Securepoint Support Forum

Hallo Kollegen, ich habe das Problem, dass bei der Verbindung via SSL VPN der Client (W10) die DNS Einstellungen der UTM nicht übernimmt und damit auch die Auflösung eines Linuxfileserver im LAN nicht funktioniert.
In VPN - Globale Einstellungen - steht die IP der UTM als DNS primärer Server. (btw. von der UTM - Netzwerkwerkzeuge - klappt die Auflösung). In SSL-VPN Verbindung Bearbeiten - Erweitert ist der grüne Haken bei 
DNS übermitteln gesetzt. Leider klappt dann nach dem Aufbau des VPN die Auflösung nicht da der Client nur seinen lokalen DNS - bspw. Heimrouter - fragt aber nicht die UTM. 
Habe ich etwas vergessen? Danke für eure Hilfe und ein schönes Wochenende.
VG  

Moin,

der PC der die SSL VPN aufbaut ist Mitglied einer Domäne in der auch der Fileserver hängt?
Die Auflösung sollte dann per FQDN klappen.

Cheers

Hallo Figo, danke für die schnelle Antwort. Nein wir haben keine Win Domäne, der Kunde hat ein einfaches Netz indem ein Linux Fileserver via SMB sein Freigabe verteilt.
Danke und Grüße

Moin,

uhi dann wird das so direkt nichts (mMn).
Ich hatte das bei uns dann über einen Eintrag in die hosts-Datei gelöst.
Alternativ könnte die Freigabe im Explorer auch über die IP und nicht den Namen eingebunden werden.

Cheers

Hi Figo, jo das war auch mein Plan B. Ich kann natürlich auch den Linux Server als DNS Server konfigurieren. Was ich aber nicht verstehe, warum kann die UTM die Auflösung nicht macht ... ich denke ich habe irgendwo was vergessen

Moin,

das dachte ich damals auch, bis mir der Supportmensch gesagt hat, das es nicht ginge.
Eine Idee hätte ich noch, man könnte den ganzen Traffic über die UTM jagen also quasi auch den Internetzugang aber das ist halt noch mal ein nicht unerheblicher Aufwand.
Ob das ganze von Erfolg gekröhnt sein wird, vermag ich nicht zu beurteilen.
Bei uns kam dieser Ansatz auf Grund der asymmetrischen Leitung erst gar nicht in Frage.

Cheers

Hi Figo, ok Danke dir. Dann werde ich es in die host eintragen … so ganz verstehen tue ich es nicht, dass es nicht geht … zumindest habe ich die Anleitung so verstanden, dass die Anfragen dann auch von der UTM über den Tunnel beantwortet werden.
Schönes WE

Im SSL VPN-Client muss die Option "block-outside-dns" fuer die entsprechende Verbindung gesetzt werden, damit Windows 10 den von dem SSL-VPN-Server uebermittelten DNS-Server sicher uebernimmt (Windows 10 setzt hier auf eine Metrik fuer DNS-Server)

- Zudem sollten die DNS-Relays in der UTM sauber hinterlegt sein (Alle Forward- und Reverse-Zonen, die der interne DNS-Server verwaltet)
- In den Servereinstellungen nur die Firewall selbst als DNS-Server hinterlegen (127.0.0.1), keinen Sekundaeren Nameserver
- Die VPN-Grundeinstellungen so konfigurieren, das die Firewall als primaerer nameserver verwendet wird. Den internen DNS-Server optional als sekundaeren Nameserver
- Portfilterregel: Tunnelnetz auf entsprechendes Firewall-Interface/ Tunnelnetz auf internen DNS-Server
- Im RW-VPN-Server die DNS-Weiterleitung aktivieren/ Search Domain hinterlegen und danach den SSL-VPN-Dienst ueber die die Anwendungseinstellungen > Anwendungsstatus stoppen, 5 Sekunden warten und dann wieder starten

Danke Mario, probiere ich nachher sofort aus und gebe Rückmeldung ... guten Wochenstart zusammen

Ich klinke mich hier mal kurz mit einer Folgefrage ein:
Kann ich diese Option über die Konfiguration des VPN-Servers und/oder Benutzers/Gruppe auf der UTM setzen?
Oder nur in der konkreten Client-Installation?

Christian

Leider nur global fuer alle SSL-VPN Server. Bei den Servern selbst laesst sich nur noch einstellen, ob der DNS bekannt gegeben wird.

Ja, das ist klar (wobei das immer noch ein Wunsch wäre, pro SSL-VPN-Server unterschiedliche DNS-Server rausgeben zu können).

Was ich meinte - aber nicht genau genug gefragt habe: Kann man die Option "block-outside-dns" UTM-seitig setzen/vorgeben/erzwingen?
Und - in die gleiche Richtung, aber ggf. doch anderes Thema: Kann ich eine auf der UTM geänderte User-Config an einen User "pushen"? (z.B. nach Setzen der Option "Redirect Gateway")

Christian

Diese Option muss immer beim Client direkt gesetzt werden. Diese ist erst einmal Windows 10 spezifisch, soweit ich weiß. Andere Clients (Android usw.) koennten die Nase ruempfen, mit Pech.

Es koennte jedoch zukuenftig so kommen, das man solche Parameter mitgeben kann.

Alles klar, danke für die Info!