[Frage] Eigene DNS Server per FritzBox VPN nutzen

[Shark88]

Hallo zusammen,

mit der aktuellen Fritz!OS Version ist es ja möglich eigene DNS Server für IPv4 und IPv6 im lokalen LAN per DHCP bekannt zu geben (http://avm.de/service/fritzbox/frit...65_Andere-DNS-Server-in-FRITZ-Box-einrichten/). Ich nutze lokal einen dnsmasq Server um einfache Namen für lokale Geräte bereit zu stellen.

Gibt es eine Möglichkeit diese DNS Server auch per VPN Verbindung zu nutzen? Mein iOS Gerät bekommt die FritzBox als DNS Server zugewiesen, da fritz.box aufgelöst werden kann.
Weiß da jemand mehr?

Viele Grüße
Sascha

 

[andiling]

Wenn Du einen forward Server in der Fritzbox eingetragen hast, gilt der auch für VPN. Ist das bei Dir nicht der Fall?

 

[Shark88]

Nein dieser wird bei mir nicht genutzt. Ich bekomme anscheinend die FritzBox IP als DNS über die VPN Verbindung. Hier meine Konfig:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "username";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.205;
                remoteid {
                        key_id = "username";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
		xauth {
			valid = yes;
			username = "username";
			passwd = "pw";
		}
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.205;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip any 192.168.178.205 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[Shark88]

Hat hier noch jemand eine Idee? Werden bei anderen immer die korrekten DNS-Server Adressen übertragen?

 

[butibeszub]

Hat hier noch jemand eine Idee? Werden bei anderen immer die korrekten DNS-Server Adressen übertragen?

Hi,

leider kann ich auch keine Lösung anbieten

Ich habe exakt die gleiche Konstellation und kann deshalb bestätigen, dass offensichtlich bei VPN Verbindungen der "lokale DNS-Server" nicht an die VPN Clients weitergereicht wird. Bei mir wird auch nur die FRITZ!Box als DNS Server zugewiesen, weshalb auch die Auflösung der Adresse fritz.box problemlos funktioniert.

Hast Du in der Zwischenzeit eine Lösung gefunden?

VG

 

[Pokemon20021]

Hallo butibeszub,
Hast Du iOS9 ?

dann Bitte mal Lösungsvorschlag:
http://www.meintechblog.de/2015/02/vpn-on-demand-zwischen-iphone-und-fritzbox-einrichten/

Update vom 19.09.2015: Mit dem vor zwei Tagen gelaunchten iOS 9 hat Apple die Richtlinien für VPN On-Demand angepasst, sodass ab sofort keine IP-Adressen und stattdessen nur noch Domainnamen genutzt werden können. Wie bereits per Kommentar kommuniziert, empfehle ich deshalb erstmal folgende Konfiguration zu vewenden:
<key>Domains</key>
<array>
<string>fritz.box</string>
</array>
<key>DomainAction</key> Mit diesem einen Eintrag sollten dann alle Endgeräte im Netzwerk direkt angesprochen werden können, deren "Namen" in der FritzBox-Oberfläche im Menüpunkt "Heimnetz" -> "Netzwerk" hinterlegt sind. Ist dort bspw. ein Gerät mit dem Namen "Brother" hinterlegt, erfolgt der Aufruf über den Browser bzw. die entsprechende App über den Domainnamen "brother.fritz.box" und nicht mehr über die IP-Adresse "192.168.3.49".

durchführen.

Gruß
Pokemon20021

 

[butibeszub]

Hi,

danke für den Tipp!

Habe es wie im Link beschrieben umgesetzt. Dabei habe ich folgende Domain-Einträge vorgenommen:

<key>Domains</key>
<array>
<string>[U][B]fritz.box[/B][/U]</string>
<string>[U][B]fritz.nas[/B][/U]</string>
<string>[U][B]lan[/B][/U]</string>                    
</array> 
<key>DomainAction</key>

Wenn ich nun fritz.box, fritz.nas oder server1.lan eingebe, aktiviert sich auf meinem iPhone, wie gewünscht, automatisch die VPN-Verbindung zu meiner FRITZ!Box, so wie es bei onDemand-VPN sein soll. Die Adressen fritz.box & fritz.nas können problemlos aufgelöst werden. Die Adresse server1.lan wird aber leider weiterhin nicht aufgelöst! Im LAN (also nicht über VPN) werden alle Adressen aufgelöst!

Leider hat Dein Tipp nicht zum gewünschten Erfolg geführt Hast Du vl noch weitere Ideen?

Danke!

VG

 

[Shark88]

Das sind doch zwei verschiedene Dinge. VPN On-Demand hilft zwar automatisch für bestimmte Domains die VPN-Verbindung aufzubauen, allerdings ohne korrekte DNS-Auflösung durch die VPN-Verbindung kommt man dennoch nicht weiter.

Leider habe ich immer noch keinen Weg gefunden über die VPN-Verbindung meinen lokalen DNS-Server zu nutzen.

 

[PeterPawn]

Wie reden hier über "conntype_user"?

Die Adresszuweisung bei solchen VPN-Verbindungen erfolgt eben nicht über DHCP, sondern über eine ISAKMP-Erweiterung namens "configuration mode".

Daher sind auch die IP-Adressen nicht "geleast", sondern fest reserviert.

Der übermittelte DNS ist das VPN-Gateway selbst, also die FRITZ!Box.

Damit funktioniert die Domain "fritz.box" problemlos und solange in der Box selbst als DNS-Server derselbe lokale Dienst eingetragen ist, wie er per DHCP an die lokalen (DHCP-)Clients übermittelt wird, solange reicht die FRITZ!Box alle Abfragen, die sie nicht selbst beantworten kann, an diesen DNS-Server weiter (an einen der beiden möglichen).

Das muß nicht zwangsweise ein lokaler DNS-Server sein, beim "configuration mode" theoretisch schon nach dem entsprechenden RFC (Seite 7 oben, auch wenn das m.W. den "draft"-Status nie ablegen konnte).

Wenn das nicht paßt (die FRITZ!Box als lokaler DNS-Server), dann ist kein Client gezwungen, den per ISAKMP übermittelten DNS-Server zu benutzen - er darf jederzeit auch einen anderen verwenden und wenn dessen Adresse in den (ebenfalls in so einem ISAKMP-Paket enthaltenen) Adressbereich der VPN-Verbindung fällt, dann wird diese Abfrage auch über den Tunnel erfolgen.

 

[amatör]

Bei mir ist in der Fritzbox der DNS-Server im lokalen Netz eingetragen. Dadurch löst der Fritzbox-DNS auch lokale Domains auf - auch über VPN.

 

[Shark88]

Wo hast du den DNS Server eigestellt?
Ich kenne lediglich die Einstellung lokaler DNS Server unter den Netzwerkeinstellungen.Diese beziehst sich aber lediglich auf die DNS Server IP, die die FritzBox per DHCP verteilt. Die FritzBox selbst nutzt diesen Server dann doch nicht zur eigenen DNS Auflösung.

Kannst du das näher erläutern?

 

[amatör]

Gern:

1. Unter Internet > Zugangsdaten > DNS-Server ist Andere DNS-Server verwenden aktiviert und dort ist mein lokaler DNS-Server eingetragen, d.h. also der DNS-Server, den ich im lokalen Netz betreibe.
2. Beim lokalen DNS-Server sind als Upstream DNS-Server für DNS-Anfragen, die er nicht selbst beantworten kann, die öffentlichen DNS-Server eingetragen (z.B. 8.8.8.8 & Co.)

In der Folge fragen sowohl lokale als auch VPN-Clients beim Fritzbox DNS-Server an, der holt sich die Antworten vom lokalen DNS-Server, und der wiederum bei Bedarf vom öffentlichen DNS-Server.

Das Verteilen der lokalen DNS-Server-IP über DHCP nutze ich nicht. Früher ging das ja auch gar nicht. Dadurch gehen die Anfragen halt immer über die Fritzbox, was unnötig ist, aber durch den DNS-Cache der Fritzbox macht das eigentlich nichts aus.

 

[Shark88]

Daran hatte ich noch gar nicht gedacht! So funktioniert die Auflösung interner DNS Namen auch über das VPN. Ich musste für die jeweiligen Domains lediglich noch den DNS-Rebinding Schutz deaktivieren, dann funktioniert die Auflösung.

 

[amatör]

Ja, sorry, den Hinweis mit dem DNS-Rebind-Schutz hatte ich vergessen. Bin gerade erst selber drüber gestolpert, als ich meine Konfiguration von einer 7390 auf eine 7580 eingespielt habe und alles übernommen wurde außer der Ausnahmeliste für den DNS-Rebind-Schutz. :-/