Standort VPN (IPSec) - Client soll in die Domäne

[crashy1984]

Hallo Forum,

bin noch Neuling was die Konfiguration von den Securepoint-Geräten angeht. Im Kopf habe ich die entsprechenden Schritte schon; sollte soweit eigentlich alles gehen - tut es aber nicht :-(

ich habe hier folgendes Szenario:

Standort A:

Securepoint V10 (192.168.99.1)
DC Win2k8 (192.168.99.100) Domäne: contoso.local
Client 1 + 2

DHCP kommt vom DC.
Innherlab dieses Netzes läuft alles.


Standort B:

Securepoint V10 (192.168.175.1)
DHCP 192.168.175.2-254
Bei DHCP wird 192.168.175.1 als DNS mitgegeben.

Client 1 (192.168.175.20)

Zwischen A und B ist eine Standort VPN eingerichtet. Diese läuft auch sehr gut. Ebenfalls habe ich auf A einen weiteren Benutzer für mobiles SSL VPN konfiguriert.

Ich habe bei B unter Nameserver -> Domainweiterleitung
eine weiterleitung eingerichtet:
contoso.local -> 192.168.99.100
Dieser Tip kam von der Support-Hotline.

Leider bekomme ich nun eine Fehlermeldung auf dem Client an Standort B das keine Verbindung zur Domäne hergestellt werden kann. Unter Details sehe ich dann:
"Der Vorgang wurde wegen Zeitüberschreitung zurückgegeben."

Wäre schön wenn jemand einen weitern Denkanstoß für mich hat. Denn ich kann den Fehler so nicht finden.
Bei weiteren Fragen antworte ich schnell!

[crashy1984]

da kam aber der Rückruf schnell - sehr schöner schneller Support!

Also des Rätsels Lösung war hier gewesen das an Standort B ein Hide NAT Eintrag fehlte.

Also reicht es wenn die entsprechende Domainweiterleitung eingetragen wird und unter Firewall -> HideNat ein entsprechender Eintrag erfolgt...

[carsten]

Zur Info warum:

Client ---DNS----> FW (neue Verbindung) ---- DNS im VPN ----> Server

Da die FW ein NEUE Verbindung zum Server aubaut, und die Datenpakete die externe Schnittstelle verlassen, haben die Pakete auch im Tunnel eine externen IP.

Dies ist natürlich falsch! Durch das Hidenat wird nun alles was von der FW kommt und in den Tunnel geht mit der internen IP maskiert, was nun laut Tunnel definition korrekt ist