Beruflich habe ich hin und wieder mit OpenVPN zu tun. Obwohl die meisten VPN-Lösungen, welche ich nutze, mittlerweile auf WireGuard setzen, muss ich doch immer mal OpenVPN-basierte VPN einrichten. Auf der Client-Seite ist hier meist OpenVPN Connect oder die OpenVPN GUI im Einsatz.
Die Funktionsweise des OpenVPN Connect Client unterscheidet sich teils signifikant von der des OpenVPN GUI Clients. Die Menge an möglichen Einstellungen bei OpenVPN Connect ist stark begrenzt.
DNS
Aber auch in Richtung DNS gibt es stark unterschiedliches Verhalten; OpenVPN Connect blockiert mithilfe von WFP „Windows Filtering Platform“ jeglichen DNS-Traffic, wenn dieser nicht über den Tunnel passiert.
Gemäß dem OpenVPN-Support ist das absichtliches Verhalten des OpenVPN Connect-Clients:
OpenVPN Connect v3 on Windows enforces DNS-leak protection using the Windows Filtering Platform.
Openvpn-support
This filtering is independent of routing and can cause DNS queries outside the tunnel to be blocked, even in split-tunnel configurations.
This is expected behavior and differs from the OpenVPN community client. At this time, OpenVPN Connect does not provide a supported option to allow external DNS resolution while the VPN connection is active.
To resolve this, DNS traffic must be routed through the VPN or handled by a DNS server reachable via the tunnel.
Insbesondere dann, wenn der VPN Client also eigene DNS-Server, weder den VPN-Server, noch einen über den VPN-Server erreichbaren DNS-Server, verwenden soll, diese aber nicht via Tunnel geroutet werden oder gar nicht geroutet werden können, weil der VPN-Server am anderen Ende kein entsprechendes Routing aktiviert hat, wird es mit OpenVPN Connect schon eng.
Dieses Verhalten war leider in keiner Dokumentation von OpenVPN Connect erwähnt. Auch die OpenVPN-Community war hier wenig hilfreich, zudem das Community-Forum von OpenVPN sehr schlecht gewartet und oft nicht erreichbar ist. Zudem können derzeit keine Benutzeraccounts angelegt oder alte Accounts wiederhergestellt werden. Auf meine Anfrage dazu via IRC bekam ich keine Antwort.
Alternative Lösung
Als Alternative können die gleichen ovpn-Konfigurationen einfach im OpenVPN Community Client verwendet werden. Dieser aktiviert per Default, aber einstellbar, keine WFP-Regeln um DNS-Traffic per se zu blockieren.
Die Einrichtung ist nicht gleichermaßen simpel und er sieht nicht so schön und benutzerfreundlich aus, aber immerhin ist eine reibungslose Funktion bei Split-Tunnel-Setups gegeben.