OpenVPN & surfen -> falscher DNS

[mod3]

Hallo zusammen!
Habe OpenVPN bei mir als Gateway eingerichtet, sodass ich von extern mit meinem Laptop den heimischen DSL-Anschluss nutzen kann.
Ich lass meinen heimischen DNS-Server per "push" an den Client übergeben. Das funktioniert soweit auch.
Leider nutzt der Client bei einem Test dennoch den DNS-Server des jeweiligen LANs (weil dieser näher ist?). Schalte ich diesen ab, so nutzt er ganz brav den DNS meines Heim-Servers.

Kann man das umgehen?
Denn die eigentlichen Daten werden zwar immernoch verschlüsselt übertragen, aber man kann ja dennoch Rückschlüsse über meine besuchten Seiten etc. ziehen.

Client-System ist Windows 7 oder Debian.

Der entscheidende Ausschnitt meiner server.conf sieht folgendermaßen aus:

Code: Alles auswählen

push "redirect-gateway def1"
push "dhcp-option DNS 10.0.0.1"
push "route 0.0.0.0 0.0.0.0"

wobei 10.0.0.1/24 mein VPN-Netz ist.

Grüße,
mod3

[TomL]

Schau dir mal vor Start openvpn auf MyIp dein WAN-IP an und hinterher. Ich vermute, dass du nur den LAN-Traffic durchs VPN schickst, aber das normale surfen trotzdem über den WISP geht, wo du mit dem Laptop angemeldet ist. Wenns beides Mal die gleiche IP ist, surfst du nicht durchs VPN gesichert.

[mod3]

Guten Morgen!

Ja, das habe ich gestern schon geprüft: Ich surfe tatsächlich über den VPN.
Habe an meinem heimischen Gateway mal "iptstate" aufgerufen und dann bemerkt, dass der Netzwerktraffic tatsächlich nicht mehr sichtbar ist. Man erkennt also z.B. keinen Verbindungsaufbau über Port 80/tcp zu irgendeinem Webserver mehr. Dafür bleiben die DNS-Abfragen aber weiterhin sichtbar.

[TomL]

Moin

Falsche bzw. fehlende DNDS-Server in der Conf hatte bei mir zur Folge, dass ich gar nicht via VPN surfen konnte. Lokal über den WISP = OK. Via VPN ins heimische LAN = auch ok. Aber via VPN über den heimischen Router ins WWW = nööööö.

Die Lösung war, dass ich die zu verwendenden DNS-Server namentlich genannt in der Server.conf erzwungen habe. Ich habe vorher in meiner Fritzbox nachgesehen, welche DNS die verwendet und genau diese in die Server.Conf eingetragen. Es gibt auch ein Verzeichnis öffentlicher DNS-Server, da könntest Du dir auch dann die Deines heimischen Providers raussuchen, die Dein Router verwendet.

Code: Alles auswählen

#verwendete DNS-Server lt. Fritzbox
push "dhcp-option DNS 22.246.44.8"
push "dhcp-option DNS 12.220.16.8"

Und statt

Code: Alles auswählen

push "route 0.0.0.0 0.0.0.0"

würde ich das Netz deines Routers einsetzen, z.B. (wenn der Router dieses Netz 192.168.1./24 repräsentieren würde):

Code: Alles auswählen

push "route 192.168.1.0  255.255.255.0"

Sag mal Bescheid, ob das vielleicht auch die Lösung für Dich war.

HTH

[mod3]

Habe die Route mal angepasst, aber der DNS-Eintrag ist schon richtig.
10.0.0.0/24 ist mein VPN-Netz, 10.0.0.1 ist der Server und auf dem läuft gleichzeitig auch ein DNS-Caching-Server.

Außerdem laufen die DNS-Abfragen leider weiterhin solange über mein lokales Netz, bis ich dessen DNS-Caching-Server abschalte.
Erst danach laufen sie über den VPN.

Ich setze übrigens das tap-Device ein, meine komplette config sieht wie folgt aus:

Code: Alles auswählen

cd /vpn/verzeichnis

dev tap2
port 1232
proto tcp-server

server 10.0.0.0 255.255.255.0
ifconfig-pool-persist ip.txt

push "redirect-gateway def1"
push "dhcp-option DNS 10.0.0.1"
push "route 123.456.789.012 255.255.255.255" # Habe eine feste IP-Adresse, keinen DSL-Router!

keepalive 10 60
tun-mtu 1500

ca ca.crt
cert surfvpn.crt
key surfvpn.key
dh dh4096.pem

persist-tun
persist-key

comp-lzo no

user surfvpn
group surfvpn

auth SHA512
cipher AES-256-CBC
reneg-sec 300

[TomL]

Sorry, da kann ich dir leider nicht mehr weiterhelfen. Ich mache mein VPN mit Bridging via Tun-Device. Und wie das ohne Router funktioniert, nur mit einer WAN-IP ist mir auch nicht klar. Die feste WAN-IP repräsentiert ja nicht Dein Netz zuhause. Ich habe zwar keine feste IP, dafür aber einen Alias über DynDns.... das ist ja prinzipiell nix anderes... aber die verbindet mich nur mit meinem Router, der wiederum mein Netz zuhause repräsentiert und ne Route zum VPN-Server beinhaltet. Bei dem Problem müssen wohl die Fachleute helfen.

[mod3]

Ok, trotzdem vielen Dank für deine Hilfe

Ich habe das Gefühl, es liegt nicht an falscher IP oder falschem Netz, denn das reine Routing funktioniert ja einwandfrei!

[mod3]

*push*