9
DNS Anfragen von bestimmten Quellen divers beantworten
Hallo zusammen,
folgende Herausforderung habe ich:
Unsere Außenstellen sind über eine IKEv2 VPN an uns angebunden, die VPN läuft jedoch etwas holprig obwohl Leitungen nicht ausgelastet sind, Router nicht ausgelastet sind und Netzwerktechnisch alles auf dem neusten Stand ist. Das ist aber nicht das Main Problem heute, da wir früher oder später eh auf einen anderen Hersteller umstellen wollen. Das Problem ist, wie ich einzelne DNS Anfragen anders als andere Beantworten kann, hierzu kurz ein paar Fakten
Hauptstelle:
Hat den Mail-Exchangeserver
Hat den DNS-Server
Hat den Haupt Lancom
Außenstelle:
Ist via VPN an uns angebunden
Nutzt unseren DNS-Server für alle Anfragen
Nutzt unseren Mail-Exchangeserver via VPN
Nun die Herausforderung für die ich leider keine Lösung momentan sehe; ich möchte dass der DNS Server bei der Anfrage von mx.meineorganisation.org nicht die interne IP Adresse, sondern die externe IP rausrückt wenn die Anfrage von Außenstellen IPs kommt. Dies soll die VPN entlasten.
Gegeben sind:
-Außenstelle:
-Lancom 1783VA
-Internetleitung ist Telekom FTTH mit einem Downstream von 500 MBit/s und Upstream von 100 MBit/s
-Hauptstelle:
-Lancom 1906VA
-DNS Server ist ein Windows 2012 R2
-Exchangeserver ist ein Windows 2012 R2, es läuft Exchange 2013
-Internetleitung ist eine QSC-DSL Leitung mit 100 MBit/s Down und 40 MBit/s Up
Bedanke mich vorzeitig für Denkanstöße o.ä.
Grüße
Jun10r
folgende Herausforderung habe ich:
Unsere Außenstellen sind über eine IKEv2 VPN an uns angebunden, die VPN läuft jedoch etwas holprig obwohl Leitungen nicht ausgelastet sind, Router nicht ausgelastet sind und Netzwerktechnisch alles auf dem neusten Stand ist. Das ist aber nicht das Main Problem heute, da wir früher oder später eh auf einen anderen Hersteller umstellen wollen. Das Problem ist, wie ich einzelne DNS Anfragen anders als andere Beantworten kann, hierzu kurz ein paar Fakten
Hauptstelle:
Hat den Mail-Exchangeserver
Hat den DNS-Server
Hat den Haupt Lancom
Außenstelle:
Ist via VPN an uns angebunden
Nutzt unseren DNS-Server für alle Anfragen
Nutzt unseren Mail-Exchangeserver via VPN
Nun die Herausforderung für die ich leider keine Lösung momentan sehe; ich möchte dass der DNS Server bei der Anfrage von mx.meineorganisation.org nicht die interne IP Adresse, sondern die externe IP rausrückt wenn die Anfrage von Außenstellen IPs kommt. Dies soll die VPN entlasten.
Gegeben sind:
-Außenstelle:
-Lancom 1783VA
-Internetleitung ist Telekom FTTH mit einem Downstream von 500 MBit/s und Upstream von 100 MBit/s
-Hauptstelle:
-Lancom 1906VA
-DNS Server ist ein Windows 2012 R2
-Exchangeserver ist ein Windows 2012 R2, es läuft Exchange 2013
-Internetleitung ist eine QSC-DSL Leitung mit 100 MBit/s Down und 40 MBit/s Up
Bedanke mich vorzeitig für Denkanstöße o.ä.
Grüße
Jun10r
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1514872265
Url: https://administrator.de/contentid/1514872265
Printed on: April 25, 2024 at 02:04 o'clock
9 Comments
Latest comment
Der Lancom 1783VA in der Aussenstelle ist der DNS Server für die Aussenstelle und dieser fragt bei der Hauptstelle nach den DNS Inhalten.
Sobald du dem Lancom 1783VA eine eigene Host Adresse im DNS hinterlegst, also die des Mailservers mit externer IP Adresse, wird er für diese eine Adresse nicht mehr in der Hauptstelle nachfragen.
Sobald du dem Lancom 1783VA eine eigene Host Adresse im DNS hinterlegst, also die des Mailservers mit externer IP Adresse, wird er für diese eine Adresse nicht mehr in der Hauptstelle nachfragen.
Hallo NordicMike,
nein, genau das geht, aufgrund von mehreren Themen, nicht.
In der Außenstelle muss der Windows DNS Server der Hauptstelle eingetragen werden und das ist er auch.
nein, genau das geht, aufgrund von mehreren Themen, nicht.
In der Außenstelle muss der Windows DNS Server der Hauptstelle eingetragen werden und das ist er auch.
Wie viele Clients habt ihr denn bei der Außenstelle? Bei 2 oder 3 clients kann man vielleicht auch in der Hosts-Datei eure externe Exchange-Domain auf eure externe IP umleiten. Auch ans autodiscover denken.
Ansonsten braucht ihr mWn einen DNS-Server, der alle Windows-Domain-Anfragen an euren Hauptstandort weiterleitet und alle nicht-domain-Anfragen an einen externen DNS.
MfG
Ansonsten braucht ihr mWn einen DNS-Server, der alle Windows-Domain-Anfragen an euren Hauptstandort weiterleitet und alle nicht-domain-Anfragen an einen externen DNS.
MfG
In der Außenstelle muss der Windows DNS Server der Hauptstelle eingetragen werden
Mit "In der Außenstelle" meinst du doch hoffentlich den Router der Aussenstelle.Wenn du jedem Client die DNS Adresse der Hauptstelle geben würdest, würden sie bei jedem Leitungsproblem husten. Das muss nicht sein.
Leitungsproblem kann sein:
- Ausfall
- Sporadische Störungen
- Überlastung durch Dauerübertragung von großen Dateien oder Backups
- eine holprige VPN Leitung ;c)
Die Standardgateway des jeweiligen Bereiches ist auch der DNS Server des jeweiligen Bereiches und dieser holt sich die Inhalte vom übergeordneten DNS Server in der Zentrale. Sollte die Zentrale tot sein, kann die Niederlassung immer noch ins Internet oder auf den lokalen NAS oder Drucker zugreifen. Und die Persormance wird es dir auch danken.
Überall, wo sich die DNS Antworten ändern sollen, muss ein Vermittler dazwischen, der dann andere DNS Daten zurück geben kann, das nennt sich dann Split-DNS.
Moin,
dumme Frage:
Wieviele Hosts hast du denn in den Aussenstellen? Evtl. lässt sich das auch über die HOSTS Datei regeln.
lg,
Slainte
dumme Frage:
bei der Anfrage von mx.meineorganisation.org
warum frägt die Aussenstelle nach deinem MX? Arbeiten die nicht auf dem Exchange? Oder welchen Traffic versuchst du hier umzuleiten?Wieviele Hosts hast du denn in den Aussenstellen? Evtl. lässt sich das auch über die HOSTS Datei regeln.
lg,
Slainte
Konfiguriere in der Außenstelle deren vor Ort stehenden LANCOM für die Clients als DNS Server, dort trägst du dann für die Hauptpdomain eine bedingte Weiterleitung ein die auf den Windows DNS Server zeigt:
Und für den anders aufzulösenden Host einen festen Stations-Eintrag
So gehen wirklich nur DNS-Anfragen übers VPN die für die Domäne essentiell sind und andere gehen direkt an den Forwarder des LANCOM vor Ort raus. Durch den fixen Eintrag wird dieser an den Client wie von dir gewünscht eine andere Adresse zurückgeben.
Fertsch.
Und für den anders aufzulösenden Host einen festen Stations-Eintrag
So gehen wirklich nur DNS-Anfragen übers VPN die für die Domäne essentiell sind und andere gehen direkt an den Forwarder des LANCOM vor Ort raus. Durch den fixen Eintrag wird dieser an den Client wie von dir gewünscht eine andere Adresse zurückgeben.
Fertsch.
N'Abend.
Cheers,
jsysde
Zitat von @Jun10r:
[...]Nun die Herausforderung für die ich leider keine Lösung momentan sehe; ich möchte dass der DNS Server bei der Anfrage von mx.meineorganisation.org nicht die interne IP Adresse, sondern die externe IP rausrückt wenn die Anfrage von Außenstellen IPs kommt. Dies soll die VPN entlasten.
Hmm.... Wäre mir neu, dass Exchange für die interne Anbindung von Mail-Clients wie Outlook mx-Einträge berücksichtigt. Und selbst wenn du stattdessen die für die Outlook-Anbindung an Exchange nötigen autodiscover-Einträge umbiegst: Der Traffic findet doch trotzdem statt, ob nun durch das VPN oder via Internet - was also soll dieses Konstrukt genau entlasten?[...]Nun die Herausforderung für die ich leider keine Lösung momentan sehe; ich möchte dass der DNS Server bei der Anfrage von mx.meineorganisation.org nicht die interne IP Adresse, sondern die externe IP rausrückt wenn die Anfrage von Außenstellen IPs kommt. Dies soll die VPN entlasten.
Cheers,
jsysde
Vielleicht den Prozessor des Routers vor zu viel Crypto-Routinen bewahren 😆
Es scheint, dass der FQDN des Exchangeservers den Namen mx. mit drinnen hat, natürlich fragen Outlook Clients nicht den MX Eintrag im DNS ab. Bei 2013 geht das über MAPI. Und wenn er auf die externen Zugänge drauf will, dann über den MAPI over HTTP Tunnel.
Einerseits will er VPN entlasten, andererseits möchte er nicht einmal einen lokalen DNS als Cache/Zwischenstation im Lancom der Niederlassung verwenden - d.H. jede Anfrage einer IP für eine Webseite geht erst einmal über VPN zur Hauptstelle und zurück zur Aussenstelle, bevor sie dann doch in der Ausßenstelle nach extern geht.
Wenn er es nicht im Lancom der Aussenstelle machen will, soll er sich dort einen Raspberry oder sonst was dazu stecken, hauptsache, er hat einen Man in The Middle, der die DNS Anfragen annimmt und geändert zurück gibt.
Einerseits will er VPN entlasten, andererseits möchte er nicht einmal einen lokalen DNS als Cache/Zwischenstation im Lancom der Niederlassung verwenden - d.H. jede Anfrage einer IP für eine Webseite geht erst einmal über VPN zur Hauptstelle und zurück zur Aussenstelle, bevor sie dann doch in der Ausßenstelle nach extern geht.
Wenn er es nicht im Lancom der Aussenstelle machen will, soll er sich dort einen Raspberry oder sonst was dazu stecken, hauptsache, er hat einen Man in The Middle, der die DNS Anfragen annimmt und geändert zurück gibt.
