VPN_Problem nach Umstellung auf Debian [wärend des schreibens gelöst]
Hallo zusammen,
gleich vorweg. Wärend ich diese Mail schrieb konnte ich das Problem
lösen. Ich schicke sie aber denoch in die Liste falls mal jemand das
gleiche Problem hat.
ich habe ein Problem was für mich absolut unlogisch ist und brauche
Euere Hilfe. Die Ausganssituation war wie folgt.
Mein LAN hat den Adress-Bereich 192.168.0.0/24 und dort befanden sich
folgende Rechner mit genannaten Funktionen:
- Server1 (LDAP, DHCP, DNS, NTP, NFS) IP: 192.168.0.1
- Server2 (Mail/Groupware) IP: 192.168.0.2
- Linux- Router/Firewall (OpenVPN) IP: 192.168.0.10
OpenVPN war eingerichtet und hat auch ohne Probleme funktioniert. Wenn
ich mich von der Firma aus eingewählt habe konnte ich aller Rechner im
entfernten LAN unter ihrem Hostnamen ansprechen (durch den Tunnel). Nun
möche ich aber zum einen die Serverdienste nach und nach auf Debian
migrieren und zum anderen der Rechner-Zoo auflösen. Hierzu habe ich
einen komplett neuen Server gekauft und habe zunächst mal den DHCP und
DNS auf diesem konfiguriert.
- neuer Server (DHCP / DNS) IP: 192.168.0.5
Auf dem neuen Server habe ich den DHCP und den DNS auch wieder dynamisch
konfiguriert d.h. Client bekommt IP vom DHCP und sendet den Hostnamen an
selbigen und der DHCP trägt den Hostnamen dann in den DNS ein. Das
funktioniert auch ihne Probleme. Ich kann auf allen Clients alle
Hostnamen auflösen und auf dem Server lokal funktioniert das auch
(umgekehrt, Hostname -> IP funktioniert's auch).
Nun komme ich langsam zum eigentlichen Problem (Sorry, ich mußte etwas
ausholen). Mein VPN-Gateway war/ist so konfiguriert das es den
DNS-Server durch den Tunnel zum entfernten Client pusht. Hierzu sind in
der Server-Konfiguration die Optionen:
push "dhcp-option DNS 192.168.0.1"
push "dhcp-option DOMAIN dreampixel"
notwendig. Hier habe ich nun lediglich in der ersten Zeile die IP auf
192.168.0.5 geändert und den OpenVPN-Server neu gestartet. Ich kann mich
auch nach wie vor vom entfernten Client über VPN einwählen aber DNS
durch den Tunnel funktioniert nicht mehr. Ich kann vom entfernten Client
aus alle Rechner des LAN's unter ihrere IP pingen. Wenn ich mir ipconfig
auf dem Client anschaue sieht eigentlich auch alles gut aus:
Ethernetadapter "LAN-Verbindung 5":
Verbindungsspezifisches DNS-Suffix: dreampixel
Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V8
Physikalische Adresse . . . . . . : 00-FF-7B-3B-9C-DF
DHCP-aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 10.1.0.6
Subnetzmaske. . . . . . . . . . . : 255.255.255.252
Standardgateway . . . . . . . . . : 10.1.0.5
DHCP-Server . . . . . . . . . . . : 10.1.0.5
DNS-Server. . . . . . . . . . . . : 192.168.0.5
Lease erhalten. . . . . . . . . . : Donnerstag, 8. September 2005
08:58:23
Lease läuft ab. . . . . . . . . . : Freitag, 8. September 2006
08:58:23
Wenn ich nun am entfernten Client 'nslookup' aufrufe erhalte ich schon
beim Aufruf die Warnung:
*** Der Servername für die Adresse 192.168.0.5 konnte nicht gefunden
werden:
Query refused
Sowohl an dem VPN-Server wie auch am VPN-Client wurde nichts verändert
und wenn ich am Debian-Server DHCP+DN stoppe und diese auf dem alten
Server wieder aktiviere (und IP in der VPN-Server-Conf) wieder ändere
funktioniert es auch wieder was mich zur Annahme bringt das es am DNS
liegen muß. Ich habe jedoch absolut keinen Ansatzpunkt wo etwas falsch
sein könnte.
** Das Problem lag ganz einfach daran das der DNS-Server keine Queries
aus dem Netz 10.1.0.0/24 (VPN) akzeptierte. Ich mußte dieses Netz
lediglich in der named.conf.options unter allow-query hinzufügen. Auf
dem alten DNS (SuSE) mußte ich dies nicht anscheinden ist der DNS unter
Debian restriktiver. Falls noch jemand eine Erklärung dafür hat wäre ich
trotzdem interessiert aber wie gesagt, es funktioniert.
Viele Grüße
Sven
Reply to: