Portmaster trotz WireGuard?

Ihre Beschreibung des Programms Portmaster in c’t 19/2024 hat mich neugierig gemacht und ich würde es gerne mal ausprobieren. Allerdings arbeite ich oft im Homeoffice und muss mich dann via WireGuard mit dem VPN meines Arbeitgebers verbinden. Die VPN-Software leitet sämtliche DNS-Anfragen in unser Firmennetz um. Muss ich in dem Fall irgendwas Besonderes beim Einsatz von Portmaster beachten beziehungsweise wird das überhaupt funktionieren?

Sie können Portmaster auch mit aktiver VPN-Verbindung nutzen. Damit interne Hostnamen aus dem Firmennetz korrekt über DNS aufgelöst werden können, müssen Sie Portmaster allerdings zunächst passend konfigurieren.

Standardmäßig fängt Portmaster sämtliche DNS-Anfragen ein, filtert sie und sendet sie verschlüsselt an einen DNS-Resolver weiter. Auch DNS-Anfragen, die eigentlich der DNS-Resolver Ihrer Firma beantworten sollte, werden auf diese Weise behandelt. Ist in Portmaster ein externer Resolver wie Cloudflare eingestellt, landen die DNS-Anfragen dort und Anfragen nach internen Hostnamen werden nicht korrekt beantwortet, weil der externe Resolver die dazugehörigen IP-Adressen nicht kennt.

Um das Problem zu lösen, können Sie die IP Ihres Firmen-DNS-Resolvers aus der WireGuard-Konfiguration auslesen (die Zeile in der Konfiguration beginnt mit "DNS =") und in die globalen Portmaster-Einstellungen eintragen.

Klicken Sie hierzu in Portmaster auf das Zahnradsymbol am linken Bildschirmrand und fügen Sie unter "DNS Servers" eine Zeile wie "dns://[IP-Adresse]" hinzu. Klicken Sie auf das Häkchen neben dem Eingabefeld und schieben Sie den neuen Eintrag ganz nach oben, damit Portmaster dort zuerst nachfragt.

Wenn Sie eine zweite DNS-IP in der WireGuard-Konfiguration finden, können Sie diese ebenfalls auf diese Weise hinterlegen. Ist der Firmen-DNS-Resolver verschlüsselt erreichbar, beginnt das Präfix des Portmaster-Eintrags mit "dot://" für DNS-over-TLS oder mit "doh://" für DNS-over-HTTPS.

Neugierig geworden?

Weitere Tipps & Tricks von c't

(rei)