Wireguard Site-to-Site: DNS im Zielnetz ändern

[Fritz Fritzl]

Hallo allerseits

Meine Ausgangssituation sieht wie folgt aus:

Fritzbox Zuhause:
192.168.10.x Netz
DNS-Upstream der Fritzbox: 192.168.10.88 (lokaler AdGuard)
DNS-Server, der per DHCP annonciert wird: 192.168.10.88 (lokaler AdGuard)

Fritzbox Aussenstelle:
192.168.100.x Netz
DNS-Upstream der Fritzbox: 1.1.1.1
DNS-Server, der per DHCP annonciert wird: 192.168.100.250 (IP der Fritzbox)

Nun habe ich ein Wireguard Site-to-Site VPN eingerichtet und möchte aber, dass ich vom Aussenstellen-Netzwerk auf Geräte im Zuhause-Netzwerk per FQDN zugreifen kann.

Wie bringe ich also die Clients der Aussenstelle dazu, als DNS-Server meinen heimischen AdGuard zu benutzen?

 

[Barungar]

Das wirst Du nur hinkriegen, wenn Du auch von der Außenstelle Deinen AdGuard als DNS-Server nutzen lässt.
Du wirst also in der Außenstelle auch den 192.168.10.88 als DNS-Server hinterlegen müssen, denn der 1.1.1.1 wird Deine lokalen FQDNs nie kennen.

 

[Fritz Fritzl]

denn der 1.1.1.1 wird Deine lokalen FQDNs nie kennen.

Aber wenn ich einen Client per Wireguard anbinde, kann ich dort ja das Config-File bearbeiten und somit den/die DNS-Server ändern (in meinem Fall habe ich allen Clients ausschliesslich den besagten 192.168.10.88 als DNS aufgezwungen, funktioniert super). Komme ich an diese Config nicht auch bei einem Site-to-Site Setup heran?

Oder habe ich da einen Denkfehler, da vor dem Auflösen eines FQDN ja noch gar nicht bekannt ist, in welchem Netz der sich befindet?

wenn Du auch von der Außenstelle Deinen AdGuard als DNS-Server nutzen lässt.

Da nur ein Aussenstelle-Client überhaupt nur auf einen Zuhause-Client mittels FQDN (in meinem Fall per DNS-Rewrite) zugreifen muss, möchte ich nicht global in der Aussenstellen-Fritzbox den DNS ändern.

Wäre eine Alternative, auch im Aussenstellen-Netzwerk einen AdGuard-Server aufzusetzen und dort einen DNS-Rewrite von "Mein-Ziel-FQDN" auf "Meine.Zuhause.Client.IP" anzulegen?

/Edit: wäre eine bessere Alternative, den einen besagten Client im Aussenstellen-Netzwerk einfach auf den Zuhause-DNS umzubiegen? Habe ich damit irgendwie Nachteile?

Der besagte Client ist ein NAS, welches lokal nur Backups entgegen nimmt. Im Zielnetz soll es nur mit einem anderen NAS sprechen, welches wiederum ein Backup entgegen nimmt.

 

[Barungar]

Wenn es EIN Client ist, der auf EIN Ziel per FQDN zugreifen soll... bleibt immer noch die gute alte "/etc/hosts".

 

[blurrrr]

Alternativ beim Client halt fix die Adguard-IP als DNS eintragen (sofern dieser das Haus nicht verlässte).

EDIT: Ist dann nur blöd, wenn mal die VPN-Verbindung nicht funktioniert

 

[Fritz Fritzl]

Wenn es EIN Client ist, der auf EIN Ziel per FQDN zugreifen soll... bleibt immer noch die gute alte "/etc/hosts".

Übersteht die auch ein DSM-Update?

Alternativ beim Client halt fix die Adguard-IP als DNS eintragen (sofern dieser das Haus nicht verlässte).

Das habe ich gestern noch getan, bekomme aber eine Zertifikats-Warnung von der Synology...

EDIT: Ist dann nur blöd, wenn mal die VPN-Verbindung nicht funktioniert

Naja, dann ist ja das Backup-NAS auch nicht erreichbar, daher also egal

 

[blurrrr]

Übersteht die auch ein DSM-Update?

Mach es Dir einfach: Wenn am anderen Standort eine Syno steht, installier den DNS-Server und nutz eine bedingte Weiterleitung (forward zone), das habe ich hier - nebst Zonentransfers - auch laufen, sieht dann so aus:



Bei internen Zonen würde ich umstellen von auf "zuerst weiterleiten" auf "nur weiterleiten". Wenn dann eine besagte Anfrage an Deine interne Domain geht und die Clients des anderen Standortes die Syno als DNS nutzen, wird dort - bei Ansprache von <domain.tld> - an den hinterlegten DNS weitergeleitet. Die Syno kannst Du dann auch für alle Clients an diesem Standort verteilen.

Das aber nur mal als Idee in den Raum geworfen, da eine Syno vorhanden ist (mit meiner alten DS218j klappt das jedenfalls ganz gut).

 

[Fritz Fritzl]

Mach es Dir einfach: Wenn am anderen Standort eine Syno steht, installier den DNS-Server und nutz eine bedingte Weiterleitung (forward zone), das habe ich hier - nebst Zonentransfers - auch laufen, sieht dann so aus:

Da kann ich gerade nicht ganz folgen. An welchem Standort soll ich auf der Syno einen DNS-Server installieren? Denn Zuhause steht ja bereits eine Synology, auf welcher AdGuard läuft. (Dies ist eine andere als das Backup-Ziel, welches auch Daheim steht).

 

[blurrrr]

Achso, es stehen "beide" Synos bei Dir Zuhause und keine am anderen Standort, ok, dann hat sich das auch erledigt

 

[Fritz Fritzl]

Achso, es stehen "beide" Synos bei Dir Zuhause und keine am anderen Standort, ok, dann hat sich das auch erledigt

Es stehen 3 Synos bei mir Zuhause und 1 in der Aussenstelle.
Daheim läuft auf der einen Syno AdGuard als DNS-Server. In der Aussenstelle läuft die Fritzbox als DNS-Server.
Mein Ziel ist es, dass die Aussenstellen-Syno per FQDN die Backup-Syno zuhause findet.

 

[blurrrr]

Dann wie @Barungar schon sagte, ggf. mit einem Eintrag in der "hosts"-Datei, oder auf der Syno in der Aussenstelle den DNS-Server installieren, Anfragen generell weiterleiten an die Fritzbox dort, dazu noch eine bedingte Weiterleitung in Form von: Wenn die interne Domain angesprochen wird, dann schick die Anfrage durch den VPN-Tunnel zum Adguard.

Heisst in Bezug auf DNS:

google.de -> NAS -> Fritzbox -> Internet
nas.internedomain.tld -> NAS -> Adguard

Die Fritzbox kann sowas meines Wissens nach nicht. Vorteil ist dabei dann auch, dass Du alles an hinterlegten Dingen bzgl. der internen Domain vom Adguard ansprechen kannst. DNS-Server auf einer Syno kann man machen, aber wenn es nur um einen einzigen Host geht, welcher via FQDN ansprechbar sein soll, dann ist die Hosts-Datei sicherlich auch die schnellste Lösung.

 

[Fritz Fritzl]

aber wenn es nur um einen einzigen Host geht, welcher via FQDN ansprechbar sein soll, dann ist die Hosts-Datei sicherlich auch die schnellste Lösung

Das ist vor allem die simpelste und naheliegendste Lösung. Aber da bleibt trotzdem noch die Frage, ob die hosts-Datei auf einer Synology nach einem Update/Upgrade erhalten bleibt.

 

[blurrrr]

Also ist eine Syno der "Client"? Das ist für mich bisher noch nicht klar gewesen. Dann nimm die Hosts-Datei, oder verpass der Syno einfach als DNS fix den Adguard (das ist noch einfacher). An die Syno kommst Du von einer Workstation ja sowieso noch via IP, das einzige was dann nicht mehr funktioniert (im Fall der Fälle), wäre die DNS-Auflösung für die Syno. Das ist aber weitaus weniger gravierend als für einen regulären Desktop-Client. Falls es da also mal knallt, kann man die Syno dann - bei Bedarf - auch DNS-technisch wieder umstellen.

Also kurzum: Ich würde der Offsite-Syno einfach die Adguard-IP bzgl. DNS verpassen und jut ist. Wenn Du das nicht willst, mach einfach einen Eintrag in der hosts-Datei ("/etc/hosts")

 

[Fritz Fritzl]

Also ist eine Syno der "Client"? Das ist für mich bisher noch nicht klar gewesen.

Genau, die Offsite-Syno ist in dem Sinne ein Client.

Ich würde der Offsite-Syno einfach die Adguard-IP bzgl. DNS verpassen und jut ist.

Das habe ich gestern probiert, aber bekam eine Zertifikatswarnung beim Verbinden von HyperBackup von Offsite-Syno zu Backup-Syno. D.h. erreichbar war die Backup-Syno durchaus per FQDN, aber eben mit irgendeinem Zertifikats-Problem. Den ganzen Tanz mit eigenem AdGuard mache ich ja überwiegend nur deshalb, um per FQDN (ohne Warnungen!) auf meine Synos zu kommen.

 

[blurrrr]

Das habe ich gestern probiert, aber bekam eine Zertifikatswarnung beim Verbinden von HyperBackup von Offsite-Syno zu Backup-Syno. D.h. erreichbar war die Backup-Syno durchaus per FQDN, aber eben mit irgendeinem Zertifikats-Problem.

Offsite-Syno einfach mal neugestartet und erneut probiert? Falls das klappt, war es vermutlich der DNS-Cache. Btw... die Zertifikate... hast Du die selbst erstellt, oder kommen die von einer "öffentlichen" Stelle (z.B. Lets Encrypt)?

EDIT: "irgendeinem" Zertifikats-Problem... Das sollte man schon genauer spezifizieren

 

[Fritz Fritzl]

Offsite-Syno einfach mal neugestartet und erneut probiert?

Klar, mehrmals.

Btw... die Zertifikate... hast Du die selbst erstellt, oder kommen die von einer "öffentlichen" Stelle (z.B. Lets Encrypt)?

Das sind von der Syno beschaffte Let's-Encrypt-Zertifikate. Die funktionieren auch super, wenn ich von "Syno-Zuhause-privat" auf "Syno-Zuhause-Backup" verbinden will.

Beim Versuch "Syno-Aussenstelle" mit "Syno-Zuhause-Backup" zu verbinden bekomme ich aber den folgenden Zertifikatsfehler:


Mein AdGuard ist so eingerichtet, dass er die FQDNs meiner 3 NAS umschreibt auf deren IPs. Dafür habe ich in der heimischen Fritzbox den DNS-Rebind-Schutz für die betreffenden FQDNs deaktiviert. Muss ich das vllt. auch in der Offsite-Fritzbox tun? Sollte mit dieser aber ja eigentlich nichts zu tun haben...

 

[blurrrr]

Dafür habe ich in der heimischen Fritzbox den DNS-Rebind-Schutz für die betreffenden FQDNs deaktiviert. Muss ich das vllt. auch in der Offsite-Fritzbox tun? Sollte mit dieser aber ja eigentlich nichts zu tun haben...

Naja, wenn "öffentliche" FQDNs auf "private" IP-Adressen zeigen, ist das für einen Rebind-Schutz schon so eine Sache.

 

[Fritz Fritzl]

Naja, wenn "öffentliche" FQDNs auf "private" IP-Adressen zeigen, ist das für einen Rebind-Schutz schon so eine Sache.

Okay, dann konfiguriere ich den Rebind-Schutz der Offsite-Fritzbox mal analog zu dem der Home-Fritze (aber eben nur für das eine NAS statt aller 3)

Ich habe soeben mal zugeschaut, was beim Verbindungsversuch von Offsite-NAS zu Backup-NAS passiert, im AdGuard-Log tauchen auf jeden Fall die Anfragen der Offsite-Fritzbox auf und werden auch umgeschrieben auf die IP.

/Edit: DNS-Rebind-Schutz-Ausnahme hinzugefügt, leider keine Besserung. Ich möchte die Offsite-Fritzbox jetzt aber auch nicht neu starten, da dort gearbeitet wird

 

[blurrrr]

Schau vielleicht nochmal nach, wie "genau" die Fehlermeldung bzgl. des Zertifikates lautet.

 

[Barungar]

DNS-Rebind wirkt sofort in der entfernten FritzBox, wobei Du sie aber gar nicht als DNS-Server nutzt. Somit dürfte der DNS-Rebind-Schutz da auch wirkungslos sein.

Ich denke, dass Problem ist einfach, dass es ein selbstsigniertes Zertifikat ist.