Netgate SG-1000 microFirewall

Author Topic: Bahnhof VPN på specifika adresser, DNS läckage  (Read 6643 times)

0 Members and 1 Guest are viewing this topic.

Offline compfreak

  • Newbie
  • *
  • Posts: 5
  • Karma: +1/-0
    • View Profile
Bahnhof VPN på specifika adresser, DNS läckage
« on: January 31, 2015, 03:37:23 am »
Lite kortfattat om min installation.

BBB = Bredbandsbolaget
BH = Bahnhof

pfSense 2.2.0, körs som VM.
Publikt: 3st WAN IP:n från BBB (internt nät, DMZ och en för BH OpenVPN).
Internt: Några VLAN för uppdelning i flera mindre DMZ, gäst nät och interna nätet.

Jag har satt upp så det finns en brandväggsregel som knyter mot ett alias vpn_bahnhof.
Alla LAN IP:n i vpn_bahnhof routas genom den VPN tunnel som är mot intrigrety.st tjänsten BH säljer.



Det här fungerar felfritt, och tillåter att vissa klienter på interna nätet använder vanliga WAN anslutningen via BBB, men några utvalda routas in i tunneln. Problemet jag har här är DNS läckage. Adresserna som ligger i vpn_bahnhof ska självklart också kunna översätta interna DNS:er. På så sätt kan jag inte tvinga klienterna i vpn_bahnhof att enbart nyttja BH:s DNS-servrar, utan måste plocka med pfSense.

Scenario, klient i vpn_bahnhof
När man ställer en fråga till pfSense:s DNS, ex intern-klient01 så svarar den utifrån den interna adressen och går inte vidare ut på WAN. Än så länge inget konstigt. Men säg att jag ska till google.se, då skickas frågan till BH och pfSense (korrekt). pfSense har inte google.se på insidan, utan går då vidare ut till BBB:s vanliga DNS-servrarna och ställer frågan utanför BH tunneln. Och där får jag mitt DNS läckage...

Har ni någon en idé kring en lösning eller behöver ni veta mer?

Offline Mowgli

  • Newbie
  • *
  • Posts: 18
  • Karma: +1/-8
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #1 on: February 25, 2015, 12:22:46 am »

Ett alternativ kan vara att du inte använder dig av ISP eller google dns servrar som lagrar info.
Detta kanske är ett alternativ som passar.

http://www.opennicproject.org/

Annat alternativ som kanske funkar är väl om du styr dns frågorna via vpn tunneln .



Ps. Om du har ork/tid/lust hur du fixade till din vpn koppling så e jag intresserad av lite läsning   :)  Ds.
« Last Edit: February 25, 2015, 12:26:26 am by Mowgli »

Offline nospamer

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #2 on: March 29, 2015, 08:36:11 am »
Hi compfreak!

äntligen har jag hittat någon som har Integrity.st VPN som har fått det att fungera. Hur gjorde du?
Jag har Bahnhof och Integritys VPN men får inte det att fungerar i min PFsense

Skulle du kunna delge mig och andra hur du gjorde

Mick



tack på förhand

Offline Supermule

  • Hero Member
  • *****
  • Posts: 2530
  • Karma: +77/-102
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #3 on: March 29, 2015, 08:43:03 am »
Kør med Unbound og brug DNSSEC som validerer internt
Kind regards Brian


Offline compfreak

  • Newbie
  • *
  • Posts: 5
  • Karma: +1/-0
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #4 on: October 25, 2015, 05:13:41 am »
Har hittat en lösning som fungerar som jag vill nu, med en liten knuff i rätt riktning av det svar Mowgli gav.

Quote
Annat alternativ som kanske funkar är väl om du styr dns frågorna via vpn tunneln .

För att undvika läckage så ändrar jag bara DNS gateway under "General Setup". DNS querys får bara gå genom mitt VPN interface.



Nu kan inga läckor utanför tunneln uppstå eftersom alla externa DNS servrar ska frågas genom VPN tunneln. Samtidigt har jag kvar möjligheten att översätta interna DNSer då pfSense fortfarande sköter den biten.

Men... Med dom här inställningarna uppstår ett nytt problem. Om internet anslutningen går ner, så dyker såklart tunneln. När jag har fått tillbaka min anslutning så kan inte tunneln ta sig upp igen. pfSense är ju inställd på att köra alla externa DNS querys genom tunneln, som nu inte finns. Så någon översättning av openvpn.integrity.st går ju inte!

Det här har jag löst genom att skapa en "Domain overrides" under "DNS Forwarder". pfSense vet då att alla frågor mot openvpn.integrity.st ska ställas direkt mot Bahnhofs NS som håller i domänen. Då tillåts förfrågningar mot bara den DNSen att kringgå inställningarna i "General Setup".



Ser att ni efterfrågat en beskrivning av min VPN anslutning, är det fortfarande av intresse så ska jag försöka hitta lite tid en helg!  :)

Offline davzarek

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #5 on: August 13, 2016, 03:16:48 pm »

Ser att ni efterfrågat en beskrivning av min VPN anslutning, är det fortfarande av intresse så ska jag försöka hitta lite tid en helg!  :)

Ja Tack!

Offline Logger79

  • Newbie
  • *
  • Posts: 3
  • Karma: +1/-0
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #6 on: September 13, 2016, 10:50:24 am »
Ser att ni efterfrågat en beskrivning av min VPN anslutning, är det fortfarande av intresse så ska jag försöka hitta lite tid en helg!  :)

Det vore jätteschysst! :)

Offline pethson

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #7 on: October 03, 2016, 04:34:42 am »
Skulle oxå gärna veta hur man får fart på Bahnhofs OpenVPN via pfSense

///Peter

Offline ElMacko

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #8 on: October 14, 2016, 02:20:31 am »
Är väldigt intresserad av hur du löste det.

/Marcus

Offline failure

  • Newbie
  • *
  • Posts: 6
  • Karma: +3/-0
    • View Profile
    • Nactum Network
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #9 on: January 24, 2017, 02:47:14 am »

Ser att ni efterfrågat en beskrivning av min VPN anslutning, är det fortfarande av intresse så ska jag försöka hitta lite tid en helg!  :)

Ja Tack!

https://forum.pfsense.org/index.php?topic=105143.msg687106#msg687106

Offline StarkJohan

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +0/-0
    • View Profile
Re: Bahnhof VPN på specifika adresser, DNS läckage
« Reply #10 on: March 08, 2017, 12:23:33 am »
Ett smidigt sätt att lösa DNS-styrningen på är med VLAN och DHCP. För varje VLAN kan man ange specifika DNSer via DHCP-servern för det interfacet. Sen är det bara att skicka in önskade delar av nätverket i rätt VLAN och se till att VLANet i fråga får rätt gateway. I samma veva får man en "kill switch" om man direkt under brandväggsregeln som styr till rätt gateway lägger en "block all"-regel.

Om man bara har enstaka klienter eller inte vill pilla med VLAN kan man göra samma sak fast med IP-adress(er).