Wireguard Roadwarrior VPN, PFSense, Namensauflösung funktioniert nicht

[micjun18]

Ich wähle mich mit meinen Endgeräten iPhones, MacBooks per Wireguard VPN in meine pfSense zu Hause ein. Das funktioniert soweit auch ich kann mich mit den Netzwerkshares Verbinden aber nur per ip-Adresse. Solange der Tunnel aufgebaut ist funktioniert weder die lokale (Namenseinträge der pfSense) noch die Namensauflösung für Internetdomains. In den Clients soll der gesamt ip Traffic über das VPN geleitet werden.

pfSense (feste ip4), Transfernetz 172.16.16.xx,

Peers DNS verschiedene Einträge probiert (lokale IP der pfsense, 8.8.8.8, 172.16.16.1) weder die lokale noch die Auflösung von Internetdomains funktioniert.

Habe leider keine Idee wie ich mich diesem Problem nähere

 

[Bob.Dig]

Funktioniert hier ohne Probleme. Wirst wohl deine Regeln und configs hier mal posten müssen.

 

[micjun18]

Hier die Config, wenn nochwas fehlt oder ich irgendwas schwärzen muss sagt bescheid. Wie gesagt beim Endgerät hab ich verschiedene DNS Einträgt probiert.

Ein Ping an eine Internet IP geht übrigens auch nicht

Ergänzung (3. Oktober 2023)

hatte noch einmal nach den interfaces geschaut ...da war keins zugewiesen ...jetzt geht zumindest die namensauflösung nach extern, ping nach extern und intern

Ergänzung (3. Oktober 2023)

mit dem FQDN (localname.meinedomain.berlin) funktioniert die Namensaufklösung über das wireguard VPN
über das WLAN ohne VPN funktioniert auch "ping localname" muss das so oder ist das auch eine Einstellungssache?

 

[Bob.Dig]

Nimm als DNS Server 172.16.16.1, also dein WG-Interface in der Sense.
Hybrid Outbound NAT brauchst Du nicht, lösche die Regel und stell das zurück auf automatisch.

Fasse noch mal zusammen, was jetzt noch nicht geht.

 

[complainerbase]

Was sagt denn das Log der PfSense? Wird dort ein-/ausgehender DNS-Traffic der von den Wireguard-Peers stammt geblockt? Ggf einfach mal nach Destination Port 53 filtern.

Hängt vor der PfSense noch ein weiterer Router? Falls ja muss in diesem noch eine statische Route zum Wireguard-Netzwerk zurück konfiguriert werden. Ansonsten gehen die Pakete der Wireguard Peers über die zwei Router ins Internet, finden den Weg zurück aber nicht mehr (da der Internetrouter das Wireguard-Netzwerk nicht als lokales Netz kennt).

 

[micjun18]

Full Routing über die PFSense geht (Ich bekomme unterwegs meine Heim IP angezeigt) und kann normal im Internet surfen und Geräte im Heimnetz erreichen (hier reicht nur nicht der lokale Name z.B. "meinnas" sondern ich muss überall den FQDN "meinnas.meinedomain.berlin" angeben)

 

[complainerbase]

Ich gehe mal davon aus, dass die Domain "meinnas.meinedomain.berlin" extern gehostet wird? Dann könntest du auf der PfSense (sofern sie als DNS-Server für deine Wireguard-Peers konfiguriert ist) ein DNS-Overwrite einrichten. Einfach ein CNAME Eintrag von "meinnas" zu "meinnas.meinedomain.berlin" erstellen.

 

[riversource]

Oder du gibst in der Wireguard config die Search Domain mit an beim DNS Eintrag. Dann reicht der Hostname.

 

[Bob.Dig]

Auf deinem Bildchen beim Smartphone sollte es oben /24 heißen, nicht/32, wenn ich mich nicht irre.
Das mit dem Hostnamen ist normal bzw. @riversource weiß es besser.
Edit: Hab ich auch mal ergänzt, funzt.

 

[micjun18]

Ich gehe mal davon aus, dass die Domain "meinnas.meinedomain.berlin" extern gehostet wird? Dann könntest du auf der PfSense (sofern sie als DNS-Server für deine Wireguard-Peers konfiguriert ist) ein DNS-Overwrite einrichten. Einfach ein CNAME Eintrag von "meinnas" zu "meinnas.meinedomain.berlin" erstellen.

nein die domain habe ich nur aus bequemlichkeit ...damit ich mir meine ip4 nicht merken muss

Ergänzung (3. Oktober 2023)

Oder du gibst in der Wireguard config die Search Domain mit an beim DNS Eintrag. Dann reicht der Hostname.

das war der entscheidene Hinweis ....vielen Dank

DNS = 172.16.16.1, meinedomain.berlin