VPN - DNS konfigurieren

[Rochus]

Hey,

ich habe folgendes Anliegen.
Ich habe eine VPN Verbindung zu Netzwerk meines Arbeitgebers und würde gerne meine eigene DNS Konfiguration benutzen, damit interne Adressen wie NAS etc. auch richtig funktionieren.

Bislang habe ich mit mit Linux gearbeitet und nach dem Aufbau der VPN Verbindung Routen und DNS Server mit einem Script angepasst.
In der Hosts Datei hatte ich die relevanten URLs mit den IPs des internen Netzes stehen.
Hat super funktioniert.

Nun arbeite ich in Windows und hätte das dort gerne auch so gelöst. Ich benutzte OpenVPN.
Die Hosts Datei ist angepasst und die Routen stimmen auch. Allerdings wird der DNS des Arbeitgebers benutzt.
Wenn ich im VPN Interface den DNS manuell setze wird das dennoch nicht benutzt.
Die Serverseitige Push DNS Funktion ist vermeintlich nicht gesetzt.

Wie kann ich den DNS aus dem System bekommen?

Beste Grüße.

 

[Coca_Cola]

Was sagt den die IT deines Arbeitgebers dazu? Vlt können die dir das kurz konfigurieren?

 

[Rochus]

Auf dem kurzen Dienstweg haben wir spontan keine Lösung dafür gefunden.

 

[Raijin]

Die Hosts Datei ist angepasst und die Routen stimmen auch. Allerdings wird der DNS des Arbeitgebers benutzt

Die hosts Datei wird immer als (fast) erstes geprüft, egal ob Linux oder Windows. Etwas vereinfacht dargestellt sieht das so aus:

1. Ist der Name mein eigener?
2. Habe ich etwas passendes in meiner hosts?
3. Was sagt der primäre DNS?
4. Was sagt der sekundäre DNS?
5. Kann ich den Namen via NetBIOS auflösen?

Das ganze wird aber noch etwas komplizierter, wenn DNS-Suffixe im Spiel sind.


Will heißen: Wenn in der hosts ein passender Eintrag gefunden wurde, wird niemals ein DNS-Request abgesetzt, VPN hin oder her. Stelle also sicher, dass die hosts auch richtig gepflegt ist und berücksichtige ggfs die DNS-Suffixe wie zB fritz.box bei der Fritzbox. Für den Hostnamen "myNAS" sollte man daher idealerweise sowohl den reinen Hostnamen sowie den FQDN eintragen, zB "myNAS.fritz.box". Sonst kann es bei den DNS-Suffixen gegebenenfalls zu solchen Fehlern führen, weil der FQDN nicht aufgelöst werden kann.

192.168.1.234     myNAS     myNAS.fritz.box

Das Suffix bzw. die Domain muss natürlich an das eigene Netzwerk angepasst werden (siehe ipconfig /all ganz oben

 

[BlubbsDE]

Ist das Deine Win Machine oder die Deines Arbeitgebers? Wenn letzteres, dann solltest Du da in der Richtung gar nichts ändern können. Wenn die ordentlich eingerichtet wurde.

 

[Rochus]

Danke @Raijin , super Informationen. Dann "wird" der Arbeitgeber DNS praktisch auch nicht benutzt. Die Hosts Einträge sind umfassend und funktionieren.

Dennoch stellt sich mir die Frage, wie ich ihn den DNS aus dem System bekomme. In Linux kann man ihn einfach aus der resolv.conf schmeissen. In welchen Konfigurations-dateien/einstellungen geschieht das in Windows? Wo kann ich das prüfen?

FYI: es ist mein Rechner

 

[PhilAd]

Wenn du OpenVPN benutzt und eine Konfiguration übergebügelt bekommst kannst du sie im Config file ignorieren:
pull-filter ignore "dhcp-option DNS"
Wenn sie mit einem andere Befehl kommt, kannst du das einfach anpassen. Am Besten in Abstimmung mit eurer IT, weil die wissen ja wie euch das 'aufgedrückt' wird.

 

[Rochus]

Das hatte ich auch schon manuell so versucht. Dennoch taucht der DNS im System auf.

#ignore pushed dns
pull-filter ignore "dhcp-option DNS"

#DNS
dhcp-option DNS 192.168.188.1

 

[Bob.Dig]

Unabhängig davon würde ich in einer VM "arbeiten".

 

[nosti]

Moin,

es kann auch sein das per Client Overwrite deine Maschine gezwungen wird, sämtlichen Verkehr über den VPN-Endpunkt zu routen. Somit gehen auch Anfragen ans "normale Internet" immer über den VPN und somit auch an die Firewall.
Da nützen dir auch manuelle Hosts-Datei einträge nichts.
Was sagt denn deine Routing-Tabelle?

Grüße

 

[Rochus]

Der Client Overwrite ist serverseitig nicht aktiviert. Der Traffic wurde korrekt über die Routen zwischen VPN Interface und dem normalen Interface aufgeteilt. Ich wollte nur den vom VPN Server gepushten DNS weghaben.

Ich habe noch die richtigen Hinweise aus der IT Abteilung bekommen.

Mit netsh liess sich das nach dem Aufbau der Verbindung ändern:

PS C:\Users\XXX> netsh interface ip set ?

Folgende Befehle sind verfügbar:

Befehle in diesem Kontext:
set address    - Legt IP-Adresse oder Standardgateway für Schnittstelle fest.
set compartment - Ändert die Depotkonfigurationsparameter.
set dnsservers - Richtet DNS-Servermodus und -adressen ein.
set dynamicportrange - Ändert Portbereich, der für dynamische Portzuweisung
                       verwendet wird.
set global     - Modifiziert globale allgemeine Konfigurationsparameter.
set interface  - Ändert Schnittstellenkonfigurationsparameter für IP.
set neighbors  - Legt eine Nachbaradresse fest.
set route      - Modifiziert Routeparameter.
set subinterface - Ändert Konfigurationsparameter der Unterschnittstelle.
set winsservers - Richtet WINS-Servermodus und -adressen ein.

PS C:\Users\XXXX> netsh interface ip set dnsservers
Mindestens ein erforderlicher Parameter wurde nicht angegeben.
Überprüfen Sie die erforderlichen Parameter und geben Sie sie erneut ein.
Ungültige Syntax. Weitere Informationen finden Sie in der Hilfe des Befehls.

Syntax: set dnsservers [name=]<Zeichenfolge> [source=]dhcp|static
             [[address=]<IP-Adresse>|none]
             [[register=]none|primary|both]
             [[validate=]yes|no]

Parameter:

      Markierung     Wert
      name         - Name oder Index der Schnittstelle
      source       - Einer der folgenden Werte:
                     dhcp: DHCP dient als Quelle für die Konfiguration von
                           DNS-Servern für die angegebene Schnittstelle.
                     static: Die lokale statische Konfiguration dient als
                             Quelle für die Konfiguration von DNS-Servern.
      address      - Einer der folgenden Werte:
                     <IP-Adresse>: IP-Adresse eines DNS-Servers
                     none: Die Liste der DNS-Server wird gelöscht.
      register     - Einer der folgenden Werte:
                     none: Die dynamische DNS-Registrierung wird deaktiviert.
                     primary: Die Registrierung erfolgt ausschließlich unter
                              dem primären DNS-Suffix.
                     both: Die Registrierung erfolgt sowohl unter dem primären
                           DNS-Suffix als auch unter dem
                           verbindungsspezifischen Suffix.
      validate     - Gibt an, ob die DNS-Servereinstellung
                     überprüft wird. Der Standardwert lautet "yes".

Hinweise: Sie können für die DNS-Serverkonfiguration entweder DHCP oder den
          statischen Modus festlegen. Wenn für "source" der Wert "static"
          festgelegt ist, ist die Option "addr" verfügbar, mit der Sie eine
          statische Liste von DNS-Server-IP-Adressen für die Schnittstelle
          konfigurieren können.
          Wenn für "validate" der Wert "yes" festgelegt ist, wird der soeben
          festgelegte DNS-Server überprüft.

Beispiele:

       set dnsservers name="Verkabelte Ethernetverbindung" source=dhcp
       set dnsservers "Verkabelte Ethernetverbindung" static 10.0.0.1 primary

Ich habe dann einfach einen neuen statischen DNS für die Verbindung festgelegt:

C:\WINDOWS\system32> netsh interface ip set dnsservers name="Ethernet 4" static 192.168.188.1 primary

Dann werden sowohl Primary als auch Secondary überschrieben.