Dec 24, 2023, updated at 08:38:13 (UTC)

3672

Eigenen DNS Server mit VPN für bestimmte Zieladresse

Hallo zusammen,

ich selbst, kenne mich mit DNS/VPN etc. leider nicht sonderlich gut aus.

Folgendes habe ich aber vor:
Ich würde gerne einen VPS Server mieten (mit fester IP) und diesen als DNS Server nutzen.
Darauf soll Linux laufen.

Alle Zieladressen sollen einfach über den DNS 1.1.1.1 oder 8.8.8.8 als Backup laufen.
Bestimmte Zieladressen sollen aber über einen VPN (IPSec oder OpenVPN) laufen.

Sprich wenn ein Austausch mit bestimmter Adresse, z.B. Google.com stattfindet, soll dies über einen VPN laufen. Alles andere soll über 1.1.1.1 oder 8.8.8.8 laufen.

Hat jemand eine Idee, womit man das am besten anstellen kann?
Hört sich aus meiner Wahrnehmung eigentlich nicht so schwer an, hab sowas allerdings noch nie aufgesetzt, geschweige denn mit DNS/VPN etc. gearbeitet.

Meine feste IP vom Server würde ich dann gerne als meinen DNS setzen, um so über 1.1.1.1/8.8.8.8 zu laufen oder eben bei bestimmter Domain über einen VPN

Please also mark the comments that contributed to the solution of the article

Content-Key: 51274122296

Url: https://administrator.de/contentid/51274122296

Printed on: May 2, 2024 at 00:05 o'clock

32 Comments

Latest comment

Moin

Wieviele Clients betrifft das,?
Die lokale Auflösung ("hosts" / "lmhosts" - Datei) schon bedacht?

Nennt sich DNS Conditional Forwarding.

Braucht es aber in der Regel nicht wenn man schon seinen eigenen DNS-Server nutzt. Dann trägt man einfach für die gewünschte Domain einen alternativen A-Record oder CNAME Alias in die Zone ein und fertig, schon löst der Client die Domain mit der alternativen Adresse auf.

Pj

Zitat von @MirkoKR:

Moin

Wieviele Clients betrifft das,?
Die lokale Auflösung ("hosts" / "lmhosts" - Datei) schon bedacht?

Im Grunde gehts darum, das ich ein WLAN SSID Netz bei mir erstellen will, welches auf diesen DNS geht. Auf diesem Netz sind nur meine Smart Home Geräte, bzw. z.B. Roboter. Und dem soll vorgegaukelt werden, das der Roboter in China ist (über VPN oder so). Deshalb auch nur für eine bestimmte Domain - Der Rest soll ganz normal über 1.1.1.1/8.8.8.8 laufen.

Hosts oder so von den Robotern etc. ist halt schwierig. Deshalb muss ich irgendwie einen Server haben, auf den die WLAN SSID geht als DNS und der leitet dann je nach Anfrage über den VPN oder normal halt weiter.

Moin,

Es ist nicht ganz klar, was Du machen willst, weil Du zwei Sachen durcheinanderwirfst, DNS und VPN.

Es ist "trivial", einen DNS-Server aufzusetzen, der prinzipiell als Forwarder arbeitet und bestimmte Domains selbst auflöst. Wenn er als Forwarder andere Namerver fragt, kann er das natürlich direkt tun oder über einen VPN-Tunnel, je nachdem wie Du Dein VPN-Routing definiert hast.

Und zu den IP-Adressen, die Du als Ergebnis bekommst, kannst Du natürlich direkt oder per VPN-Tunnel Verbindung aufbauen, auch abhängig vom VPN-Routing.

Nun ist die Frage was Du genau machen willst?

Willst Du nur die DNS-anfragen Tunneln?

Willst Du selber Namen auflösen?

Willst Du aufgrund von Domain amen statt ip-Adressen Tunneln?

Letzteres ist allerdinfs nicht trivial.

Präzisiere bitte Dein Anliegen, damit Dir geholfen werden kann.

lks

PS: How to correctly ask a question

Moin,
setze eine pfSense/OPNsense zu Hause als Router auf. Entsprechende HowTo gibt es von @aqui.
Somit kannst du mit VPN Providern, wie z.B. Mullvad entsprechende Tunnel auf Basis von OpenVPN oder Wireguard realisieren. Mit Hilfe von Forward-. und Outbound NAT Rules kannst du entsprechend steuern, welche Quell- und/oder Zieladressen direkt bzw. durch den VPN Tunnel geschickt werden.

Alle Zieladressen sollen einfach über den DNS 1.1.1.1 oder 8.8.8.8 als Backup laufen.

Weiß nicht, ob ich heute noch 8.8.8.8 verwenden würde. Unabhängig davon würde ich auch IPv6 Adressen von DNS Servern konfigurieren.

Gruß,
Dani

Zitat von @Reuddiga:

Zitat von @MirkoKR:

Moin

Wieviele Clients betrifft das,?
Die lokale Auflösung ("hosts" / "lmhosts" - Datei) schon bedacht?

Du bist immer noch unpräzise.

Wem genau soll vorgegaukelt werden daß er in China ist? deinem Netzwerk? Den Robotern? Der dns-Server?

Irgendwie verwirrt diese Aussage mehr als Deine ursprüngliche Frage.

lks

Ein Tunnel (VPN) hat immer einen Eingang und einen Ausgang. Beide musst du konfigurieren können. Wenn der VPN-Tunnel bei dir beginnt, soll er in China enden? Und wenn ja, wo? (Wer verwaltet den Tunnel-Ausgang?)

Jürgen

Und nebenbei: VPN und China - 2 Themen, die sich nicht gerade grün sind.

Jürgen

Okay, ich gehe mal einen anderen Ansatz:

Also, ich habe einen Saugroboter, der aus China kommt. Leider hat der Hersteller einen Region Lock. Bedeutet, über einen VPN komme ich rein und kann den Roboter in die App hinzufügen. Ohne Standort in China aber leider nicht.

Meine Idee war nun, einen simplen Linux Ubuntu Server aufzusetzen, dessen IP Adressen man als DNS Server im Router setzen kann.

Der Linux Server soll dann jeden Traffic einfach an 1.1.1.1 bzw. 8.8.8.8 leiten.
Mit Ausnahme von einer bestimmten Domain (zum Anbieter dieses Saugroboters), nur dieser soll über VPN laufen (OpenVPN). Ich hätte von dem Anbieter die Domain und die IP Adresse, also am besten wäre natürlich die beiden über VPN laufen zu lassen. Der Rest aber halt nicht.

Es geht also lediglich darum, das man den Saugroboter ganz normal nutzen kann und dem Anbieter halt vorgaukelt in China zu sein, damit man den Roboter nutzen kann. Dieser VPN nach China soll aber nur für diesen bestimmten Anbieter gelten und alles andere soll einfach über 1.1.1.1 oder 8.8.8.8 laufen.

So viel einmal zur Idee und Zusammenfassung. Im Grunde will ich es anderen damit nur ebenfalls einfacher machen, die dann z.B. eine SSID in ihrem Netz erstellen können, mit DNS auf meine IP des Linux Servers um das ebenfalls zu umgehen.

____________________________________________________

Ich hab schon einiges Probiert aber komme leider nicht wirklich weiter.
Hab schon OpenVPN installiert und auch einen VPN mit .ovpn installiert aber so richtig funktionieren will das nicht. Auch hab ich keine Ahnung wie ich kontrollieren kann, ob dnsmasq z.B. meinen DNS (den ich am Windows PC erstellt habe) annimmt/weiterleitet denn nslookup zeigt zwar die IP Adresse des Servers an aber wenn ich einfach eine URL blocke, kann ich sie an meinem Windows Rechner trotzdem aufrufen.

Immer wenn ich service openvpn start mache, fliege ich auch aus meinem Terminal. Ich würde halt auch gern wissen ob man den .ovpn z.B. lediglich auf eine Domain/IP legen kann und alles andere nicht gefiltert wird. Hab auch hier schon was probiert aber das half nicht. Bin dann immer direkt vom Server gekickt.

Das nennt sich Policy Based Routing, das hat rein gar nichts mit DNS zu tun ...
https://help.mikrotik.com/docs/display/ROS/Policy+Routing

Auf deinem Gateway konfigurierst du eine Regel die den Traffic deines gewünschten Subnetzes über das VPN leitet. Mit so einer Regel lässt sich auch bestimmen das nur bestimmte Zieladressen über das VPN geleitet werden, das kommt aber auf den Router an den du verwendest.
OPNSense, pFSense, OpenWRT, Mikrotik, Cisco, oder Linux allgemein etc. bieten aber alle die Möglichkeit dafür.
Für genauere Informationen zur Konfiguration in deiner Umgebung fehlen hier aber die Informationen zu verfügbaren Hard-/Software deines Netzes !

Ich will das ganze aber als Server umsetzen, nicht auf meinem Router. Auf meinem Router kriege ich das ja hin. Mir geht es ja aber darum eine IP Adresse anzubieten, die andere als DNS nutzen können, damit Leute, die nicht viel Ahnung haben, trotzdem ihren Saugroboter nutzen können. Ich hab lediglich einen Simplen Ubuntu Server, der gemietet ist bei netcup. Mehr nicht... Was netcup jetzt für Router oder so hat, weiß ich nicht.

Dessen IP Adresse würde ich halt gern als DNS setzen wollen und dann soll der Server korrekt leiten. Mehr eigentlich nicht.

Zitat von @Reuddiga:

Ich will das ganze aber als Server umsetzen, nicht auf meinem Router.

Das ist Jacke wie Hose, Router basieren ja meist auch nur auf Linux Derivaten.
Und da reicht eine eigene Routing-Table und eine Routing-Rule dafür .
https://man7.org/linux/man-pages/man8/ip-rule.8.html

Auf meinem Router kriege ich das ja hin. Mir geht es ja aber darum eine IP Adresse anzubieten, die andere als DNS nutzen können.

Wie gesagt das eine hat mit DNS so viel zu tun wie ein Fisch mit einem Fahrrad. Dir fehlt hier offensichtlich das Verständnis was DNS ist und was Routing. Wenn du mit einer chinesischen IP unterwegs sein musst bringt dir DNS herzlich wenig, du verstehen?!

, damit Leute, die nicht viel Ahnung haben, trotzdem ihren Saugroboter nutzen können.

Dann richte auf dem Server einen VPN Responder für deine Clientel ein, der selbst diesen Traffic an diese bestimmten Ziel-IPs über ein eigenes VPN leitet dessen Endpunkt in China liegt, der Rest aber wie gehabt den normalen Exit-Node in DE haben.

Sorry, aber mit so wenig Routing Grundlagenwissem anderen öffentliche Dienste anzubieten zu wollen ist schon sehr abenteuerlich ... 🤔

Moin,

Ich will das ganze aber als Server umsetzen, nicht auf meinem Router.

je nach Router ist das vermutlich mit einer GUI deutlich einfacher und auch sicherer als ein dedizierte Server, welchen du ohne das notwendige Wissen nicht sicher administrieren kannst.

Gruß,
Dani

Zitat von @Dani:

Moin,

Ich will das ganze aber als Server umsetzen, nicht auf meinem Router.

je nach Router ist das vermutlich mit einer GUI deutlich einfacher und auch sicherer als ein dedizierte Server, welchen du ohne das notwendige Wissen nicht sicher administrieren kannst.

Gruß,
Dani

Hast du da als GUI eine Idee?

Über bind9 habe ich zumindest forwarding hinbekommen, funktioniert auch soweit. Aber den VPN für eine bestimmte Domain, scheint komplizierter zu sein. Denn immer wenn ich OpenVPN starte, ist halt die ganze Serververbindung weg und ich krieg einen VPN nur für eine Domain halt nicht hin...

forwarding auf 1.1.1.1 und 8.8.8.8 als Backup geht mit bind9 ja zumindest recht einfach

Zitat von @Reuddiga:
. Denn immer wenn ich OpenVPN starte, ist halt die ganze Serververbindung weg und ich krieg einen VPN nur für eine Domain halt nicht hin...

Ist normal wenn du ein "Gateway Redirect" machst geht alles nur noch durch den Tunnel und der Endpunkt ist dort an dem dein VPN terminiert ist . Split-Tunneling ist dein Freund und man nur die Route für die Zieladresse im VPN-Client einträgt und den GW Redirect deaktiviert.

Irgendwie habe ich dein Problem immer noch nicht richtig verstanden. (Mal abgesehen von von den obigen Aussagen zum Routing.)
Wenn du hiesige Geräte über einen VPN-Tunnel in China "erscheinen" lassen willst, liegt ein Endpunkt des Tunnels hier. Der andere Endpunkt liegt zwingend in China und muss zwingend eine chinesische IP haben! Dann kannst du den Datenverkehr durch den Tunnel routen und er erscheint dort mit einer chinesischen IP.

Also noch einmal die Frage: Wie realisierst du den VPN-Tunnen-Endpunkt in China? Hast du eine chinesische IP?

Im Header jedes IP-Pakets steht Absende- und Zieladresse. Dort muss die deutsche Absenderadresse durch eine Chinesische ausgetauscht werden. Das geht nicht mit DNS-Einträgen!

Jürgen

Moin,

Du doktorst hier nur an einem Syptom herum. Außerdem will man gar nicht, daß die Geräte mit China reden.

Ich würde einfach den Hersteller fragen, ob die eine andere Firmware und App haben, und ansonsten selber patchen.

Wenn ich das Obige richtig interpretiere, willst Du die Dinger hierzulande vertreiben und dann kannst Du eigentlich Geld in die Hand nehmen und jemanden dafür bezahlen, sei es der Hersteller oder ein Entwickler hierzulande, daß er Dir das Ding für die EU anpaßt.

lks

PS:

Müssen die App, der Roboter oder beide dran glauben, daß sie in China sind?

Funktioniert die App mit dem Roboter, wenn beide im gleichen LAN/WLAN sind?

Im Header jedes IP-Pakets steht Absende- und Zieladresse. Dort muss die deutsche Absenderadresse durch eine Chinesische ausgetauscht werden. Das geht nicht mit DNS-Einträgen!

Meine Rede, das Versuche ich ihm auch schon dauernd klar zu machen , aber wie man sieht vergeblich! Der TO sollte erst mal einen Grundlagen-Kurs in Sachen Routing belegen, bevor er hier mit öffentlichen Servern rum hantiert und sich bewusst wird was er hier eigentlich treibt, auch von rechtlicher Seite🖖

Zitat von @10138557388:

Im Header jedes IP-Pakets steht Absende- und Zieladresse. Dort muss die deutsche Absenderadresse durch eine Chinesische ausgetauscht werden. Das geht nicht mit DNS-Einträgen!

Ich habe Cyberghost als VPN ausprobiert. Wenn ich dort in meinem Router Cyberghost über OpenVPN als VPN Client im Unifi Network anlege, dann kann der Roboter in dem neuen WLAN SSID Netz laufen und es funktioniert.

Also habe praktisch VPN Client über OpenVPN in lokalen Netzwerk mit Standort China.

Zitat von @Lochkartenstanzer:

Moin,

Du doktorst hier nur an einem Syptom herum. Außerdem will man gar nicht, daß die Geräte mit China reden.

Ich würde einfach den Hersteller fragen, ob die eine andere Firmware und App haben, und ansonsten selber patchen.

Wenn ich das Obige richtig interpretiere, willst Du die Dinger hierzulande vertreiben und dann kannst Du eigentlich Geld in die Hand nehmen und jemanden dafür bezahlen, sei es der Hersteller oder ein Entwickler hierzulande, daß er Dir das Ding für die EU anpaßt.

lks

PS:

Müssen die App, der Roboter oder beide dran glauben, daß sie in China sind?

Funktioniert die App mit dem Roboter, wenn beide im gleichen LAN/WLAN sind?

Der Hersteller will ja nicht, das man günstigere Geräte aus China bei uns nutzt. Bei uns verkaufen sie die Geräte fürs doppelte.

Nur der Roboter wird jede Nacht geprüft, ob der Standort China ist oder so. Also wenn er im VPN ist, dann funktionierts. Ist er im normalen WLAN Netz, dann gehts nicht. Die App kann im normalen Netz sein, ohne China VPN.

____________________________________________

Meine Idee war halt, weils das bereits ein Russischer Mitbürger anbietet, einen DNS Server zu stellen, wo das Routing stattfindet. Sprich einfach alles an 1.1.1.1 oder 8.8.8.8 bis auf Ausnahme von 2-3 Domains/IP-Adressen.

Hier die Seite von dem: https://vacuum.mindsolo.net/info/region-lock-bypass
Der hat auch lediglich zwei IP Adressen die er als DNS anbietet, die man in seiner Fritz Box oder sonst wo einträgt und schon läuft der Roboter, da die Adresse zum Hersteller der Roboter praktisch über VPN laufen wird. Oder der kann irgendwie anders den Standort "faken".

Also wenn da jemand ne Idee hat, ob man das irgendwie auch im Header anders faken kann für die bestimmten Domains/IP-Adressen, und vortäuschen kann, man kommt aus China, dann würde ich auch das natürlich gerne probieren. Wäre ja noch besser als mit einem VPN.

Also mit bind9 habe ich zumindest das Thema 1.1.1.1 bzw. 8.8.8.8 hinbekommen, aber irgendwie bestimmte Domains anders leiten bzw. über den OpenVPN nicht.

So genau weiß man halt leider auch nicht, auf was die Anbieter in China schauen. Ob die im Header schauen oder anderweitig den Standort auslesen oder so... Auf jeden Fall funktioniert ein VPN über China.

Achso das meinst du, na das ist keine Magie.
DNS-Abfragen auf eine bestimmte Domain die der Sauger abfragt liefern bei Abfragen außerhalb von China einfach kein Ergebnis bzw. NXDOMAIN, nur wenn du dich mit einem Exit-Node in China befindest lösen die dortigen DNS-Server diese Domain auf, China filtert und manipuliert ja sämtliche DNS-Abfragen mit seiner Great-Wall.
Du musst also nur mit Wireshark den Traffic des Saugers aufzeichnen und die DNS-Abfragen analysieren, checken welche Domain hier abgefragt wird und welche Antwort darauf kommt. Diese Records pflegst du dann in deinen DNS Server ein.

Mehr Details dazu wird dir hier sicher niemand verraten, illegale Details verbreiten verstößt ja i.d.R. gegen Forenpolicies.

Zitat von @10138557388:

Achso das meinst du, na das ist keine Magie.
DNS-Abfragen auf eine bestimmte Domain die der Sauger abfragt liefern bei Abfragen außerhalb von China einfach kein Ergebnis bzw. NXDOMAIN, nur wenn du dich mit einem Exit-Node in China befindest lösen die dortigen DNS-Server diese Domain auf, China filtert und manipuliert ja sämtliche DNS-Abfragen mit seiner Great-Wall.
Du musst also nur mit Wireshark den Traffic des Saugers aufzeichnen und die DNS-Abfragen analysieren, checken welche Domain hier abgefragt wird und welche Antwort darauf kommt. Diese Records pflegst du dann in deinen DNS Server ein.

Mehr Details dazu wird dir hier sicher niemand verraten, illegale Details verbreiten verstößt ja i.d.R. gegen Forenpolicies.

Ah okay, du meinst das der Server, den Dreame nutzt nur aus China heraus erreichbar ist und wenn ich die IP-Adresse wüsste, wohin der Roboter kommunizieren will, das man die im DNS praktisch nur umleitet auf einen DNS Server in China, damit dieser dann auflösen kann?

Steht ja schon oben, entweder Conditional-Forwarding über ein VPN am Server oder wenn es statische Einträge sind direkt am DNS-Server die abgefragten Einträge in einer eigenen Zone für die abgefragte Domain hinterlegen.

Zitat von @10138557388:

Steht ja schon oben, entweder Conditional-Forwarding über ein VPN am Server oder wenn es statische Einträge sind direkt am DNS-Server die abgefragten Einträge in einer eigenen Zone für die abgefragte Domain hinterlegen.

Also erreichbar ist der Roboter ja auch im normalen WLAN Netz, ohne VPN Client nach China. Nur wenn ich den Roboter anklicke, sagt er "Falscher Bereich" was halt bedeutet, das der Anbieter des Roboters absichtlich blockt. Verbindung ist ja an sich da, sehe auch ja Batteriestand, was er gerade macht etc. kann aber nichts einstellen oder steuern.

Und erst wenn er im WLAN Netz ist, wo mein VPN Client läuft (also eigene SSID), dann kann ich ihn auch wieder einstellen.

Vermute also das die schon auf den Standort oder irgendwas schauen, weshalb es mit VPN halt geht aber ohne nicht. Erreichbar ist es ja, also komplett China Block deren Servers wird das wohl nicht sein.

Conditional-Forwarding muss ich mir mal anschauen. Ist halt nicht so einfach wenn man in der Materie so gar nicht steckt. Aber trotzdem vielen Dank schon mal an alle, die bis hierhin geholfen haben.

Mit bind9 war das Forwarden auf 1.1.1.1 und 8.8.8.8 ja prinzipiell erstmal recht einfach. Ist halt nur das VPN Thema das Problem, da jedes mal bei

service openvpn start

meine ganze Serververbindung usw. unterbricht.

Falls jemand eine Idee hat, worauf der Anbieter schauen könnte um rauszufinden woher ich komme, gerne eine Info. Meine App auf dem Handy ist ganz normal und ich bin mit der App auch im normalen Netz. Also nur der Roboter muss über die SSID mit VPN laufen. Aber keine Ahnung worauf die dann achten. Also falls man irgendwie über den Header was anreichern kann, wäre das vielleicht auch ne Idee?

Zitat von @Reuddiga:
Also erreichbar ist der Roboter ja auch im normalen WLAN Netz, ohne VPN Client nach China. Nur wenn ich den Roboter anklicke, sagt er "Falscher Bereich" was halt bedeutet, das der Anbieter des Roboters absichtlich blockt. Verbindung ist ja an sich da, sehe auch ja Batteriestand, was er gerade macht etc. kann aber nichts einstellen oder steuern.

Und erst wenn er im WLAN Netz ist, wo mein VPN Client läuft (also eigene SSID), dann kann ich ihn auch wieder einstellen.

Vermute also das die schon auf den Standort oder irgendwas schauen, weshalb es mit VPN halt geht aber ohne nicht. Erreichbar ist es ja, also komplett China Block deren Servers wird das wohl nicht sein.

Steht doch oben, er macht nur eine DNS-Abfrage, diese kann man je nach Standort der SRC-IP manipulieren. Ist der Exit-Node der Abfrage in Chine erhältst du ein anderes Egebnis als wenn du die DNS-Abfrage aus DE machst!

Mit bind9 war das Forwarden auf 1.1.1.1 und 8.8.8.8 ja prinzipiell erstmal recht einfach. Ist halt nur das VPN Thema das Problem, da jedes mal bei

service openvpn start

meine ganze Serververbindung usw. unterbricht.

Steht auch schon oben "Split-Tunneling" statt ein GW-Redirect machen!

Ist halt nicht so einfach wenn man in der Materie so gar nicht steckt. Ist halt nicht so einfach wenn man in der Materie so gar nicht steckt.

Dann lies dir die Routing-Basics erst einmal an. Ein Meister fällt ja auch nicht einfach so vom Himmel.
https://www.google.com/search?q=Routing+Basics

Zitat von @10138557388:

Bedeutet also, ohne VPN nichts möglich oder kann ich meine SRC-IP "fälschen" und eine aus China vorgeben, die ich nicht bin oder sowas? Oder macht es eventuell Sinn, einen Server mit Standort China zu haben?

Nur damit ich sicher sein kann, das ich es richtig verstanden habe. Mit "er" meinst du der Hersteller/Anbieter checkt meine IP-Adresse, schaut dort auf die Location und sagt "außerhalb China, also block".

Gehe gerade nur alle varianten durch, um natürlich vielleicht auch den VPN zu sparen.

Mit bind9 war das Forwarden auf 1.1.1.1 und 8.8.8.8 ja prinzipiell erstmal recht einfach. Ist halt nur das VPN Thema das Problem, da jedes mal bei

service openvpn start

meine ganze Serververbindung usw. unterbricht.

Steht auch schon oben "Split-Tunneling" statt ein GW-Redirect machen!

Ist halt nicht so einfach wenn man in der Materie so gar nicht steckt. Ist halt nicht so einfach wenn man in der Materie so gar nicht steckt.

Dann lies dir die Routing-Basics erst einmal an. Ein Meister fällt ja auch nicht einfach so vom Himmel.
https://www.google.com/search?q=Routing+Basics

Mach ich!

Zitat von @Reuddiga:
Bedeutet also, ohne VPN nichts möglich oder kann ich meine SRC-IP "fälschen" und eine aus China vorgeben, die ich nicht bin oder sowas? Oder macht es eventuell Sinn, einen Server mit Standort China zu haben?

Je nachdem braucht man kein VPN, du musst nur die DNS-Antworten fälschen die der Roboter erwartet. Sind diese statisch und immer die selben brauchst du nur zum Einrichten und analysieren der Daten ein VPN, hinterher trägst du nur die Records in deinen DNS-Server ein und fertig. Sind sie dagegen dynamisch, brauchst du ein VPN über das du nur die DNS-Forwarding-Abfragen per Policy Routing oder hinzugefügter VPN-Route an einen beliebigen DNS-Server in China leitest.

Nur damit ich sicher sein kann, das ich es richtig verstanden habe. Mit "er" meinst du der Hersteller/Anbieter checkt meine IP-Adresse, schaut dort auf die Location und sagt "außerhalb China, also block".

Der Roboter wertet nur die DNS-Antwort aus, diese ist je nach Standort des Users eben anders. Der Nameserver der verantwortlich für die Domain ist liefert je nach SRC-IP des anfragenden unterschiedliche Daten aus. In China ist dabei auch der Staat involviert der DNS-Abfragen manipulieren kann und dort andere Records liefert als außerhalb von China.

Moin,

Mach's doch ganz pragmatisch.

Miete Dir in China einen Vserver. Und auf diesen läßt Du dann Deine DNS-Abfragen auflaufen. Problem gelöst.

Notfalls bietest Du allen ein VPN zu Deinem Server an. Mit wirehuard geht das sogar fast trivial.

lks

Mach's doch ganz pragmatisch.

Es bläst und saugt der Heinzelmann ...😂

Zitat von @10138557388:

Mach's doch ganz pragmatisch.

Es bläst und saugt der Heinzelmann ...😂

Wo Mutti sonst nur nur ~~blasen~~ saugen kann.

Hab jetzt nach ewigem rumprobieren was hinbekommen...

Zumindest meine Anfragen an den Anbieter, laufen jetzt laut traceroute über

10.2.4.1

welches mein OpenVPN ist.

Allerdings häng ich praktisch an einem neuen Problem:

Das hier ist meine bind9 conf.options

options {
    directory "/var/cache/bind";  
    dnssec-validation no;
    recursion yes;
    listen-on { any; };
    allow-query { any; };
    forwarders {
        10.2.4.112;
    };
    forward only;
};

Soweit so gut, der ping auf 10.2.4.112 funktioniert auch, da kommt direkt eine Antwort.

PING 10.2.4.112 (10.2.4.112) 56(84) bytes of data.
bytes from 10.2.4.112: icmp_seq=1 ttl=64 time=0.134 ms
bytes from 10.2.4.112: icmp_seq=2 ttl=64 time=0.100 ms
bytes from 10.2.4.112: icmp_seq=3 ttl=64 time=0.176 ms

Probiere ich aber nun über meine Server ip z.B. folgendes

nslookup google.com

Erhalte ich:

Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
Name:   google.com
Address: 142.250.185.174
Name:   google.com
Address: 2a00:1450:4001:82a::200e

Wenn ich nun aber

nslookup google.com 123.12.123.123

(also meine ip) probiere
Erhalte ich:

communications error to 123.12.123.123#53: timed out
Server:         123.12.123.123
Address:        123.12.123.123#53

** server can't find google.com: SERVFAIL  

Ein weiterer test mit dig google.com zeigt mir

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             12      IN      A       142.250.185.174

;; Query time: 4 msec

Wenn ich jetzt aber

dig google.com @123.12.123.123

(meine ip)
ausprobiere, dann bekomme ich folgendes:

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 3fb6dd3eef762f9801000000658c058f1cae30f45392bfd8 (good)
;; QUESTION SECTION:
;google.com.                    IN      A

;; Query time: 5000 msec

Also irgendwas passt da nicht so ganz zu meinem OpenVPN würde ich behaupten?
Komischerweise funktioniert traceroute google.com oder mit der jeweiligen domain ja schon, aber sobald ich meine IP nehme, dann halt nicht mehr.

Hat jemand ne Idee, was das Problem sein kann?
Wenn ich in den forwarders bei bind9 z.B. 1.1.1.1 oder 8.8.8.8 als dns eintrage, dann geht der ping oder nslookup über meine Server IP.

Bedeutet für mich, das irgendwas an meinem OpenVPN blockt, oder nicht korrekt ist oder so?

Hier mal die conf von OpenVPN

client
remote XXXXXXXXXXXX 443
dev tun
proto udp
auth-user-pass /etc/openvpn/user.txt

route-nopull
route 0.0.0.0 128.0.0.0 net_gateway
route 128.0.0.0 128.0.0.0 net_gateway

route AnbieterDomain 255.255.255.255 vpn_gateway

route AnbieterDomain 255.255.255.255 vpn_gateway

dhcp-option DNS 8.8.4.4
dhcp-option DNS 8.8.8.8

resolv-retry infinite
persist-key
persist-tun
nobind
cipher AES-256-CBC
auth SHA256
ping 5
ping-exit 60
ping-timer-rem
explicit-exit-notify 2
script-security 2
remote-cert-tls server
route-delay 5
verb 4
log-append /var/log/openvpn/openvpn.log

up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

up /etc/openvpn/update_bind_forwarder.sh

ca ca.crt

cert client.crt

key client.key

Vielleicht hat ja jemand ne Idee. Bind9 scheint ja zu gehen mit nameserver über google oder so, nur mein VPN will nicht so ganz aber in den Logs von openvpn sehe ich auch keine Fehler oder so...

Hab gerade noch was rausgefunden...

Der Russische Kollege, der sowas bereits in Russland anbietet, also den Anbieter zu filtern und alles andere über 1.1.1.1 auch laufen lässt.

Dort habe ich folgendes rausgefunden, wenn ich nslookup bei dem anbieter mache normal, erhalte ich deren IP Adresse. Wenn ich aber nslookup DOMAIN IP_VOM_RUSSEN, dann erhalte ich als Address die IP vom Russen.

Also so, als wäre der Server von dem Russen der Server von dem Saugroboter-Anbieter.

Vielleicht hilft das ja, das jemand ne Idee hat wie der das macht?
Also der hat irgendwie seine IP als die Address in nslookup bei dem Anbieter.

Moin Reuddiga,

Mir geht es ja aber darum eine IP Adresse anzubieten, die andere als DNS nutzen können, damit Leute, die nicht viel Ahnung haben, trotzdem ihren Saugroboter nutzen können.

ich erhalte dich nicht für geeignet, solch einen Server bzw. Service zu betreiben. Ganz schnell könnte da eine Abuse Meldung von Netcup einfliegen. Kommt es zu missbräuchlichen Nutzung könnte auch noch Ärger ins Haus truddeln.

Hast du da als GUI eine Idee?

OPNsense, pfSense, Mikotek, IPFire,

du wirst aus meiner sicht um die beschriebene Kaskade nicht herumkommen. Ein einfaches DNS Forwarding wird dir bei nicht helfen, wenn hinter dem FQDN des Herstellers des Geräts ein CDN/Cloud steckt. Hier kann die IP-Adresse schneller wechseln als du reagieren kannst. Sogar mehrmals am Tag.

Gruß,
Dani

German Question DNS Routers, Routing

Hotly discussed

End of availability for classic Teams clientDani - 2 Comments

Ubuntu 24.04 LTS Noble Numbat availableFrank

Developer diary: Release 6.1admtech