Servus zusammen,
die Clients unseres Kunden können sich problemlos mit der Black Dwarf in seiner Firma verbinden. Lediglich die DNS Auflösung funktioniert nicht.
Bei den globalen DNS-Einstellungen ist der DNS-Server eingetragen. WINS ist leer. Bei der SSL-VPN Verbindung ist die Einstellung "DNS weiterleiten" eingeschaltet.
Portweiterleitung von VPN Netz in Hauptnetz ist für "any" freigegeben.
Allerdings sieht es so aus, als würde er für DNS Abfragen den Tunnel gar nicht nutzen, sondern direkt ins Internet gehen. ipconfig auf dem Client zeigt mir auch keinen konfigurierten DNS-Server.
Der hier im Forum empfohlene Konfigurationsbefehl für den Securepoint VPN Client "block-outside-dns" ändert die Fehlermeldung, allerdings findet er so immer noch keinen DNS-Server. Und konsequenterweise wird auf dem Client dann gar keine Seite mehr geöffnet, da er ja jetzt nicht mal mehr über das Internet die Namensauflösung betreiben kann.
https://www.bilder-upload.eu/bild-3788a ... 1.jpg.html
Das ist die nslookup-Ausgabe nach aktivieren von "block-outside-dns". Falls diese Einstellung ausgeschaltet ist, bekommt man bei dem Versuch, eine interne Adresse aufzulösen, einfach nur nxdomain.
Wo könnte hier der Fehler liegen?
Viele Grüße
Franz
Clients können DNS-Namen nicht auflösen
Moderator: Securepoint
Hall Franz,
das Problem hatte ich letztens zufällig auch. Gemerkt habe ich es, als ich vCenter aufrufen wollte, welches nur auf FQDN Ebene antwortet und der Name konnte per VPN nicht aufgelöst werden. Das Problem ist hier die Metrik des TAP Adapters.
Mit Get-NetIPInterface in Powershell kannst du die Metrikwerte der Adapter anzeigen lassen. Hier einfach den TAP Adapter, welcher für den SSL-VPN verwendet wird raussuchen und dann ein kleinere Metrik geben, als die normale LAN-Verbindung.
netsh int ip set interface interface="Adaptername" metric=Metrikwert
Bei mir musste ich von Metrik 25 auf 24 switchen, da der LAN-Port schon 25 hat. Danach sollte es gehen.
Gruß
Carsten
das Problem hatte ich letztens zufällig auch. Gemerkt habe ich es, als ich vCenter aufrufen wollte, welches nur auf FQDN Ebene antwortet und der Name konnte per VPN nicht aufgelöst werden. Das Problem ist hier die Metrik des TAP Adapters.
Mit Get-NetIPInterface in Powershell kannst du die Metrikwerte der Adapter anzeigen lassen. Hier einfach den TAP Adapter, welcher für den SSL-VPN verwendet wird raussuchen und dann ein kleinere Metrik geben, als die normale LAN-Verbindung.
netsh int ip set interface interface="Adaptername" metric=Metrikwert
Bei mir musste ich von Metrik 25 auf 24 switchen, da der LAN-Port schon 25 hat. Danach sollte es gehen.
Gruß
Carsten
Ich konnte das Problem nun mit einem Workaround beheben.
Im VPN-Client habe ich die Option "dhcp-option DNS XXX" gesetzt. Jetzt wäre nur die Frage, wo das auf Seiten der UTM eingestellt werden kann.
Viele Grüße
Franz
Im VPN-Client habe ich die Option "dhcp-option DNS XXX" gesetzt. Jetzt wäre nur die Frage, wo das auf Seiten der UTM eingestellt werden kann.
Viele Grüße
Franz
RW-Netz > Internal Interface : DNS freigeben
Dann in den globalen VPN-Einstellungen die Firewall als primaeren, den internen DNS-Server, wenn gewuenscht, als Sekundaer festlegen
Im RW-Tunnel DNS-Weiterleitung anschalten/ Search-Domain angeben und den Dienst ueber Anwendungen/ Anwendungsstatus STOPPEN, kurz warten und neu starten.
Namensaufloesung:
In den Servereinstellungen der Firewall darauf achten, das nur die 127.0.0.1 als primaerer Nameserver angegeben ist, sonst nichts!
Nameserver: Relay fuer PTR/ Forward Zone erstellen, welches auf den internen nameserver fuer die gewunschte Domain zeigt. Unter DNS-Forwarding moeglichst einen schnellen externen Nameserver wie die 8.8.8.8 hinterlegen.
Im RW-Client fuer die VPN-Verbindung die Einstellungen aufrufen und "Block-Outside-DNS" einschalten und verbinden.
Bei SSL- S2S-Verbindungen kann man die regel ebenfalls benutzen. So kann man eine Regel fuer alle Geraete im Tunnel setzen und es ist auch kein NAT noetig.
Dann in den globalen VPN-Einstellungen die Firewall als primaeren, den internen DNS-Server, wenn gewuenscht, als Sekundaer festlegen
Im RW-Tunnel DNS-Weiterleitung anschalten/ Search-Domain angeben und den Dienst ueber Anwendungen/ Anwendungsstatus STOPPEN, kurz warten und neu starten.
Namensaufloesung:
In den Servereinstellungen der Firewall darauf achten, das nur die 127.0.0.1 als primaerer Nameserver angegeben ist, sonst nichts!
Nameserver: Relay fuer PTR/ Forward Zone erstellen, welches auf den internen nameserver fuer die gewunschte Domain zeigt. Unter DNS-Forwarding moeglichst einen schnellen externen Nameserver wie die 8.8.8.8 hinterlegen.
Im RW-Client fuer die VPN-Verbindung die Einstellungen aufrufen und "Block-Outside-DNS" einschalten und verbinden.
Bei SSL- S2S-Verbindungen kann man die regel ebenfalls benutzen. So kann man eine Regel fuer alle Geraete im Tunnel setzen und es ist auch kein NAT noetig.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Vielen Dank für die Anleitung, Schritt 1 war damit erfolgreich.
Ich kann nun Hosts auflösen, allerdings nur durch den FQDN. Wenn ich im Client die dhcp-option domain setze, dann gehen auch Hostnames. Aber das ist anscheinend nicht von Dauer. Kann ich irgendwo konfigurieren, dass die DNS search domain mitgeliefert wird o.Ä.
Mfg Martin
Ich kann nun Hosts auflösen, allerdings nur durch den FQDN. Wenn ich im Client die dhcp-option domain setze, dann gehen auch Hostnames. Aber das ist anscheinend nicht von Dauer. Kann ich irgendwo konfigurieren, dass die DNS search domain mitgeliefert wird o.Ä.
Mfg Martin
Ja, das habe ich in der Anleitung bereits erwaehnt: Im Tunnel selbst wird ganz unten die Search Domain mit angegeben. Wenn der Client-PC da jedoch nicht mitspielt kann man da nicht viel mehr machen. Theoretisch kann man die Search Domain auch beim Netzwerkadapter direkt hinterlegen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Vermutlich ist das Mitspielen des Clients-PCs der Faktor, auf der Securepoint ist die Search Domain bereits angegeben.
Man muss hierbei dazusagen, dass die DNS-Auflösung durch einen Windows Server passiert und der User am VPN-Tunnel nicht Mitglied der Active Directory ist. Sobald der User und der Computer in der AD sind, gehts natürlich.
Man muss hierbei dazusagen, dass die DNS-Auflösung durch einen Windows Server passiert und der User am VPN-Tunnel nicht Mitglied der Active Directory ist. Sobald der User und der Computer in der AD sind, gehts natürlich.