SSL VPN e2s DNS Auflösung klappt nicht
Moderator: Securepoint
-
- Beiträge: 11
- Registriert: Do 21.11.2019, 12:00
SSL VPN e2s DNS Auflösung klappt nicht
Hallo Kollegen, ich habe das Problem, dass bei der Verbindung via SSL VPN der Client (W10) die DNS Einstellungen der UTM nicht übernimmt und damit auch die Auflösung eines Linuxfileserver im LAN nicht funktioniert.
In VPN - Globale Einstellungen - steht die IP der UTM als DNS primärer Server. (btw. von der UTM - Netzwerkwerkzeuge - klappt die Auflösung). In SSL-VPN Verbindung Bearbeiten - Erweitert ist der grüne Haken bei
DNS übermitteln gesetzt. Leider klappt dann nach dem Aufbau des VPN die Auflösung nicht da der Client nur seinen lokalen DNS - bspw. Heimrouter - fragt aber nicht die UTM.
Habe ich etwas vergessen? Danke für eure Hilfe und ein schönes Wochenende.
VG
In VPN - Globale Einstellungen - steht die IP der UTM als DNS primärer Server. (btw. von der UTM - Netzwerkwerkzeuge - klappt die Auflösung). In SSL-VPN Verbindung Bearbeiten - Erweitert ist der grüne Haken bei
DNS übermitteln gesetzt. Leider klappt dann nach dem Aufbau des VPN die Auflösung nicht da der Client nur seinen lokalen DNS - bspw. Heimrouter - fragt aber nicht die UTM.
Habe ich etwas vergessen? Danke für eure Hilfe und ein schönes Wochenende.
VG
Moin,
der PC der die SSL VPN aufbaut ist Mitglied einer Domäne in der auch der Fileserver hängt?
Die Auflösung sollte dann per FQDN klappen.
Cheers
der PC der die SSL VPN aufbaut ist Mitglied einer Domäne in der auch der Fileserver hängt?
Die Auflösung sollte dann per FQDN klappen.
Cheers
Have you tried turning it off and on again?
And no, shutting down and restarting is not a restart on Windows 10!
And no, shutting down and restarting is not a restart on Windows 10!
-
- Beiträge: 11
- Registriert: Do 21.11.2019, 12:00
Hallo Figo, danke für die schnelle Antwort. Nein wir haben keine Win Domäne, der Kunde hat ein einfaches Netz indem ein Linux Fileserver via SMB sein Freigabe verteilt.
Danke und Grüße
Danke und Grüße
Moin,
uhi dann wird das so direkt nichts (mMn).
Ich hatte das bei uns dann über einen Eintrag in die hosts-Datei gelöst.
Alternativ könnte die Freigabe im Explorer auch über die IP und nicht den Namen eingebunden werden.
Cheers
uhi dann wird das so direkt nichts (mMn).
Ich hatte das bei uns dann über einen Eintrag in die hosts-Datei gelöst.
Alternativ könnte die Freigabe im Explorer auch über die IP und nicht den Namen eingebunden werden.
Cheers
Have you tried turning it off and on again?
And no, shutting down and restarting is not a restart on Windows 10!
And no, shutting down and restarting is not a restart on Windows 10!
-
- Beiträge: 11
- Registriert: Do 21.11.2019, 12:00
Hi Figo, jo das war auch mein Plan B. Ich kann natürlich auch den Linux Server als DNS Server konfigurieren. Was ich aber nicht verstehe, warum kann die UTM die Auflösung nicht macht ... ich denke ich habe irgendwo was vergessen
Moin,
das dachte ich damals auch, bis mir der Supportmensch gesagt hat, das es nicht ginge.
Eine Idee hätte ich noch, man könnte den ganzen Traffic über die UTM jagen also quasi auch den Internetzugang aber das ist halt noch mal ein nicht unerheblicher Aufwand.
Ob das ganze von Erfolg gekröhnt sein wird, vermag ich nicht zu beurteilen.
Bei uns kam dieser Ansatz auf Grund der asymmetrischen Leitung erst gar nicht in Frage.
Cheers
das dachte ich damals auch, bis mir der Supportmensch gesagt hat, das es nicht ginge.
Eine Idee hätte ich noch, man könnte den ganzen Traffic über die UTM jagen also quasi auch den Internetzugang aber das ist halt noch mal ein nicht unerheblicher Aufwand.
Ob das ganze von Erfolg gekröhnt sein wird, vermag ich nicht zu beurteilen.
Bei uns kam dieser Ansatz auf Grund der asymmetrischen Leitung erst gar nicht in Frage.
Cheers
Have you tried turning it off and on again?
And no, shutting down and restarting is not a restart on Windows 10!
And no, shutting down and restarting is not a restart on Windows 10!
-
- Beiträge: 11
- Registriert: Do 21.11.2019, 12:00
Hi Figo, ok Danke dir. Dann werde ich es in die host eintragen … so ganz verstehen tue ich es nicht, dass es nicht geht … zumindest habe ich die Anleitung so verstanden, dass die Anfragen dann auch von der UTM über den Tunnel beantwortet werden.
Schönes WE
Schönes WE
Im SSL VPN-Client muss die Option "block-outside-dns" fuer die entsprechende Verbindung gesetzt werden, damit Windows 10 den von dem SSL-VPN-Server uebermittelten DNS-Server sicher uebernimmt (Windows 10 setzt hier auf eine Metrik fuer DNS-Server)
- Zudem sollten die DNS-Relays in der UTM sauber hinterlegt sein (Alle Forward- und Reverse-Zonen, die der interne DNS-Server verwaltet)
- In den Servereinstellungen nur die Firewall selbst als DNS-Server hinterlegen (127.0.0.1), keinen Sekundaeren Nameserver
- Die VPN-Grundeinstellungen so konfigurieren, das die Firewall als primaerer nameserver verwendet wird. Den internen DNS-Server optional als sekundaeren Nameserver
- Portfilterregel: Tunnelnetz auf entsprechendes Firewall-Interface/ Tunnelnetz auf internen DNS-Server
- Im RW-VPN-Server die DNS-Weiterleitung aktivieren/ Search Domain hinterlegen und danach den SSL-VPN-Dienst ueber die die Anwendungseinstellungen > Anwendungsstatus stoppen, 5 Sekunden warten und dann wieder starten
- Zudem sollten die DNS-Relays in der UTM sauber hinterlegt sein (Alle Forward- und Reverse-Zonen, die der interne DNS-Server verwaltet)
- In den Servereinstellungen nur die Firewall selbst als DNS-Server hinterlegen (127.0.0.1), keinen Sekundaeren Nameserver
- Die VPN-Grundeinstellungen so konfigurieren, das die Firewall als primaerer nameserver verwendet wird. Den internen DNS-Server optional als sekundaeren Nameserver
- Portfilterregel: Tunnelnetz auf entsprechendes Firewall-Interface/ Tunnelnetz auf internen DNS-Server
- Im RW-VPN-Server die DNS-Weiterleitung aktivieren/ Search Domain hinterlegen und danach den SSL-VPN-Dienst ueber die die Anwendungseinstellungen > Anwendungsstatus stoppen, 5 Sekunden warten und dann wieder starten
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 11
- Registriert: Do 21.11.2019, 12:00
Danke Mario, probiere ich nachher sofort aus und gebe Rückmeldung ... guten Wochenstart zusammen
Leider nur global fuer alle SSL-VPN Server. Bei den Servern selbst laesst sich nur noch einstellen, ob der DNS bekannt gegeben wird.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Ja, das ist klar (wobei das immer noch ein Wunsch wäre, pro SSL-VPN-Server unterschiedliche DNS-Server rausgeben zu können).
Was ich meinte - aber nicht genau genug gefragt habe: Kann man die Option "block-outside-dns" UTM-seitig setzen/vorgeben/erzwingen?
Und - in die gleiche Richtung, aber ggf. doch anderes Thema: Kann ich eine auf der UTM geänderte User-Config an einen User "pushen"? (z.B. nach Setzen der Option "Redirect Gateway")
Christian
Was ich meinte - aber nicht genau genug gefragt habe: Kann man die Option "block-outside-dns" UTM-seitig setzen/vorgeben/erzwingen?
Und - in die gleiche Richtung, aber ggf. doch anderes Thema: Kann ich eine auf der UTM geänderte User-Config an einen User "pushen"? (z.B. nach Setzen der Option "Redirect Gateway")
Christian
Diese Option muss immer beim Client direkt gesetzt werden. Diese ist erst einmal Windows 10 spezifisch, soweit ich weiß. Andere Clients (Android usw.) koennten die Nase ruempfen, mit Pech.
Es koennte jedoch zukuenftig so kommen, das man solche Parameter mitgeben kann.
Es koennte jedoch zukuenftig so kommen, das man solche Parameter mitgeben kann.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de