17
Anfragen an internen- und externen DNS Server
Hallo,
im Homeoffice soll eine DNS Anfrage für Softphone über einen externen DNS Server laufen und nicht über den internen DNS Server. Dies soll aber nur für bestimmte Einträge passieren. Für das Homeoffice gibt es ein definiertes vLAN. Der interne DNS Server ist Windows Server 2016.
Wie kann ich für bestimmte Anfragen den Client dazu bringen, den externen DNS zu befragen?
Gruß
Peter
im Homeoffice soll eine DNS Anfrage für Softphone über einen externen DNS Server laufen und nicht über den internen DNS Server. Dies soll aber nur für bestimmte Einträge passieren. Für das Homeoffice gibt es ein definiertes vLAN. Der interne DNS Server ist Windows Server 2016.
Wie kann ich für bestimmte Anfragen den Client dazu bringen, den externen DNS zu befragen?
Gruß
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1097059939
Url: https://administrator.de/contentid/1097059939
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
17 Kommentare
Neuester Kommentar
Hi,
so wie beschrieben würde ich sagen: Gar nicht. Du kannst dem Client nicht sagen "Frage DNS XY für Bereich A und DNS ZF für Bereich B".
Du könntest höchstens einen weiteren DNS-Server dazwischenschalten, der dann für bestimmte Bereiche eine bedingte Weiterleitung zum externen oder internen DNS macht.
Die Frage ist eher:
Würde nicht eine bedingte Weiterleitung im internen DNS reichen?
Am besten wäre ein Beispiel, warum genau diese Unterscheidung nötig ist, warum darf dein DNS Server diese speziellen Adressen nicht "normal" auflösen (nehme an das würde falsch aufgelöst)?
so wie beschrieben würde ich sagen: Gar nicht. Du kannst dem Client nicht sagen "Frage DNS XY für Bereich A und DNS ZF für Bereich B".
Du könntest höchstens einen weiteren DNS-Server dazwischenschalten, der dann für bestimmte Bereiche eine bedingte Weiterleitung zum externen oder internen DNS macht.
Die Frage ist eher:
Würde nicht eine bedingte Weiterleitung im internen DNS reichen?
Am besten wäre ein Beispiel, warum genau diese Unterscheidung nötig ist, warum darf dein DNS Server diese speziellen Adressen nicht "normal" auflösen (nehme an das würde falsch aufgelöst)?
Hi,
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN. Wir würden gerne Telefonie und den Rest voneinander trennen.
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN. Wir würden gerne Telefonie und den Rest voneinander trennen.
Wir haben einen anderen DHCP Server. Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
Zitat von @BPeter:
Hi,
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN. Wir würden gerne Telefonie und denRest voneinander trennen.
Hi,
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN. Wir würden gerne Telefonie und denRest voneinander trennen.
Da nützt es dir aber nix, wenn du am DNS rumfummelst. Hier hilft nur eine saubere Planung und Umsetzung des VPNs
Moin,
lass doch einfach über euren DNS Server im VPN Tunnel die öffentliche Adresse für VOIP ausgeben.
Wer spielt da DNS?
Gruß
Spirit
lass doch einfach über euren DNS Server im VPN Tunnel die öffentliche Adresse für VOIP ausgeben.
Wer spielt da DNS?
Gruß
Spirit
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN.
Ok, also Split Tunnel beim VPNWir würden gerne Telefonie und den Rest voneinander trennen.
Über VPN mit Split Tunnel eher schwierig, weil du den Datenstrom nicht mehr unter Kontrolle hast.Selbst bei VPN Full Tunnel bräuchtest du policy based routing um das aufzusplitten.
Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
Versteh ich nicht, die DNS Auflösung hat mit dem Routing der Pakete nichts zu tun, wenn beide DNS das gleiche Ziel zurückgeben.Zitat von @Drohnald:
Selbst bei VPN Full Tunnel bräuchtest du policy based routing um das aufzusplitten.
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN.
Ok, also Split Tunnel beim VPNWir würden gerne Telefonie und den Rest voneinander trennen.
Über VPN mit Split Tunnel eher schwierig, weil du den Datenstrom nicht mehr unter Kontrolle hast.Selbst bei VPN Full Tunnel bräuchtest du policy based routing um das aufzusplitten.
Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
Versteh ich nicht, die DNS Auflösung hat mit dem Routing der Pakete nichts zu tun, wenn beide DNS das gleiche Ziel zurückgeben.Das tun sie ja nicht. Es sind 2 verschiedene IP-Adressen.
Zitat von @Spirit-of-Eli:
Moin,
lass doch einfach über euren DNS Server im VPN Tunnel die öffentliche Adresse für VOIP ausgeben.
Wer spielt da DNS?
Gruß
Spirit
Moin,
lass doch einfach über euren DNS Server im VPN Tunnel die öffentliche Adresse für VOIP ausgeben.
Wer spielt da DNS?
Gruß
Spirit
Der interne DNS Server.
Wie sieht es mit Geolocation aus? Kann ich das dort umsetzen?
Du kannst es auch in der hosts-datei eintragen. Das wird dir aber nix bringen, da der VoIP-Traffic trotzdem durch dein VPN-Tunnel geht.
Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen
Zitat von @148656:
Du kannst es auch in der hosts-datei eintragen. Das wird dir aber nix bringen, da der VoIP-Traffic trotzdem durch dein VPN-Tunnel geht.
Du kannst es auch in der hosts-datei eintragen. Das wird dir aber nix bringen, da der VoIP-Traffic trotzdem durch dein VPN-Tunnel geht.
Dann würde immer der die gleiche IP genommen, egal ob Homeoffice oder Büro.
Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen
Das müsste ich mit meinen Kollegen bereden.
Also ja, Split-Tunneling ist auch bei meiner Idee erforderlich. Hatte ich so als gegeben angenommen.
Haben wir also alle Recht 😉
Eine Alternative wäre natürlich noch sowas wie DirectAccess zu nutzen.
Aber da würde ich dann doch eher an den Problemen bei VOIP over VPN schrauben falls sonst kein weiterer nutzen daraus gezogen werden kann.
Aber da würde ich dann doch eher an den Problemen bei VOIP over VPN schrauben falls sonst kein weiterer nutzen daraus gezogen werden kann.
Moin,
Wieso? Das ist doch der Auftrag. Vorab: Es fehlen ein paar wesentliche Informationen wie z. B. wie VoIP betrieben wird, wo die TK-Anlage steht, wie darauf zugegriffen wird etc. Aber meine gut polierte Glaskugel hat mir das ein oder andere verraten.
Es gibt letztlich zwei Möglichkeiten:
1. Ihr habt schon Split-VPN
Split-VPN heißt ja nichts anderes erst einmal, dass der Traffic, der nicht zum Zielnetz geht, weiter über die ursprüngliche Verbindung des Clients abgewickelt wird. Wenn er also z. B. www.google.de aufruft, dann läuft das nicht über VPN, sondern ganz normal über den Anschluss des Mitarbeiters im HO. Dann wäre das Problem, dass der interne DNS, den man dem Client aufzwingt, damit die Auflösungen der eigenen Domain klappt, die "falsche" IP liefert und weiter intern der Server benutzt wird und VoIP weiter über den Tunnel läuft. Lösung: Für das VPN-Netz einen eigenen DNS-Server aufsetzen, bei dem für diesen eigenen Server die externe IP eingetragen wird. Etwas Pflegeaufwand.
2. Ihr habt kein Split-VPN
Dann wird es schwierig. Bisher kenne ich nur Ja oder Nein. Also entweder alles oder gar nichts über den normalen Internetanschluss.
Liebe Grüße
Erik
Zitat von @BPeter:
Das müsste ich mit meinen Kollegen bereden.
Zitat von @148656:
Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen
Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen
Das müsste ich mit meinen Kollegen bereden.
Wieso? Das ist doch der Auftrag. Vorab: Es fehlen ein paar wesentliche Informationen wie z. B. wie VoIP betrieben wird, wo die TK-Anlage steht, wie darauf zugegriffen wird etc. Aber meine gut polierte Glaskugel hat mir das ein oder andere verraten.
Es gibt letztlich zwei Möglichkeiten:
1. Ihr habt schon Split-VPN
Split-VPN heißt ja nichts anderes erst einmal, dass der Traffic, der nicht zum Zielnetz geht, weiter über die ursprüngliche Verbindung des Clients abgewickelt wird. Wenn er also z. B. www.google.de aufruft, dann läuft das nicht über VPN, sondern ganz normal über den Anschluss des Mitarbeiters im HO. Dann wäre das Problem, dass der interne DNS, den man dem Client aufzwingt, damit die Auflösungen der eigenen Domain klappt, die "falsche" IP liefert und weiter intern der Server benutzt wird und VoIP weiter über den Tunnel läuft. Lösung: Für das VPN-Netz einen eigenen DNS-Server aufsetzen, bei dem für diesen eigenen Server die externe IP eingetragen wird. Etwas Pflegeaufwand.
2. Ihr habt kein Split-VPN
Dann wird es schwierig. Bisher kenne ich nur Ja oder Nein. Also entweder alles oder gar nichts über den normalen Internetanschluss.
Liebe Grüße
Erik
Hallo,
wir haben schon Split-VPN im Einsatz. Die Idee eines vorgeschalteten DNS-Servers werden wir testen bzw. die Hosts auf der Appliance pflegen. Das sollte dann so passen.
Danke für die Anregungen
Peter
wir haben schon Split-VPN im Einsatz. Die Idee eines vorgeschalteten DNS-Servers werden wir testen bzw. die Hosts auf der Appliance pflegen. Das sollte dann so passen.
Danke für die Anregungen
Peter
