ubuntuusers.de

Hey,

ich habe einen Server mit 2 Ethernet (intern 192.168.0.0; extern 192.168.1.0) - Karten als Gateway eingerichtet. Darauf laufen: - ovpn (10.8.0.0) - BIND (interne Namensauflösung, sonst Weitergabe an Router) - shorewall firewall - dhcpd

Ovpn läuft soweit. Es wurden nur zwei push-Optionen gesetzt (domain privat.lokal und DNS 192.168.0.1). Wenn ich ein Android-Gerät mit dem ovpn-Client verwende passiert folgendes. Der Client kommt ins entfernte interne Netzwerk (192.168.0.0) und die Gateway löst die internen Namen richtig auf (z. B. Server.privat.lokal). Ich kann auch z. B. 8.8.8.8 anpingen. Jedoch werden mir "externe Internet-" Namen nicht aufgelöst (z. B. www.google.com). Mit der selben client.ovpn unter win 7 funktioniert alles. Woran kann das liegen? Ein Android-Problem ist es nicht (ist bei vier verschiedenen Handys/Tabletts von drei verschiedenen Herstellern).

Für jede Idee bin ich dankbar.

MfG Maniac_MacPain

Maniac_MacPain schrieb:

Mit der selben client.ovpn unter win 7 funktioniert alles. Woran kann das liegen? Ein Android-Problem ist es nicht (ist bei vier verschiedenen Handys/Tabletts von drei verschiedenen Herstellern).

Dann schau mal im VPN mit z. B. tcpdump (oder gleichwertig), welcher DNS-Server mit win 7 benutzt wird und welcher DNS-Server mit dem Android (nicht) benutzt wird.

Edit: Ich habe deine Antwort falsch verstanden. Werde es mal ausprobieren!

Unter win 7 wird die Gateway verwendet. Unter Android wird laut ovpn-log auch die Gateway verwendet. Das muss auch so sein, sonst würde ja die lokale Namensauflösung (z. B. Server.privat.lokal) nicht funktionieren. Leider habe ich unter Android weder dig noch traceroute zur Verfügung.

Maniac_MacPain schrieb:

Leider habe ich unter Android weder dig noch traceroute zur Verfügung.

Wenn Du die busybox unter Android hast und evtl. auch root, dann sollte z. B. nslookup unter Android zur Verfügung stehen.

EDIT:

Evtl. auch mit ping (zwecks Namensauflösung) unter Android versuchen.

OK, eigentlich funktioniert es auch nicht mit windows. Die Gateway gibt keine IP für externe Namen aus. Dies ist jedoch nur über dem Tunnel. Anfragen aus dem internen Netz werden richtig beantwortet. Windows fragt anscheinend hierbei auf den letzten dns-server. Beim BIND habe ich als forwarder den Router eingetragen und in den ACL steht auch 10.8.0.0/24. Hat einer eine Idee woran dies liegt?

Maniac_MacPain schrieb:

Die Gateway gibt keine IP für externe Namen aus. Dies ist jedoch nur über dem Tunnel.

Versuch mal mit (zusätzlichen) DNS-Servern, die über den Tunnel erreichbar sind.

Ich habe mal zum testen in der server.conf push "DHCP-option DNS 8.8.8.8" eingetragen. Das hilft auch nicht. Im Gegenteil vom tablet aus kann ich nicht mal 8.8.6.6 pingen.

Maniac_MacPain schrieb:

Im Gegenteil vom tablet aus kann ich nicht mal 8.8.6.6 pingen.

Hast Du Internetzugang aus dem VPN? Geht z. B. der Ping:

ping -c 2 -W 2 193.99.144.80

, aus dem VPN?

Ja, Internet habe ich schon die ganze Zeit.

Maniac_MacPain schrieb:

OK, eigentlich funktioniert es auch nicht mit windows. Die Gateway gibt keine IP für externe Namen aus. Dies ist jedoch nur über dem Tunnel.

Versuch mal mit Windows über den Tunnel (d. h. aus dem VPN), in der DOS-Eingabeaufforderung:

nslookup heise.de 8.8.8.8

Maniac_MacPain schrieb:

Ja, Internet habe ich schon die ganze Zeit.

Mit oder ohne Forwarding und NAT?

So, ich habe den Fehler gefunden. Vielen Dank für eure Hilfe.

Ich musste noch folgende Option in der /etc/bind/named.conf.options setzen:

allow-recursion { 192.168.1.0/24; 10.8.0.0/24 };

Ich dachte, dass das OVPN-Netzwerk in der Grundeinstellung als internes Netzwerk ansieht und diese Option nicht notwendig wäre.

MfG ManiacMacPain