discussion UDM/Pro DNS, werkt dat wel via VPN?

[PE1PQX]

Op dit moment zit ik in Oostenrijk voor 10 dagen vakantie en werk met OpenVPN naar huis toe.
Ik heb bij wijze van proef in mijn UDM-Pro de DNS instelling gezet voor één van mijn NAS-machines.
Echter als ik de DNS naam invul voor die NAS kunnen de vouw-pjoeter en veeg-foon hem niet vinden. Op IP adres uiteraard wel.
Ook in beide Pi-Holes de zelfde DNS instelling gemaakt, maar ook hier een No-Go/No-Show

Wie kan mijn e.e.a. uitleggen hierover? Zie ik iets over het hoofd?

Unifi-OS: 3.2.12, Network 8.2.93

 

[PhAnt0m]

Ik heb een tijdje geleden soortgelijk iets gehad met een 4G router.
Dit bleek uiteindelijk een fout te zijn in in het ovpn bestand met de configuratie.

Deze miste de regels:

dhcp-option DNS 192.168.0.15
dhcp-option DNS 192.168.0.16

 

[edwin2019]

Interessant.
Volgens mij is dit één oplossing maar niet dé oplossing want als je toevallig een niet gedefinieerd apparaat wilt benaderen werkt het alsnog niet.

 

[PE1PQX]

Ik zal de ovpn bestand eens moeten opduikelen, en kijken wat de dhcp-option aangeeft.

 

[PE1PQX]

Na toevoegen van de dhcp_option nog geen wijziging in gedrag.
Op een één of andere manier wordt de DNS niet doorgegeven via OpenVPN. Of dir via WireGuard wel gebeurt moet ik nog uitzoeken.

 

[PE1PQX]

Ik heb het idee dat mijn "probleem" deels komt door de lokale WiFi toegang.
IP adres dat ik van de (vakantie) router krijg is in de 192.168.1.1/24 subnet, en da's ook het primaire subnet bij mij thuis. Wellicht een IP-conflict lokaal vs remote?

 

[dbw]

Volgens mij doet OpenVPN niet al het verkeer routeren over de VPN-tunnel.
Ik heb dit ook wel eens meegemaakt.
WireGuard doet dat wel (althans bij mij).

Ik heb het net even getest via een 4g verbinding. OpenVPN laat niet het WAN-ip zien van waar ik de VPN-tunnel naar toe heb. Dus OpenVPN gebruikt ook verkeer naast de tunnel.
WireGuard doet dit alles niet. Daar zie ik de WAN-ip dus wel.
Wellicht dat daarom je DNS niet goed werkt.

 

[edwin2019]

Ik heb het idee dat mijn "probleem" deels komt door de lokale WiFi toegang.
IP adres dat ik van de (vakantie) router krijg is in de 192.168.1.1/24 subnet, en da's ook het primaire subnet bij mij thuis. Wellicht een IP-conflict lokaal vs remote?

Dat zou ik sowieso proberen te vermijden. Routering technisch zie je dan niet welk verkeer door de vpn tunnel moet gaan en welk verkeer lokaal moet blijven.
192.168.1.x, 192.168.2.x, 192.168.178.x zijn netwerken die je thuis beste kunt vermijden omdat dat vaak de standaard router netwerken zijn. Neem dan beter bv 192.168.33.x of 172.x of 10.x
Kijk bv eens hier https://nl.m.wikipedia.org/wiki/RFC_1918
Of zoek op non-routable subnet.

 

[PE1PQX]

dbw bij OpenVPN zie ik op 'what is my IP' wel mijn eigen WAN-ip, dus zou je verwachten dat ik ook mijn eigen DNS (Pi-holes etc) gebruik.
Bij WireGuard heb ik geen toegang tot o.a. Protect of andere LAN apparaten (zoals NAS) thuis, iets wat ik wel wenselijk vind als ik niet thuis ben.
Nu kun je aangeven dat je ook via Unifi Cloud je privé unifi omgeving kunt benaderen, maar heb het niet heel erg op Cloud Systemen die niet van mij zelf zijn.

edwin2019 Dan zou ik thuis de subnet moeten aanpassen naar iets anders. Kan van de verhuurder van het vakantie huisje niet verlangen dat ze haar spullen aanpast.

 

[edwin2019]

edwin2019 Dan zou ik thuis de subnet moeten aanpassen naar iets anders. Kan van de verhuurder van het vakantie huisje niet verlangen dat ze haar spullen aanpast.

Klopt (helaas)
Technisch zou het nog wel kunnen werken maar simpel wordt het niet met twee dezelfde ranges. In mijn optiek heb je bij een vpn tussen twee lokatie's ook twee verschillende subnet's nodig.

 

[Davey400]

Was er nu maar een opvolger van IPv4 waar deze problemen helemaal niet van toepassing zijn...

 

[PE1PQX]

Was er nu maar een opvolger van IPv4 waar deze problemen helemaal niet van toepassing zijn...

Heet dat geen IPv6??

 

[PE1PQX]

Ik heb straks nog een krappe anderhalve week vrij, en kan dan mijn subnet ombouwen naar 192.168.140.1/24. (die 140 is ons huisnummer).
Zit er dan ook aan te denken om alle Unifi gear in een eigen subnet de zetten.
Je krijgt dan Privé, Unifi en IoT VLANS. Maar of dat ook werkelijk handig is weet ik nu nog niet. Maar da's ook voer voor een ander topic.

 

[Davey400]

Je hebt ook heel 10. nog als /8 beschikbaar. Als je daar een beetje creatief met het 2e octet om gaat (bijv daar die 140) dan heb je nog 250+ /24 ranges beschikbaar om naar hartelust mee te experimenteren.

 

[PE1PQX]

Da's class A vs class C subnetten. Iets andere materie denk ik.
Ik blijf voorlopig wel plakken bij class C...

 

[edwin2019]

Je hebt ook heel 10. nog als /8 beschikbaar. Als je daar een beetje creatief met het 2e octet om gaat (bijv daar die 140) dan heb je nog 250+ /24 ranges beschikbaar om naar hartelust mee te experimenteren.

En 172.

 

[bit-by-bit]

Deze thread is een mooie herinnering om mijn subnetten weer naar de 10-reeks om te zetten, zoals ik dat had op mijn oude router, voor de UDM SE. Dank hiervoor!

Overigens had ik een vergelijkbare situatie met het benaderen van mijn NAS via Teleport, maar dat bleek uiteindelijk aan de firewall rules op de NAS zelf te liggen.

 

[unifi-gandalf]

De kans dat je in een thuissituatie een 10/8 subnet tegenkomt is een stuk kleiner dan een 192.168/16 adres. VPN verbindingen met eenzelfde ip-reeks aan bron en doelkant is vragen om moeilijkheden.

 

[Davey400]

Je hoeft een 10. niet als /8 te gebruiken hè; niemand die je tegenhoudt om de hele 10 reeks als /24 subnetjes (of nog kleiner) te gebruiken.

 

[PE1PQX]

Je kunt een 10.0.0.1/8 ook indelen als 10.0.140.1/24 Mogelijkheden zat. (of 10.0.107.1/24, of 10.1.200.1/24 of...?)