Hallo zusammen.
Ist es möglich bei einer Verbindung, die sowohl über das Internet als auch per VPN erreichbar ist, den Weg über VPN zu bevorzugen?

Beispiel:
Internet: meineSoftware.meineDomain.de >> 84.87.155.251
VPN: meineSoftware.meineDomain.de >> 192.168.189.100 << soll bevorzugt werden

Ich kann den Aufruf leider nur über den Domain-Namen machen und nicht über die IP. Deswegen geht der Aufruf auch bei bestehender VPN Verbindung immer über das Internet. Der einzige Weg, der mir einfällt, ist dem VPN einen eigenen DNS mitzugeben und dort die Domain intern aufzulösen, nur geht das vermutlich nur wenn ich den kompletten Traffic über VPN leite und nicht als Split, oder?
Gibt es noch andere Wege? Im Netz hab ich ein Skript für Windows gefunden, um die Host-Datei zu beeinflussen, aber nichts für Mac und von Hand ist das umständlich. Dann noch Conditional Forwarding für das man aber einen lokalen DNS Resolver benötigt. Oder ich denke komplett falsch ...

Ursprünglich habe ich dieses Problem durch den Einsatz von zwei verschiedenen Pi-holes gelöst. Die aktuelle Lösung basiert auf Tailscale und kommt ohne Abo aus, das eine Split-DNS-Funktion bereitstellen würde.

Der zentrale Baustein ist ein Pi-hole, das in der Tailscale-Konfiguration als DNS-Server eingetragen ist und dort über eine 100.x-Adresse erreichbar ist. Da VPN im Heimnetz meist nicht aktiv ist, bekommt der Pi-hole-Container per macvlan eine eigene interne IP. Diese Adresse ist unabhängig von der IP des Host-Systems.

Ein zweiter Tailscale-Container fungiert als Subnet-Router und leitet den Verkehr für die internen Adressbereiche weiter. In denselben Netzwerk-Stack ist Caddy integriert, das über eine DNS-01-Challenge bei Hetzner gültige Let's-Encrypt-Zertifikate bezieht, ohne dass ein Port nach außen geöffnet sein muss.

Bei aktiver VPN-Verbindung löst die Domain automatisch auf die interne IP auf. Das Editieren von Host-Dateien oder das Schreiben von Skripten für macOS ist damit nicht notwendig. Die Logik liegt vollständig auf der Infrastrukturseite. Wenn ich unterwegs bin, aktiviert die Tailscale-App das VPN automatisch und deaktiviert es im Heimnetz.

Daran habe ich übrigens ein paar Tage gebastelt. Bin ja nicht vom Fach …

ist das denn nur für einen Rechner, den Du unter Kontrolle hast? Und ist das VPN immer zur Verfügung, es braucht also nie ne direkte Verbindung zu dem Host ohne VPN?

Wenn ja, müsste es doch reichen, einen Eintrag in der /etc/hosts hinzuzufügen mit der internen IP und dem vollen Hostnamen. Dann müsste das doch vom System immer überschrieben werden beim Zugriff mit der IP die übers VPN erreichbar ist.
Ist natürlich nur mühsam, wenn Du zwischen Situationen wechselst wo mal das VPN verfügbar ist und mal nicht. Dann müsste man das jedes Mal wieder ändern.

Doch das geht, besonders mit Split-Tunnel/(-DNS).
Wichtig ist, dass dem VPN ein DNS-Server mitgegeben wird.
Ist der erreichbar, löst er "intern" die 192er Adresse auf und steuert diese per Split-Tunnel per VPN an.
Ansonsten geht er übers Internet.
Das ist die sauberste und einfachste Lösung ohne Bastelei.

Wenn der Hostname „nur“ über den Browser aufgerufen wird und du berechtigt bist, die Hostsdatei auf deinem Rechner zu ändern, einfach 2 Einträge in der Hostsdatei anlegen, einen „meineSeite.extern externeIP“ und im 2. Eintrag „meineSeite.intern interneIP“

konnektor möchte den internen Dienst meineSoftware.meineDomain.de sowohl per VPN unterwegs als auch im Heimnetz über die gleiche Adresse erreichen. Unterwegs wird er über 84.x.y.z aufgelöst, intern über 192.x.y.z. Das Routing sollte ohne unterschiedliche Domains für VPN und Heimnetz funktionieren.

Was du beschreibst, ist, wie man den DNS-Server fürs Internet (z.B. Google) und für Heimnetz (Pi-hole) getrennt anspricht.