SSL VPN e2s DNS Auflösung klappt nicht

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
ITk-Schmied
Beiträge: 11
Registriert: Do 21.11.2019, 12:00

SSL VPN e2s DNS Auflösung klappt nicht

Beitrag von ITk-Schmied »

Hallo Kollegen, ich habe das Problem, dass bei der Verbindung via SSL VPN der Client (W10) die DNS Einstellungen der UTM nicht übernimmt und damit auch die Auflösung eines Linuxfileserver im LAN nicht funktioniert.
In VPN - Globale Einstellungen - steht die IP der UTM als DNS primärer Server. (btw. von der UTM - Netzwerkwerkzeuge - klappt die Auflösung). In SSL-VPN Verbindung Bearbeiten - Erweitert ist der grüne Haken bei 
DNS übermitteln gesetzt. Leider klappt dann nach dem Aufbau des VPN die Auflösung nicht da der Client nur seinen lokalen DNS - bspw. Heimrouter - fragt aber nicht die UTM. 
Habe ich etwas vergessen? Danke für eure Hilfe und ein schönes Wochenende.
VG  

Figo
Beiträge: 37
Registriert: Mo 23.03.2020, 17:14

Beitrag von Figo »

Moin,

der PC der die SSL VPN aufbaut ist Mitglied einer Domäne in der auch der Fileserver hängt?
Die Auflösung sollte dann per FQDN klappen.

Cheers
Have you tried turning it off and on again?
And no, shutting down and restarting is not a restart on Windows 10!

ITk-Schmied
Beiträge: 11
Registriert: Do 21.11.2019, 12:00

Beitrag von ITk-Schmied »

Hallo Figo, danke für die schnelle Antwort. Nein wir haben keine Win Domäne, der Kunde hat ein einfaches Netz indem ein Linux Fileserver via SMB sein Freigabe verteilt.
Danke und Grüße

Figo
Beiträge: 37
Registriert: Mo 23.03.2020, 17:14

Beitrag von Figo »

Moin,

uhi dann wird das so direkt nichts (mMn).
Ich hatte das bei uns dann über einen Eintrag in die hosts-Datei gelöst.
Alternativ könnte die Freigabe im Explorer auch über die IP und nicht den Namen eingebunden werden.

Cheers
Have you tried turning it off and on again?
And no, shutting down and restarting is not a restart on Windows 10!

ITk-Schmied
Beiträge: 11
Registriert: Do 21.11.2019, 12:00

Beitrag von ITk-Schmied »

Hi Figo, jo das war auch mein Plan B. Ich kann natürlich auch den Linux Server als DNS Server konfigurieren. Was ich aber nicht verstehe, warum kann die UTM die Auflösung nicht macht ... ich denke ich habe irgendwo was vergessen :/

Figo
Beiträge: 37
Registriert: Mo 23.03.2020, 17:14

Beitrag von Figo »

Moin,

das dachte ich damals auch, bis mir der Supportmensch gesagt hat, das es nicht ginge.
Eine Idee hätte ich noch, man könnte den ganzen Traffic über die UTM jagen also quasi auch den Internetzugang aber das ist halt noch mal ein nicht unerheblicher Aufwand.
Ob das ganze von Erfolg gekröhnt sein wird, vermag ich nicht zu beurteilen.
Bei uns kam dieser Ansatz auf Grund der asymmetrischen Leitung erst gar nicht in Frage.

Cheers
Have you tried turning it off and on again?
And no, shutting down and restarting is not a restart on Windows 10!

ITk-Schmied
Beiträge: 11
Registriert: Do 21.11.2019, 12:00

Beitrag von ITk-Schmied »

Hi Figo, ok Danke dir. Dann werde ich es in die host eintragen … so ganz verstehen tue ich es nicht, dass es nicht geht … zumindest habe ich die Anleitung so verstanden, dass die Anfragen dann auch von der UTM über den Tunnel beantwortet werden.
Schönes WE

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Im SSL VPN-Client muss die Option "block-outside-dns" fuer die entsprechende Verbindung gesetzt werden, damit Windows 10 den von dem SSL-VPN-Server uebermittelten DNS-Server sicher uebernimmt (Windows 10 setzt hier auf eine Metrik fuer DNS-Server)

- Zudem sollten die DNS-Relays in der UTM sauber hinterlegt sein (Alle Forward- und Reverse-Zonen, die der interne DNS-Server verwaltet)
- In den Servereinstellungen nur die Firewall selbst als DNS-Server hinterlegen (127.0.0.1), keinen Sekundaeren Nameserver
- Die VPN-Grundeinstellungen so konfigurieren, das die Firewall als primaerer nameserver verwendet wird. Den internen DNS-Server optional als sekundaeren Nameserver
- Portfilterregel: Tunnelnetz auf entsprechendes Firewall-Interface/ Tunnelnetz auf internen DNS-Server
- Im RW-VPN-Server die DNS-Weiterleitung aktivieren/ Search Domain hinterlegen und danach den SSL-VPN-Dienst ueber die die Anwendungseinstellungen > Anwendungsstatus stoppen, 5 Sekunden warten und dann wieder starten
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

ITk-Schmied
Beiträge: 11
Registriert: Do 21.11.2019, 12:00

Beitrag von ITk-Schmied »

Danke Mario, probiere ich nachher sofort aus und gebe Rückmeldung ... guten Wochenstart zusammen

cmeis
Beiträge: 3
Registriert: Di 10.07.2012, 08:34

Beitrag von cmeis »

Ich klinke mich hier mal kurz mit einer Folgefrage ein:
Kann ich diese Option über die Konfiguration des VPN-Servers und/oder Benutzers/Gruppe auf der UTM setzen?
Oder nur in der konkreten Client-Installation?

Christian

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Leider nur global fuer alle SSL-VPN Server. Bei den Servern selbst laesst sich nur noch einstellen, ob der DNS bekannt gegeben wird.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

cmeis
Beiträge: 3
Registriert: Di 10.07.2012, 08:34

Beitrag von cmeis »

Ja, das ist klar (wobei das immer noch ein Wunsch wäre, pro SSL-VPN-Server unterschiedliche DNS-Server rausgeben zu können).

Was ich meinte - aber nicht genau genug gefragt habe: Kann man die Option "block-outside-dns" UTM-seitig setzen/vorgeben/erzwingen?
Und - in die gleiche Richtung, aber ggf. doch anderes Thema: Kann ich eine auf der UTM geänderte User-Config an einen User "pushen"? (z.B. nach Setzen der Option "Redirect Gateway")

Christian

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Diese Option muss immer beim Client direkt gesetzt werden. Diese ist erst einmal Windows 10 spezifisch, soweit ich weiß. Andere Clients (Android usw.) koennten die Nase ruempfen, mit Pech.

Es koennte jedoch zukuenftig so kommen, das man solche Parameter mitgeben kann.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

cmeis
Beiträge: 3
Registriert: Di 10.07.2012, 08:34

Beitrag von cmeis »

Alles klar, danke für die Info!

Antworten