DNS über VPN

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
mhoe
Beiträge: 5
Registriert: Mo 30.06.2014, 13:30

DNS über VPN

Beitrag von mhoe »

Ich habe auf dem Securepoint den DSN-Server in Betrieb genommen um den Windows DSN abzulösen. Im LAN funktioniert der DSN auch. Über VPN Antworte der DSN-Server aber nicht.
Der Windows DSN hat im LAN immer funktioniert. Daher kann es als kein Portfilterproblem sein.

Zu Umgebung:
LAN 172.18.0.0 / 255.255.0.0.
VPN 192.168.0.0 / 255.255.255.0

Die DSN-Abfrage über Systremwerkzeuge funktioniert.

Hostabrage von der Firewall:

Using domain server:
name:  192.168.90.1
Address: 192.168.90.1#53
Aliases:

odin.nmt.local has address: 172.18.3.2


Eigenschaften des VPN Adapter

Ethernet-Adapter Ethernet 3:

   Verbindungsspezifisches DNS-Suffix: nmt.local
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physische Adresse . . . . . . . . : 00-FF-B0-4F-94-B5
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::642e:3103:e604:1def%20(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.90.2(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Dienstag, 4. Dezember 2018 09:11:36
   Lease läuft ab. . . . . . . . . . : Mittwoch, 4. Dezember 2019 09:11:36
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 192.168.90.254
   DHCPv6-IAID . . . . . . . . . . . : 117505968
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-50-89-E3-E0-DB-55-D0-6D-72
   DNS-Server  . . . . . . . . . . . : 192.168.90.1
   Primärer WINS-Server. . . . . . . : 192.168.90.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert


   
Hostabfrage vom VPN Rechner:

C:\nslookup odin.nmt.local
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  192.168.90.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.       

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

gibt es eine Regel die DNS vom VPN Netzwerk auf das Firewall Interface erlaubt?

Gruß

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo mhoe!

[quote][font=-apple-system, Helvetica Neue, Helvetica, sans-serif]Der Windows DSN hat im LAN immer funktioniert. Daher kann es als kein Portfilterproblem sein.[/font][/quote]
Gibt es denn eine Portfilterregel, die eine Verbindung vom VPN-Netz (192.168.90.0/24 mit entsprechender Zone) auf den DNS-Server 192.168.90.1 (die Zone dieser Schnittstelle und das Netzwerkobjekt muss manuell angelegt und konfiguriert werden)?

Wenn es diese Regel nicht gibt, dann sollte im Log zu sehen sein, dass die Pakete verworfen werden.

Grüße
Svenja

mhoe
Beiträge: 5
Registriert: Mo 30.06.2014, 13:30

Beitrag von mhoe »

Der DNS 192.168.90.1 und der VPN RemoteRechner 192.168.90.2 sind doch durch seine die Netzmaske /24 im selben Netz.

Ich habe jetzt mehrere Portfilter ausprobiert und auch extra noch eine Regel vom Netz 192.168.90.0/24 auf den DNS-Server 192.168.90.1 erstellt. Ich habe "any"  und auch nur DNS freigegeben.
Das Ergebis ist immer das selbe:

04.12.2018 13:04:46
kernel
DROP: (DEFAULT DROP)192.168.90.2:54050  tun1  192.168.90.1:53UDP

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

in welcher Zone legt das Objekt für das Firewall Interface? (Standardmäßig gibt es keine Interface-Zone für eine Openvpn Schnittstelle)
Beispiel:
Ich gehe von der Schnittstelle tun0 aus:
Es werden zwei Zonen benötigt: vpn-openvpn und firewall-openvpn (Flag: Interface)
Danach zwei Objekte: net-openvpn (Zone: vpn-openvpn, IP:192.168.90.0/24 ) und interface-openvpn (Zone:  firewall-openvpn, IP: 192.168.90.1)

Danach noch eine Regel: 
Quelle: net-openvpn
Ziel: interface-openvpn
Dienst: dns
ACCEPT

Gruß

mhoe
Beiträge: 5
Registriert: Mo 30.06.2014, 13:30

Beitrag von mhoe »

Danke für die netten Antworten. Dank des Hinweises von kennethj konnte ich das Problem lösen.
Es fehlte ein Object mit dem Flag Interface.

Antworten