ovpn problem DNS server!

A

az1928

Freshly Joined Member
hallo habe hier ein kleines problem mit meiner VPN verbindung bzw. unerklärliche umstände: verbindung steht und ist stabil
1 x dns eingetragen durch mich (dns = serverstandort), verbindung steht und es bestehen keine leaks
im openvpn log wird immer ein zweiter dns gelistet (nürnberg) obwohl dieser nicht eingetragen wurde durch mich, warum?
das will ich natürlich garnicht (bei dns leaks 2 x DNS: durch mich eingetragener dns server oben genannt UND eben der dns server von PP in nürnberg), wie kann ich bewirken dass mein ovpn client diesen dns server nicht mehr verwendet
kein ovpn script, alles wird manuell per hand eingetragen
ich vermute der client auf meiner seiter bekommt die info vom vpn server
warum wird über diesen dns server umgeleitet (jedes mal nürnberg corebackbone?)
auch wenn ich selber 2 x einen dns eintrage (immer ein dns server von PP /jedes mal ist nummer 1 der dns server vom serverstandort mit dem ich mich verbinde und der zweite einer aus der DNS server liste von PP)
ich bitte um hilfe, es geht darum um mich nicht mehr AUTOMATISCH mit dem nürnberg DNS server zu verbinden
neurorouting ist aus, alle features sind bei mir deaktiviert.

20240813 01:15:25 W WARNING: normally if you use --mssfix and/or --fragment you should also set --tun-mtu 1500 (currently it is 1400)
20240813 01:15:25 I TCP/UDP: Preserving recently used remote address: [AF_INET]PPSERVER
20240813 01:15:25 Socket Buffers: R=[---] S=[---]
20240813 01:15:25 I UDPv4 link local: (not bound)
20240813 01:15:25 I UDPv4 link remote: [AF_INET]PPSERVER
20240813 01:15:25 TLS: Initial packet from [AF_INET]1PPSERVER sid=X X
20240813 01:15:25 VERIFY OK: depth=1 C=CH ST=Zug L=Zug O=Perfect Privacy CN=Perfect Privacy emailAddress=admin@perfect-privacy.com
20240813 01:15:25 VERIFY KU OK
20240813 01:15:25 NOTE: --mute triggered...
20240813 01:15:27 4 variation(s) on previous 3 message(s) suppressed by --mute
20240813 01:15:27 W WARNING: 'link-mtu' is used inconsistently local='link-mtu 1485' remote='link-mtu 1633'
20240813 01:15:27 W WARNING: 'tun-mtu' is used inconsistently local='tun-mtu 1400' remote='tun-mtu 1532'
20240813 01:15:27 W WARNING: 'keysize' is used inconsistently local='keysize 128' remote='keysize 256'

20240813 01:15:27 Control Channel: TLSv1.3 cipher TLSv1.3 TLS_AES_256_GCM_SHA384 peer certificate: 4096 bit RSA signature: RSA-SHA512
20240813 01:15:27 I [Server_XXX.perfect-privacy.com] Peer Connection Initiated with [AF_INET]PPSERVER
20240813 01:15:27 PUSH: Received control message: 'PUSH_REPLY topology subnet redirect-gateway def1 ipv6 sndbuf --- rcvbuf --- route-ipv6 --- route-gateway INTRAIP ping 10 ping-restart 60 dhcp-option DNS XXXX (IP SERVER VOM SERVERSTANDORT) dhcp-option DNS 80.255.10.206 (UM DIESEN SERVER GEHT ES) ifconfig-ipv6 XXX ifconfig INTRAIP 255.255.255.0 peer-id 3 cipher AES-256-GCM'


20240813 01:15:27 Pushed option removed by filter: 'route-ipv6 XXX'
20240813 01:15:27 Pushed option removed by filter: 'ifconfig-ipv6 XXX'
20240813 01:15:27 NOTE: --mute triggered...
20240813 01:15:27 2 variation(s) on previous 3 message(s) suppressed by --mute
 
Sort by date Sort by votes
EDIT: auch beim wechsel des serverstandorts bleibt der log unverändert und es wird immer erzwungen dass der zweite DNS server einer von beiden in nürnberg ist
wie kann man diese einstellung ändern? oder muss das intern bei euch geändert werden?
openvpn version 2.5 / ddwrt build version 3 von 2022

EDIT: ipleak.net zeigt nach 300 tests immer hits auf den nürnberg server, ich denke mal ich muss nicht erklären warum das nicht gut ist wenn man außerhalb von DE verbunden ist
 
Upvote 0 Downvote
EDIT: nach langem versuchen, andere server, mit und ohne neurorouting, router reset und manuelle eingabe aller daten usw. bin ich zum entschluss gekommen dass es nicht an mir liegen kann sondern beim verbindungsaufbau die DNS server von nürnberg automatisch vorgegeben werden, was anderen kommt mir nicht in den sinn

wäre es möglich dass dort eine genauere info kommt? das wichtigste: wie kann das abgestellt werden? es werden dringend nur die eingetragenen server gebraucht!
 
Upvote 0 Downvote
Code: 
updown.sh: executing: '/etc/openvpn/update-resolv-conf'
dhcp-option DNS 217.114.218.30
dhcp-option DNS 80.255.10.206
updown.sh: FINISHED
2024-08-14 13:04:06 Initialization Sequence Completed

Das hier sind die DNS des Erfurt-Servers.
Die DNS werden beim Verbindungsaufbau automatisch vergeben durch die update-resolv-conf, welche durch das Skript updown.sh aufgerufen wird (Linux-PC). Üblicherweise wird immer nur der ersten DNS abgefragt, der Zweite dient nur als Reserve, falls der Erste ausfällt. Ich denke, das ist Standard bei allen VPN-Anbietern.

Bei einer Verbindung über Moskau werden die DNS 185.40.4.92 und 193.0.202.95 benutzt, beide sind russische DNS.

Ich verstehe Dein "Problem" nicht.
 
Upvote 0 Downvote
ich beschreibe es anders:
art von endgerät spielt keine rolle, ob handy oder pc (unabhängig vom OS) da pp über einen router ddwrt läuft (openvpn version 2.5)

router einstellungen - services - vpn - openvpn -> dateneingabe ohne script, eingabe der ip / cipher / keys usw. manuell)
serverstandort schweiz / zürich
auf der basic page werden 2 dns eingetragen (zürich dns 1 / basel dns 2)

verbindung steht, alles funktioniert

ABER: egal welche DNS server eingegeben werden auf der basic page: beim verbindungsaufbau werden die dns einstellungen automatisch durch die control message gesetzt

es wird in diesem fall immer über den nürnberg DNS server geleitet, das ist natürlich ungewollt

wenn ich auf einen schweizer server mit schweizer dns verbinde, ist es doch gewollt dass bei einer dnsleaktest / ipleak.net abfrage ausschließlich schweizer IP und dns angezeigt werden.

es soll nichts mit DE in verbindug gebracht werden (vorallem wenn das system auf US gesetzt ist und man nicht herleiten kann wo der user sitzt (außer bei datenweitergebe durch PP (was ja nicht geht da RAM))

du zeigst doch selber auf dass es nicht richtig funktioniert: wenn du über erfurt verbindest (dhcp-option DNS 217.114.218.30) -> erfurt serverstandort dann wird über ein scritp automatisch der nürnberg server nachgeladen / überschrieben als "reserve" option (außer du hast den nürnberg dns server MANUELL als zweites eingetragen, dann ist alles korrekt)

es muss doch möglich sein dass selber zu bestimmen (auch wenn der dns server ausfällt, dann muss man halt manuell einen anderen eintragen)

außerdem: es wäre ja in ordnung wenn man den reserve dns nur einschaltet wenn der erste tatsächlich nicht online ist


EDIT:

ich bin mir sicher dass das ein problem / hard coded einstellung von seitens PP ist da auf einer alten DDWRT + openVPN version (2.3 glaube) alles korrekt läuft, ddwrt alles genauso eingestellt wie hier nur der unterschied ist dass nach verbindungsaufbau genau der dns server welcher eingtragen wurde auch genutzt wird, über die console kann kein nachladen eines "reserve" servers festgestellt werden

randinfo: wenn man sagen wir einen standort nutzt wo nur ein server verfügbar ist, dann bringt doch ein reserve dns nichts wenn der erste dns ausfällt, da wenn der erste dns server = serverstandort ist (berlin: es gibt nur einen server: server + dns der gleiche server) die verbindung sowieso nicht mehr steht, da bringt der nürnberg dns server doch nichts mehr?
 
Last edited:
Upvote 0 Downvote
habe gerade den moskau server probiert:
dort funktionier alles so wie sein soll bzw. wie es gewünscht ist: serverstandort + dns server moskau

wünschenswert wäre es, wenn alle anderen server genauso funktionieren würde bzw. wenn die push control message nicht automatisch den nürnberg server nimmt, auch wenn man mit zb. schweiz, latvia, frankreich usw. verbindet

kann ein teammitglied erklären wie man den nürnberg server wegbekommt wenn man mit z.b schweiz verbindet?
 
Upvote 0 Downvote
Nachfolgendes Gedöns soll es ermöglichen, das nur der erste DNS verwendet wird:

1: Eine Sicherung der Datei update-resolv-conf erstellen:
Code: 
sudo mv -v /etc/openvpn/update-resolv-conf /etc/openvpn/update-resolv-conf.bak

2: update-resolv-conf mit dem Editor neu erstellen:
Code: 
sudo xed /etc/openvpn/update-resolv-conf
und das hier reinkopieren:
Code: 
#!/bin/bash
if [ ! -x /sbin/resolvconf ] ; then
    logger "[OpenVPN:update-resolve-conf] missing binary /sbin/resolvconf";
    exit 0;
fi

[ "$script_type" ] || exit 0
[ "$dev" ] || exit 0

split_into_parts()
{
    part1="$1"
    part2="$2"
    part3="$3"
}

case "$script_type" in
  up)
    NMSRVRS=""
    SRCHS=""
    foreign_options=$(printf '%s\n' ${!foreign_option_*} | sort -t _ -k 3 -g)
    for optionvarname in ${foreign_options} ; do
        option="${!optionvarname}"
        echo "$option"
        split_into_parts $option
        if [ "$part1" = "dhcp-option" ] ; then
            if [ "$part2" = "DNS" ] ; then
                NMSRVRS="$part3"
                break  # Stop after the first DNS server
            elif [ "$part2" = "DOMAIN" ] ; then
                SRCHS="${SRCHS:+$SRCHS }$part3"
            fi
        fi
    done
    R=""
    [ "$SRCHS" ] && R="search $SRCHS
"
    for NS in $NMSRVRS ; do
         R="${R}nameserver $NS
"
    done
    echo -n "$R" | /sbin/resolvconf -a "${dev}.openvpn"
    ;;
  down)
    /sbin/resolvconf -d "${dev}.openvpn"
    ;;
esac

3: Dein Gerät neu starten und es ausprobieren.

4: Kurz mitteilen, ob es funktioniert.

Falls nicht:
Code: 
sudo rm -v /etc/openvpn/update-resolv-conf
und
Code: 
sudo mv -v /etc/openvpn/update-resolv-conf.bak /etc/openvpn/update-resolv-conf

Ich habe leider immer noch nicht verstanden, warum der 2. DNS Dir soviel Bauchschmerzen bereitet. Vielleicht lässt sich das in 2 Sätzen erklären. Du testest das Ding als Erster.
 
Upvote 0 Downvote
Warum tägst Du eimen DNS Server überhaupt ein? Wenn man die DNS Server vom PP bemutzt, wird immer das Gateway vom verwendeten VPN-Server verwendet als DNS-Server. Kein Leak, kein anderes Land.
Dazu muss aber Dein Router mit den DNS auf den Tunnel routen, damit keine Anfragen am Tunmel vorbeigehen.
 
Upvote 0 Downvote
weareone said:
Warum tägst Du eimen DNS Server überhaupt ein? Wenn man die DNS Server vom PP bemutzt, wird immer das Gateway vom verwendeten VPN-Server verwendet als DNS-Server. Kein Leak, kein anderes Land.
Dazu muss aber Dein Router mit den DNS auf den Tunnel routen, damit keine Anfragen am Tunmel vorbeigehen.
Click to expand...
DNS muss eingetragen werden bei ddwrt auf der basic page, ignore WAN dns ist gesetzt
es wird kein DNS geleaket, da geht auch nichts am tunnel vorbei, es wird immer DNS von PP verwendet

Honk said:
Läuft der Router denn nicht mit Linux?
Click to expand...
ja der router läuft über linux jedoch ist es kontraproduktiv interne files mit diesem hotfix zu verändern, das ist ja auch nicht sinn der sache
deine anleitung ist eher für einen client auf dem host (ubuntu) ohne router gedacht
wenn man einen anderen command verwendet im management tab dass der zweite DNS ignoriert wird (bzw genau der der immer automatisch genutzt wird) wird keine verbindung aufgebaut

generell ist das problem: egal mit welchem standort eine verbindung aufgebaut wird / dns eingetragen wird
der zweite DNS wird beim verbindungsaufbau automatisch durch PP vergeben (erlangen DNS), das ist unerwünscht

wie Honk gesagt hat: wenn der moskau server genutzt wird funktioniert es perfekt, da wird (automatisch durch die push control message) ein zweiter moskau server gesetzt als DNS (auch wenn der zweite dns manuell auf der basic page gesetzt wurde z.B schweiz)

leider gab es noch keine antwort auf das ticket, eventuell ist das problem bekannt und muss behoben werden

nochmal eine kurze beschreibung des problems: frischer router mit ddwrt - basic page dns 1 und 2 schweiz - openvpn standort schweiz
es wird nirgendwo ein deutscher dns von PP verwendet, nach verbindungsaufbau wird der zweite dns immer durch den deutschen ersetzt

diesbezüglich bitte um eine antwort von einem PP member wie man das beheben kann, es liegt auf meiner seite kein einstellungsfehler vor

da es bei moskau z.B. fehlerfrei funktioniert muss es schlicht einen config-fehler geben

kann passieren da es mittlerweile unzählige firmwares gibt die openvpn unterstützen

meine lösungsansätze (nicht unmittelbar anwendbar): ddwrt firmware updaten damit openvpn 2.6 genutzt wird / anderen ddwrt build / andere router firmware

daher meine frage: welche anderen router / custom firmwares könnt ihr empfehlen (anstatt ddwrt) welche sich bewiesen haben (tomato /asus wrt o.Ä.)? ddwrt war und ist meiner meinung nach immer noch top standart für custom firmwares / router flashes
 
Upvote 0 Downvote
You must log in or register to reply here.
Back
Top