Wireguard client configuratie voor split DNS resolving

dinsdag 17 mei 2022 08:31

Acties:

0 Henk 'm!

Topicstarter

Ik heb op mijn macbook een WireGuard tunnel geconfigureerd naar mij thuis. Nu heb ik het probleem dat als ik mijn wireguard tunnel aan zet naar huis dat alle DNS-verkeer via mijn thuis DNS-server gaat. Op zich niet vreemd en bijna altijd de bedoeling. Maar als de WireGuard tunnel aan staat, falen alle DNS-queries voor *.mijn.werk. Ah ja ...

Is er een mogelijkheid om beide te houden als de WireGuard tunnel geactiveerd is? Zodat DNS queries voor thuis.home via 10.10.10.1 gaan en DNS queries voor *.mijn.werk naar de DNS-server van mijn werk gaan?

Mijn huidige config ziet er zo uit. Ik heb , thuis.home toegevoegd in de hoop dat dat voldoende ging zijn, maar dat geeft niet het verhoopte resultaat.

code:

[Interface]
PrivateKey = blah
Address = A.B.C.D/24
DNS = 10.10.10.1, thuis.home

[Peer]
PublicKey = BLAH
PresharedKey = BLAH
AllowedIPs = 10.10.10.0/24
Endpoint = PUGLIC-IP:PORT

dinsdag 17 mei 2022 12:58

Acties:

0 Henk 'm!

Xi-s

Ik zou persoonlijk geen domeinnamen gebruiken voor het instellen van je DNS server, want dan moet je thuis.home eerst oplossen via... jawel... DNS. Is ie daarnaast niet dubbel? Want de 10.10.10.1 -is- toch al waar thuis.home naar toe gaat? Maar misschien begrijp ik 'm niet goed.

Wat je denk ik kunt doen is ook de DNS server van je werk toevoegen aan je DNS entry. Je noemt er geen IP voor, dus die moet je zelf opzoeken dan.

code:

1	DNS = 10.10.10.1, werk.dns.ip.adres

Aangezien je alleen 10.10.10.0/24 bij AllowedIPs hebt staan, zou je werk-DNS-server volgens mij zonder extra maatregelen bereikbaar moeten zijn, want alles buiten 10.10.10.0/24 routeer je immers niet over je Wireguard-tunnel.

Als je wél een situatie zou hebben met bijvoorbeeld 0.0.0.0/0 in AllowedIPs, zou je nog iets kunnen doen als:

code:

1	PostUp = <manuele routering over je lokale netwerk voor DNS server van werk>

dinsdag 17 mei 2022 13:31

Acties:

0 Henk 'm!

bucovaina89

Topicstarter

Ik denk dat ik een alternatief ga doen. Ik heb de DNS entry eruit gehaald en dan werkt de WireGuard tunnel op IP-niveau en worden de DNS settings van de standaard network interface niet veranderd (op het werk, werkt alles dan nog). Voor die paar hosts die ik thuis dan wil resolven zal ik dan wel een entry maken in /etc/hosts.

woensdag 26 oktober 2022 13:43

Acties:

0 Henk 'm!

bucovaina89

Topicstarter

Misschien moet ik er nog net iets aan toevoegen:

Sinds vorige week heb ik mijn server gemigreerd naar een andere RPI en dan maar meteen een nieuwe WireGuard server from scratch opgezet. Toch niet veel werk van ik heb maar 3 clients of zo dus rap geflikt. Nu liep ik weer tegen hetzelfde probleem aan van de split tunnel DNS die niet werkte. Ik haal de DNS entry uit de "client" (technisch gezien geen client, maar ik bedoel mijn laptop die naar de RPI verbindt) en DNS lijkt gewoon te werken zonder dat er een DNS entry in staat. Ik heb geen /etc/hosts file of ander manier van hostname resolving op mijn client.

Maar kortom: ik weet niet waarom mijn laptop DNS kan resolven in de wireguard tunnel, maar het werkt wel helemaal zoals ik wil

EDIT
Toch even wat recht zetten. Het werkte achteraf gezien toch niet helemaal. Nu heb ik bij AllowedIPs het stukje van IPv6 eruit gehaald en nu werkt het wel. En met werken bedoel ik: de laptop gebruikt de lokale DNS server van op het werk voor interne IPs te resolven, en de DNS sever van thuis voor IPs van thuis te resolven. Staat de VPN tunnel aan, beide LANs werken ook volledig. Dat was eerder ook het geval niet meer. Als ik de VPN tunnel aan zette, ging alles over huis, wat in mijn geval dus niet de bedoeling was.

[ Voor 26% gewijzigd door bucovaina89 op 15-11-2022 12:37 ]

Vraag

Alle reacties