DNS für Domain Controller hinter site-to-site VPN Tunnel

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
noniqu
Beiträge: 2
Registriert: Di 30.07.2024, 09:10

DNS für Domain Controller hinter site-to-site VPN Tunnel

Beitrag von noniqu »

Wir sind kürzlich von Sophos zu SecurePoint gewechselt. Nun haben wir das Problem, dass unser Active Directory / Domain Controller von den PCs nicht erreichbar ist. Der DC liegt hinter einem VPN Tunnel in Azure unter der IP Adresse 10.3.0.10. Pingen hin- und her geht wunderbar und der DC erreicht alle unsere lokalen Geräten. Vermutlich liegt das Problem in der Namensauflösung.

Leider können wir unsere alten Einstellungen nicht mehr einsehen. Wie gehe ich in SecurePoint vor um zu realisieren dass unsere Rechner in der Lage sind den DC hinter'm Site-to-site VPN zu erreichen?

Im Internet steht dass ein paar DNS Einträge gesetzt werden müssen. Ich wollte zunächst händisch vier Forward DNS Einträge hinzufügen, allerdings scheint SecurePoint keine SRV Records zu unterstützen.

_ldap._tcp.dc._msdcs.xxxx
_kerberos._tcp.dc._msdcs.xxxx
_ldap._tcp.xxxx
_kerberos._tcp.xxxx

Benutzeravatar
Mario
Securepoint
Beiträge: 977
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Moin!

Was ist das für ein VPN-Tunnel? Wer ist in dem betreffenden Netz der DNS-Server?

Wenn die UTM der DNS-Server ist, wird sie bei SSL-VPN und Wireguard versuchen, die Tunnel-IP zu verwenden, um den Server an der anderen Seite des Tunnels zu erreichen. Es reicht also auf der anderen Seite eine Regel zu schreiben, die erlaubt, dass das Tunnelnetz auf den Domain-Controller anfragen kann. Bei Wireguard muss außerdem auf beiden Seiten innerhalb des Tunnels das Transfernetz des Tunnels zusätzlich freigegeben werden.

Bei IPSEC läuft das anders. Da IPSEC kein Tunnelinterface hat, wird die Anfrage in dem Fall meist mit der externen IP erfolgen (Default Route)

Hier muss man also eine Regel definieren, die das umlenkt. Beispiel:

Quelle: external-interface Ziel: Domaincontroller-IP (Zone external, nicht vpn-ipsec) | Dienstgruppe: domain-services |HIDENAT internal-interface (Mit einer IP maskieren, die im SA des Tunnels als Quelle zulässig ist)
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

noniqu
Beiträge: 2
Registriert: Di 30.07.2024, 09:10

Beitrag von noniqu »

Moin Mario,

erstmal vielen vielen Dank! Es handelt sich um einen site-to-site IPSec VPN. Ich hab jetzt noch nichts ausprobiert weil ich damit bis heute abend warten will wenn das Büro leer ist.

Du meinst also so wie in dem Screenshot unten? (SRV-AD ist ein Netzwerkobjekt mit der IP 10.3.0.10)
Was ich nicht begreife: Woher weiß denn der Router dann, wie er den Namen unseres DC aufzulösen hat? Er hat ja trotz dieser Regel kein Plan wo ad DOT unserunternehmen DOT de zu finden ist. Der Router kennt doch lediglich den Hostnamen und die IP, aber nicht den Namen der Domäne - oder übersehe ich etwas?

screenshot-securepoint-dc-regel.png (1085×768) (noni.io)
Zuletzt geändert von noniqu am Mi 07.08.2024, 14:23, insgesamt 1-mal geändert.

Benutzeravatar
Mario
Securepoint
Beiträge: 977
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ja, so sollte die Regel normalerweise aussehen. Wichtig ist, das sich das Ziel nicht in der Zone "vpn-ipsec", sondern "external" befindet.

Ich gehe hier natürlich von einer einfachen Standardkonfiguration aus.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten