openconnect, DNS Auflösung geht nicht

Vinci

hatin' on summer

Registered: Jan 2003
Location: Wien
Posts: 5822

22.11.2023 - 12:18

Grüß euch

Ich hab ein Problem mit openconnect (v9.12) unter Arch und brauch als Netzwerk-Nackapatzi Hilfe. Die Situation ist folgende, ich kann erfolgreich eine Verbindung aufbauen, das funktioniert, den Moment wo ich das allerdings tu funktioniert die DNS Auflösung überhaupt nicht mehr. overclockers.at z.B ist dann via IP erreichbar, via DNS aber nicht mehr. Unter Windows kann ich das Problem nicht reproduzieren.

Hat irgendwer eine Idee woran das liegen könnte?

route Ausgangszustand

Code:

╰─λ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    100    0        0 enp8s0
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp8s0

route nach dem Verbindungsaufbau

Code:

╰─λ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    100    0        0 enp8s0
12.34.56.78     _gateway        255.255.255.255 UGH   100    0        0 enp8s0 # server
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp8s0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.20.0    0.0.0.0         255.255.255.0   U     0      0        0 tun0

nsswitch.conf könnte da wohl auch noch mitspielen?

Code:

# Name Service Switch configuration file.
# See nsswitch.conf(5) for details.

passwd: files systemd
group: files [SUCCESS=merge] systemd
shadow: files systemd
gshadow: files systemd

publickey: files

# hosts: mymachines mdns_minimal [NOTFOUND=return] resolve [!UNAVAIL=return] files myhostname dns
hosts: mymachines mdns4_minimal [NOTFOUND=return] resolve [!UNAVAIL=return] files myhostname dns
networks: files

protocols: files
services: files
ethers: files
rpc: files

netgroup: files

/edit
vpn-slice to the rescue...
Offenbar ändert openconnect ungefragt resolv.conf, warum auch immer. Mit vpn-slice reroute ich jetzt das was ich tatsächlich brauch und resolv.conf wird auch nicht mehr angefasst.

Bearbeitet von Vinci am 22.11.2023, 14:57

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12073

22.11.2023 - 15:00

Eingangs: `route` wurde vor vielen Jahren durch `ip route` abgeloest, genauso, wie `ifconfig` durch `ip addr` und/oder `ip link` ersetzt ist.

Die nsswitch.conf legt nur fest, welche Datenquellen der glibc-Resolver (die Library-Maschinerie hinter gethostbyname/getaddrinfo/etc.) anzapft. Um beim Inhalt deiner sagen zu koennen, was genau los ist, solltest du auch noch den Inhalt von /etc/resolv.conf posten - dann wissen wir mal, welcher Recursor/Nameserver fuer dich Namen via DNS aufloesen soll, was das fehlschlagende Ziel sein sollte.

Edit meint, weil hier noch was dazueditiert wurde, was ich uebersehen habe: Ich hab mir "vpn-slice" nicht angeschaut, aber sollte das Ding nicht auf systemd-resolved als Backend fuer seine (hier mal frech vermuteten) resolv.conf-Shenanigans setzen, dann muss es sofort aus dem Orbit nukular exterminiert werden. So wie alles andere auch, was am Client nicht systemd-resolved zum Aufloesen von DNS RRs nutzt. Und dann wuerde ich noch schauen, dass du den VPN-Tunnel moeglichst via NetworkManager konfigurierst - dann gibt es eigentlich fast keinen Spielraum mehr dafuer, dass irgendwas nicht ootb funktioniert.

Vinci

hatin' on summer

Registered: Jan 2003
Location: Wien
Posts: 5822

22.11.2023 - 15:08

resolv.conf vor dem Verbindungsaufbau

Code:

# Generated by NetworkManager
nameserver 192.168.0.1
nameserver fe80::425f:7dff:feef:458f%enp8s0

nacher

Code:

# Generated by resolvconf
search work.local
nameserver 192.168.1.4

/edit
Hmm, tatsächlich. Wenn ich die Einstellungen direkt im Network Manager vornehm und nicht openconnect via CLI ansprech dann funktioniert alles OOT. Oida.

Bearbeitet von Vinci am 22.11.2023, 15:12

Vinci hatin' on summer Registered: Jan 2003 Location: Wien Posts: 5822	22.11.2023 - 12:18 Grüß euch Ich hab ein Problem mit openconnect (v9.12) unter Arch und brauch als Netzwerk-Nackapatzi Hilfe. Die Situation ist folgende, ich kann erfolgreich eine Verbindung aufbauen, das funktioniert, den Moment wo ich das allerdings tu funktioniert die DNS Auflösung überhaupt nicht mehr. overclockers.at z.B ist dann via IP erreichbar, via DNS aber nicht mehr. Unter Windows kann ich das Problem nicht reproduzieren. Hat irgendwer eine Idee woran das liegen könnte? route Ausgangszustand Code: `╰─λ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default _gateway 0.0.0.0 UG 100 0 0 enp8s0 192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 enp8s0` route nach dem Verbindungsaufbau Code: `╰─λ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default _gateway 0.0.0.0 UG 100 0 0 enp8s0 12.34.56.78 _gateway 255.255.255.255 UGH 100 0 0 enp8s0 # server 192.168.0.0 0.0.0.0 255.255.255.0 U 100 0 0 enp8s0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0` nsswitch.conf könnte da wohl auch noch mitspielen? Code: `# Name Service Switch configuration file. # See nsswitch.conf(5) for details. passwd: files systemd group: files [SUCCESS=merge] systemd shadow: files systemd gshadow: files systemd publickey: files # hosts: mymachines mdns_minimal [NOTFOUND=return] resolve [!UNAVAIL=return] files myhostname dns hosts: mymachines mdns4_minimal [NOTFOUND=return] resolve [!UNAVAIL=return] files myhostname dns networks: files protocols: files services: files ethers: files rpc: files netgroup: files` /edit vpn-slice to the rescue... Offenbar ändert openconnect ungefragt resolv.conf, warum auch immer. Mit vpn-slice reroute ich jetzt das was ich tatsächlich brauch und resolv.conf wird auch nicht mehr angefasst. Bearbeitet von Vinci am 22.11.2023, 14:57
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12073	22.11.2023 - 15:00 Eingangs: `route` wurde vor vielen Jahren durch `ip route` abgeloest, genauso, wie `ifconfig` durch `ip addr` und/oder `ip link` ersetzt ist. Die nsswitch.conf legt nur fest, welche Datenquellen der glibc-Resolver (die Library-Maschinerie hinter gethostbyname/getaddrinfo/etc.) anzapft. Um beim Inhalt deiner sagen zu koennen, was genau los ist, solltest du auch noch den Inhalt von /etc/resolv.conf posten - dann wissen wir mal, welcher Recursor/Nameserver fuer dich Namen via DNS aufloesen soll, was das fehlschlagende Ziel sein sollte. Edit meint, weil hier noch was dazueditiert wurde, was ich uebersehen habe: Ich hab mir "vpn-slice" nicht angeschaut, aber sollte das Ding nicht auf systemd-resolved als Backend fuer seine (hier mal frech vermuteten) resolv.conf-Shenanigans setzen, dann muss es sofort aus dem Orbit nukular exterminiert werden. So wie alles andere auch, was am Client nicht systemd-resolved zum Aufloesen von DNS RRs nutzt. Und dann wuerde ich noch schauen, dass du den VPN-Tunnel moeglichst via NetworkManager konfigurierst - dann gibt es eigentlich fast keinen Spielraum mehr dafuer, dass irgendwas nicht ootb funktioniert.
Vinci hatin' on summer Registered: Jan 2003 Location: Wien Posts: 5822	22.11.2023 - 15:08 resolv.conf vor dem Verbindungsaufbau Code: `# Generated by NetworkManager nameserver 192.168.0.1 nameserver fe80::425f:7dff:feef:458f%enp8s0` nacher Code: `# Generated by resolvconf search work.local nameserver 192.168.1.4` /edit Hmm, tatsächlich. Wenn ich die Einstellungen direkt im Network Manager vornehm und nicht openconnect via CLI ansprech dann funktioniert alles OOT. Oida. Bearbeitet von Vinci am 22.11.2023, 15:12

openconnect, DNS Auflösung geht nicht

Forum Index > Software > Linux and other OS

Vinci

COLOSSUS

Vinci