Anfragen an internen- und externen DNS Server

Mitglied: BPeter
Hallo,
im Homeoffice soll eine DNS Anfrage für Softphone über einen externen DNS Server laufen und nicht über den internen DNS Server. Dies soll aber nur für bestimmte Einträge passieren. Für das Homeoffice gibt es ein definiertes vLAN. Der interne DNS Server ist Windows Server 2016.
Wie kann ich für bestimmte Anfragen den Client dazu bringen, den externen DNS zu befragen?

Gruß
Peter

Content-Key: 1097059939

Url: https://administrator.de/contentid/1097059939

Ausgedruckt am: 22.09.2021 um 13:09 Uhr

Mitglied: tagol01
Lösung tagol01 28.07.2021 um 14:55:50 Uhr
Goto Top
Hallo @BPeter,


Verwende für das Vlan einen eigenen DHCP Server, der die DNS Einstellungen vergibt.
Mitglied: Drohnald
Drohnald 28.07.2021 um 14:58:40 Uhr
Goto Top
Hi,

so wie beschrieben würde ich sagen: Gar nicht. Du kannst dem Client nicht sagen "Frage DNS XY für Bereich A und DNS ZF für Bereich B".
Du könntest höchstens einen weiteren DNS-Server dazwischenschalten, der dann für bestimmte Bereiche eine bedingte Weiterleitung zum externen oder internen DNS macht.

Die Frage ist eher:
Würde nicht eine bedingte Weiterleitung im internen DNS reichen?

Am besten wäre ein Beispiel, warum genau diese Unterscheidung nötig ist, warum darf dein DNS Server diese speziellen Adressen nicht "normal" auflösen (nehme an das würde falsch aufgelöst)?
Mitglied: BPeter
BPeter 28.07.2021 aktualisiert um 15:24:02 Uhr
Goto Top
Hi,
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN. Wir würden gerne Telefonie und den Rest voneinander trennen.
Mitglied: BPeter
BPeter 28.07.2021 um 15:07:54 Uhr
Goto Top
Wir haben einen anderen DHCP Server. Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
Mitglied: C.Caveman
C.Caveman 28.07.2021 um 15:11:29 Uhr
Goto Top
Zitat von @BPeter:

Hi,
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN. Wir würden gerne Telefonie und denRest voneinander trennen.

Da nützt es dir aber nix, wenn du am DNS rumfummelst. Hier hilft nur eine saubere Planung und Umsetzung des VPNs
Mitglied: Spirit-of-Eli
Lösung Spirit-of-Eli 28.07.2021 um 15:13:26 Uhr
Goto Top
Moin,

lass doch einfach über euren DNS Server im VPN Tunnel die öffentliche Adresse für VOIP ausgeben.
Wer spielt da DNS?

Gruß
Spirit
Mitglied: Drohnald
Drohnald 28.07.2021 um 15:16:58 Uhr
Goto Top
im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN.
Ok, also Split Tunnel beim VPN

Wir würden gerne Telefonie und den Rest voneinander trennen.
Über VPN mit Split Tunnel eher schwierig, weil du den Datenstrom nicht mehr unter Kontrolle hast.
Selbst bei VPN Full Tunnel bräuchtest du policy based routing um das aufzusplitten.

Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
Versteh ich nicht, die DNS Auflösung hat mit dem Routing der Pakete nichts zu tun, wenn beide DNS das gleiche Ziel zurückgeben.
Mitglied: BPeter
BPeter 28.07.2021 um 15:21:54 Uhr
Goto Top
Zitat von @Drohnald:

im Homeoffice soll über das Internet telefoniert werden und nicht über das VPN.
Ok, also Split Tunnel beim VPN

Wir würden gerne Telefonie und den Rest voneinander trennen.
Über VPN mit Split Tunnel eher schwierig, weil du den Datenstrom nicht mehr unter Kontrolle hast.
Selbst bei VPN Full Tunnel bräuchtest du policy based routing um das aufzusplitten.

Es soll nur für die Telefonie ein anderer DNS Server gesetzt sein.
Versteh ich nicht, die DNS Auflösung hat mit dem Routing der Pakete nichts zu tun, wenn beide DNS das gleiche Ziel zurückgeben.

Das tun sie ja nicht. Es sind 2 verschiedene IP-Adressen.
Mitglied: BPeter
BPeter 28.07.2021 um 15:23:10 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

lass doch einfach über euren DNS Server im VPN Tunnel die öffentliche Adresse für VOIP ausgeben.
Wer spielt da DNS?

Gruß
Spirit

Der interne DNS Server.
Mitglied: BPeter
BPeter 28.07.2021 um 15:26:18 Uhr
Goto Top
Wie sieht es mit Geolocation aus? Kann ich das dort umsetzen?
Mitglied: C.Caveman
Lösung C.Caveman 28.07.2021 um 15:32:17 Uhr
Goto Top
Zitat von @BPeter:

Wie sieht es mit Geolocation aus? Kann ich das dort umsetzen?

Du kannst es auch in der hosts-datei eintragen. Das wird dir aber nix bringen, da der VoIP-Traffic trotzdem durch dein VPN-Tunnel geht.
Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen
Mitglied: BPeter
BPeter 28.07.2021 um 15:34:54 Uhr
Goto Top
Zitat von @C.Caveman:

Zitat von @BPeter:

Wie sieht es mit Geolocation aus? Kann ich das dort umsetzen?

Du kannst es auch in der hosts-datei eintragen. Das wird dir aber nix bringen, da der VoIP-Traffic trotzdem durch dein VPN-Tunnel geht.

Dann würde immer der die gleiche IP genommen, egal ob Homeoffice oder Büro.

Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen

Das müsste ich mit meinen Kollegen bereden.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 28.07.2021 um 17:35:10 Uhr
Goto Top
Also ja, Split-Tunneling ist auch bei meiner Idee erforderlich. Hatte ich so als gegeben angenommen.
Mitglied: C.Caveman
C.Caveman 28.07.2021 um 17:36:12 Uhr
Goto Top
Haben wir also alle Recht 😉
Mitglied: Spirit-of-Eli
Spirit-of-Eli 28.07.2021 um 17:40:12 Uhr
Goto Top
Eine Alternative wäre natürlich noch sowas wie DirectAccess zu nutzen.
Aber da würde ich dann doch eher an den Problemen bei VOIP over VPN schrauben falls sonst kein weiterer nutzen daraus gezogen werden kann.
Mitglied: erikro
Lösung erikro 28.07.2021 um 17:41:07 Uhr
Goto Top
Moin,

Zitat von @BPeter:

Zitat von @C.Caveman:

Ihr müsst da schon, wie Drohnald bereits sagte, auf Split-VPN umsteigen

Das müsste ich mit meinen Kollegen bereden.

Wieso? Das ist doch der Auftrag. Vorab: Es fehlen ein paar wesentliche Informationen wie z. B. wie VoIP betrieben wird, wo die TK-Anlage steht, wie darauf zugegriffen wird etc. Aber meine gut polierte Glaskugel hat mir das ein oder andere verraten.

Es gibt letztlich zwei Möglichkeiten:

1. Ihr habt schon Split-VPN
Split-VPN heißt ja nichts anderes erst einmal, dass der Traffic, der nicht zum Zielnetz geht, weiter über die ursprüngliche Verbindung des Clients abgewickelt wird. Wenn er also z. B. www.google.de aufruft, dann läuft das nicht über VPN, sondern ganz normal über den Anschluss des Mitarbeiters im HO. Dann wäre das Problem, dass der interne DNS, den man dem Client aufzwingt, damit die Auflösungen der eigenen Domain klappt, die "falsche" IP liefert und weiter intern der Server benutzt wird und VoIP weiter über den Tunnel läuft. Lösung: Für das VPN-Netz einen eigenen DNS-Server aufsetzen, bei dem für diesen eigenen Server die externe IP eingetragen wird. Etwas Pflegeaufwand.

2. Ihr habt kein Split-VPN
Dann wird es schwierig. Bisher kenne ich nur Ja oder Nein. Also entweder alles oder gar nichts über den normalen Internetanschluss.

Liebe Grüße

Erik
Mitglied: BPeter
BPeter 29.07.2021 um 08:58:13 Uhr
Goto Top
Hallo,
wir haben schon Split-VPN im Einsatz. Die Idee eines vorgeschalteten DNS-Servers werden wir testen bzw. die Hosts auf der Appliance pflegen. Das sollte dann so passen.

Danke für die Anregungen
Peter
Heiß diskutierte Beiträge
tip
Outlook 2019 Konto hinzufügen - Kein Benutzername mehr bei IMAP Einstellungen - LösungFrankVor 1 TagTippOutlook & Mail31 Kommentare

Eine weitere Kuriosität unter Office 2019 ist bei mir gerade hart aufgeschlagen. Ich wollte ein normales IMAP/SMTP Konto zu Outlook 2019 hinzufügen. Das war aber ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 1 TagFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Dienst-PCs per Image sichern?Yan2021Vor 22 StundenFrageBackup15 Kommentare

Hallo Ihr Lieben ;-) So, Urlaub vorbei und schon kommt mal wieder eine Frage von mir. Wir haben hier so rund gerechnet 10 PCs. Da ...

question
Ablösung alte M.2 SSDUrx1974Vor 1 TagFrageFestplatten, SSD, Raid7 Kommentare

Hallo, ich habe in einem (anderen) Laptop eine ITE-ON CV3-8D128-11 128GB M2 / M.2 SSD 2280 drin. Ich wollte diese jetzt durch eine 1TB SSD ...

general
VPN-Einwahl für UnternehmensnetzwerkjoergVor 1 TagAllgemeinLAN, WAN, Wireless12 Kommentare

Hallo zusammen, aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt. Wir setzen ...

question
Problem mit gespiegelten BackupsystemfisiyouVor 1 TagFrageCluster8 Kommentare

Hi liebe Community, Bin derzeit als Umschüler (Fisi) im Betriebspraktikum unterwegs. Mir wurde jetzt ein Problem mit unseren Backupstorage mitgeteilt, wo ich mir eine Lösung ...

question
Webseite signierenUserUWVor 23 StundenFrageInternet9 Kommentare

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels. Frage: Wie kann man diese Information ...

question
"Aktualisieren und Herunterfahren" nach Windows Update erzwingenFrM222Vor 22 StundenFrageWindows Update7 Kommentare

Hallo Zusammen, wir verteilen unsere Windows Updates über WSUS (2016) und haben hier inzwischen eigentlich einen ganz guten Stand. Die Updates werden sehr zügig auf ...