter settings --> Advanced --> Advanced Settings..

Hier schiebst du den VPN-Adapter ganz nach oben. Anschließend wird Windows den DNS von der VPN-Verbindung als erstes nehmen. Dann sollte "nslookup google.de" auch die 10.10.10.1 fragen anstelle des Speedports.
 
Unbenannt.PNG

Da habe ich schon nachgeschaut, hier ist Ethernet 2 der VPN Adapter! Trotzdem verwendet er im nslookup immer noch den Speedport....

C:\Users\Sebastian>nslookup google.de
Server: speedport.ip
Address: fe80::1

Nicht autorisierende Antwort:
Name: google.de
Addresses: 2a00:1450:4001:812::2003
216.58.214.99
 
Das liegt vermutlich daran, dass du IPv6 aktiviert hast. Wenn du es nicht brauchst, schalte IPv6 es ab. Ansonsten musst du einstellen, dass IPv4 vor IPv6 bevorzugt wird, denn standardmäßig verwendet Windows IPv6, wenn es kann..

Hier steht wie es geht: klick
 
Sehr gut es funktioniert mit abgeschalteten IPv6! Ich danke euch beiden für eure Hilfe :-)
 
Dafür ist das Forum da ;-)

Viel Spaß mit dem VPN!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Pfandfinder
OpenVPN Unter ubuntu: Komme auf keine website
Antworten
14
Aufrufe
2.158
Raijin
Raijin
S
OpenVPN verbindet erfolgreich aber wechselt nicht die IP
Antworten
9
Aufrufe
8.192
Raijin
Raijin
MetalForLive
DNS Auflösung klappt nicht in neuem VLAN, DNS Server Pingbar (Sophos UTM)
2
Antworten
21
Aufrufe
7.855
Raijin
Raijin
O
AD / DNS / NGINX Subdomains funktionieren nicht
Antworten
1
Aufrufe
1.046
Alkor35
A
KingJoshii1000
OpenVPN Neustart, neues Netzwerk unter Windows
Antworten
9
Aufrufe
3.113
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz