xxjodotoxx
Goto Top

DNS: Aufruf einer URL über bestimmte IP

Hallo zusammen,

ich brauche Eure Hilfe, komme nicht mehr weiter.

Wir habe eine Domäne xxx.intern mit mehreren PCs.
Einer dieser PCs soll nun über einen Browser eine bestimmte URL aufrufen die so aussieht: https://yyy.xxx.de/zzz
Die IP dieser URL ist bekannt, 10.x.x.x
Der Aufruf soll ausschließlich über die URL erfolgen, nicht über die IP.
Wir haben einen Windows Server 2022 mit eigenem DNS-Server stehen.

Was muss ich im DNS einstellen, damit das funtioniert?

Ich habe folgendes versucht:
1. Neue Forward-Lookupzone mit neuem A-Record, der auf die neue Domäne xxx.de verweist.
Damit kann ich die Seite überhaupt nicht aufrufen, laufe in ein Timeout.
2. In der eigenen Forward-Lookupzone einen A-Record erstellt mit CNAME zzz, der auf die IP verweist.
Damit laufe ich auch in ein Timout.

Ein funktionierender VPN Tunnel zu der IP-Adresse 10.x.x.x ist vorhanden.
Ohne jeglichen DNS-Eintrag ist die URL aufzurufen, aber es ist kein Login möglich. Ein Login ist nur möglich, wenn die URL über die gewünschte aufgelöst wird.

Was muss ich im DNS einstellen?

Hoffe ich konnte es einigermaßen erklären.
Danke Euch im Voraus!

Content-Key: 91183248238

Url: https://administrator.de/contentid/91183248238

Printed on: February 23, 2024 at 21:02 o'clock

Member: Tezzla
Tezzla Oct 09, 2023 at 09:06:08 (UTC)
Goto Top
Moin,

dein Problem wird sein, dass der zugehörige Webserver der Ziel-URL nichts mit deiner URL anfangen kann und sich nicht zuständig fühlt. Wenn du Zugriff auf den Zielserver hast, kannst du deinen Wunschnamen auch einfach als ServerAlias mit in der Webserver-Konfiguration mit hinterlegen. Dann wird er auch antworten.

Was du noch machen kannst, ist einen ReverseProxy bei euch inhouse dazwischen zu schalten, der zwischen euren Clients und der Zielseite sitzt und vermittelt. Macht man eigentlich aus anderen Gründen, aber grundsätzlich gibt das die Funktionsweise her. Dann kannst du auch mit ordentlichen SSL Zertifikaten etc. arbeiten und die Verbindung vernünftig absichern.

VG
Member: em-pie
em-pie Oct 09, 2023 updated at 09:14:20 (UTC)
Goto Top
Moin,

lege eine neue Forward Lookup Zone yyy.xxx.de an
dort einen Host A Eintrag mit deiner gewünschten IP anlegen, ABER: im Feld Host trägst du nichts ein

Das sollte es gewesen sein. Läuft hier jedenfalls ohne Probleme.

Edit: So sähe das dann aus
unbenannt
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 at 09:25:57 (UTC)
Goto Top
Zitat von @Tezzla:

Moin,

dein Problem wird sein, dass der zugehörige Webserver der Ziel-URL nichts mit deiner URL anfangen kann und sich nicht zuständig fühlt. Wenn du Zugriff auf den Zielserver hast, kannst du deinen Wunschnamen auch einfach als ServerAlias mit in der Webserver-Konfiguration mit hinterlegen. Dann wird er auch antworten.

Was du noch machen kannst, ist einen ReverseProxy bei euch inhouse dazwischen zu schalten, der zwischen euren Clients und der Zielseite sitzt und vermittelt. Macht man eigentlich aus anderen Gründen, aber grundsätzlich gibt das die Funktionsweise her. Dann kannst du auch mit ordentlichen SSL Zertifikaten etc. arbeiten und die Verbindung vernünftig absichern.

VG

Hallo tezzla,
Zugriff auf den webserver habe ich nicht, das ist ein anderes Unternehmen.
ReverseProxy werde ich mal versuchen. Danke dir erst mal.
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 at 09:31:01 (UTC)
Goto Top
Zitat von @em-pie:

Moin,

lege eine neue Forward Lookup Zone yyy.xxx.de an
dort einen Host A Eintrag mit deiner gewünschten IP anlegen, ABER: im Feld Host trägst du nichts ein

Das sollte es gewesen sein. Läuft hier jedenfalls ohne Probleme.

Edit: So sähe das dann aus
unbenannt

Hallo em-pie,
habe das so angelegt wie du sagtest. Ich kann so aber nicht https://yyy.xxx.de/zzz aufrufen.
Fehler: ERR_CONNECTION_TIMED_OUT
Member: em-pie
em-pie Oct 09, 2023 at 09:42:39 (UTC)
Goto Top
funktioniert denn ein nslookup yyy.xxx.de in einer CMD?

Wenn das klappt, liegt das Problem mitunter an einer Firewall-Regel oder am Webserver des Ziels.
Member: NordicMike
NordicMike Oct 09, 2023 at 09:54:14 (UTC)
Goto Top
Keine Ahnung wo du was einträgst und wie deine gesamte DNS Struktur aussieht. VPN scheint auch dabei zu sein. Aber dein Client muss den Servernamen auflösen können, also:

Beim Ping yyy.xxx.de muss die gültige IP des Servers raus kommen, dann klappt es auch im Browser.

einen A-Record erstellt mit CNAME zzz
/zzz hat mit DNS dann nichts mehr zu tun. So heisst nur der Unterordner auf dem Server.
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 at 09:56:18 (UTC)
Goto Top
Zitat von @em-pie:

funktioniert denn ein nslookup yyy.xxx.de in einer CMD?

Wenn das klappt, liegt das Problem mitunter an einer Firewall-Regel oder am Webserver des Ziels.

ja, nslookup funtioniert. Webserver schließe ich aus, da es bei anderen funktioniert. In der Firewall sehe ich keinen Drop oder Block, wenn ich die URL aufrufe.

Noch eine Idee?
Member: aqui
aqui Oct 09, 2023 updated at 09:57:37 (UTC)
Goto Top
Trage doch als Alternative einfach auf dem betreffenden PC in seine lokale hosts Datei statisch zur IP 10.x.x.x den Hostnamen yyy.xxx.de ein. Der DNS Lookup in der lokalen hosts Datei hat immer Priorität! 😉
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 at 10:00:44 (UTC)
Goto Top
Zitat von @NordicMike:

Keine Ahnung wo du was einträgst und wie deine gesamte DNS Struktur aussieht. VPN scheint auch dabei zu sein. Aber dein Client muss den Servernamen auflösen können, also:

Beim Ping yyy.xxx.de muss die gültige IP des Servers raus kommen, dann klappt es auch im Browser.

einen A-Record erstellt mit CNAME zzz
/zzz hat mit DNS dann nichts mehr zu tun. So heisst nur der Unterordner auf dem Server.

Erstellt habe ich eine neue Fowardzone yyy.xxx.de mit einem A-Record, der die Ip hat aber keinen Host (Laut Anleitung von em-pie weiter oben).
Nslookup funktioniert. Ping auf yyy.xxx.de zeigt auch die richtige IP an.
In verschiedenen Browsern (auch nach Löschen des Cache) wirst die URL https://yyy.xxx.de/zzz nicht aufgerufen, es gibt einen Timeout.
Ohne diese neue Forwardzone wird die URL aufgerufen, aber da stimmt die IP nicht.
Member: erikro
erikro Oct 09, 2023 updated at 10:23:53 (UTC)
Goto Top
Moin,

Zitat von @xXjodotoXx:
Hallo em-pie,
habe das so angelegt wie du sagtest. Ich kann so aber nicht https://yyy.xxx.de/zzz aufrufen.
Fehler: ERR_CONNECTION_TIMED_OUT

Die Fehlermeldung heißt, dass der Verbindungsaufbau zu lange dauert. Das hat nichts mit dem DNS zu tun. Der Browser kann die URL auflösen und fordert die Verbindung an. Der Server antwortet aber nicht.

- DNS-Cache löschen
- lokale Firewall prüfen
- Firewall zwischen den beiden Netzen prüfen
<edit>
- routing des VPN-Tunnels prüfen (beide Richtungen)
</edit>

hth

Erik
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 at 10:07:15 (UTC)
Goto Top
Zitat von @aqui:

Trage doch als Alternative einfach auf dem betreffenden PC in seine lokale hosts Datei statisch zur IP 10.x.x.x den Hostnamen yyy.xxx.de ein. Der DNS Lookup in der lokalen hosts Datei hat immer Priorität! 😉

Hi aqui,
hilft auch nicht face-sad
Member: NordicMike
NordicMike Oct 09, 2023 at 10:14:08 (UTC)
Goto Top
Wenn der Ping auf yyy.xxx.de funktioniert, musst du in Richtung DNS nicht weiter suchen. DNS passt dann. Dann kommen nur noch die Möglichkeiten, die erikro genannt hat, in Frage.
Member: rzlbrnft
rzlbrnft Oct 09, 2023 updated at 11:55:51 (UTC)
Goto Top
Zitat von @xXjodotoXx:
Hi aqui,
hilft auch nicht face-sad

Nutzt dein Browser den DNS überhaupt? Wenn du einen Proxy dazwischen hast, muss der auch den DNS Eintrag kennen. DNS scheint ja grundsätzlich zu funktionieren, also NSLookup yyy.xxx.de gibt genau die IP aus, die du suchst.
Würde bei uns so aussehen.
dns screenshot 2023-10-09 134850
Was passiert denn, wenn du https://IP-Adresse/zzz aufrufst? Normal müsstest du hier einen Zertifikatsfehler bekommen, den du z.B. im Firefox per Ausnahme aufrufen kannst, ausser du fragst für das Binding im Webserver die URL ab.
Hast du das https:// Binding auf Port 443 auf dem Webserver auch aktiviert?
Member: mbehrens
mbehrens Oct 09, 2023 at 13:22:10 (UTC)
Goto Top
Zitat von @xXjodotoXx:

ja, nslookup funtioniert. Webserver schließe ich aus, da es bei anderen funktioniert. In der Firewall sehe ich keinen Drop oder Block, wenn ich die URL aufrufe.

Noch eine Idee?

Benutzt der Browser überhaupt den DNS Server? Wird evtl. DoH oder DoT verwendet? Ist ein transparenter Proxy vorhanden?
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 at 13:49:47 (UTC)
Goto Top
Zitat von @rzlbrnft:

Was passiert denn, wenn du https://IP-Adresse/zzz aufrufst? Normal müsstest du hier einen Zertifikatsfehler bekommen, den du z.B. im Firefox per Ausnahme aufrufen kannst, ausser du fragst für das Binding im Webserver die URL ab.
Hast du das https:// Binding auf Port 443 auf dem Webserver auch aktiviert?

Die Seite wird nicht geladen, es gibt immer die Meldung: ERR_CONNECTION_TIMED_OUT
Ich habe keinen Zugriff auf den Webserver, das ist eine externe Firma. Aber da es mit anderen Kunden von denen funktioniert, denke ich mal, dass es nicht am Webserver liegt.
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 at 13:51:00 (UTC)
Goto Top
Zitat von @mbehrens:


Benutzt der Browser überhaupt den DNS Server? Wird evtl. DoH oder DoT verwendet? Ist ein transparenter Proxy vorhanden?

Ja, der Browser benutzt den DNS-Server. DNSSec ist nicht aktiv. Ein transparenter Proxy nur für http, nicht aber für https.
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 at 13:52:13 (UTC)
Goto Top
Zitat von @xXjodotoXx:

Zitat von @rzlbrnft:

Was passiert denn, wenn du https://IP-Adresse/zzz aufrufst? Normal müsstest du hier einen Zertifikatsfehler bekommen, den du z.B. im Firefox per Ausnahme aufrufen kannst, ausser du fragst für das Binding im Webserver die URL ab.
Hast du das https:// Binding auf Port 443 auf dem Webserver auch aktiviert?

Die Seite wird nicht geladen, es gibt immer die Meldung: ERR_CONNECTION_TIMED_OUT
Ich habe keinen Zugriff auf den Webserver, das ist eine externe Firma. Aber da es mit anderen Kunden von denen funktioniert, denke ich mal, dass es nicht am Webserver liegt.
EDIT: ein Zertifikatsfehler kommt auch nicht.
Member: xXjodotoXx
xXjodotoXx Oct 09, 2023 updated at 14:20:03 (UTC)
Goto Top
Zitat von @erikro:

Moin,

Zitat von @xXjodotoXx:
Hallo em-pie,
habe das so angelegt wie du sagtest. Ich kann so aber nicht https://yyy.xxx.de/zzz aufrufen.
Fehler: ERR_CONNECTION_TIMED_OUT

Die Fehlermeldung heißt, dass der Verbindungsaufbau zu lange dauert. Das hat nichts mit dem DNS zu tun. Der Browser kann die URL auflösen und fordert die Verbindung an. Der Server antwortet aber nicht.

- DNS-Cache löschen
- lokale Firewall prüfen
- Firewall zwischen den beiden Netzen prüfen
<edit>
- routing des VPN-Tunnels prüfen (beide Richtungen)
</edit>

hth

Erik

Hi Erikro,
DNS-Cache mehrfach gelöscht -->Kein Erfolg.
Lokale Firewall ist aus.
Firewall zwischen beiden Netzen im Tunnel ist auf "Any".
Routing muss ich mir noch mal genauer anschauen.

EDIT: Routing passt auch.
Member: erikro
erikro Oct 10, 2023 at 07:47:10 (UTC)
Goto Top
Moin,

mache mal das, was hier steht:
https://www.thomas-krenn.com/de/wiki/TCP_Port_443_(https)_Zugriff_mit_op ...

OpenSSL gibt es auch für Windows. face-wink

Liebe Grüße

Erik
Member: rzlbrnft
rzlbrnft Oct 11, 2023 updated at 13:55:23 (UTC)
Goto Top
Zitat von @xXjodotoXx:
Die Seite wird nicht geladen, es gibt immer die Meldung: ERR_CONNECTION_TIMED_OUT
Ich habe keinen Zugriff auf den Webserver, das ist eine externe Firma. Aber da es mit anderen Kunden von denen funktioniert, denke ich mal, dass es nicht am Webserver liegt.

Das muss nichts heißen. Ich würde mal die externe Firma kontaktieren. Denn so wie du das beschreibst, wird auf dem Server über diese URL keine HTTPS Antwort angeboten, dann kann es auch nicht funktionieren.
Wenn da ein Load Balancer dahintersteht, der mit Access Control Lists arbeitet, dann wurde vielleicht deine Hostadresse schlichtweg noch nicht für die IP freigeschalten.
Aber das weiß nur der externe Anbieter, das kann hier keiner prüfen, zumindest nicht ohne die korrekte URL.
Member: xXjodotoXx
xXjodotoXx Oct 12, 2023 at 08:15:23 (UTC)
Goto Top
Zitat von @rzlbrnft:

Die Seite wird nicht geladen, es gibt immer die Meldung: ERR_CONNECTION_TIMED_OUT
Ich habe keinen Zugriff auf den Webserver, das ist eine externe Firma. Aber da es mit anderen Kunden von denen funktioniert, denke ich mal, dass es nicht am Webserver liegt.

Das muss nichts heißen. Ich würde mal die externe Firma kontaktieren. Denn so wie du das beschreibst, wird auf dem Server über diese URL keine HTTPS Antwort angeboten, dann kann es auch nicht funktionieren.
Wenn da ein Load Balancer dahintersteht, der mit Access Control Lists arbeitet, dann wurde vielleicht deine Hostadresse schlichtweg noch nicht für die IP freigeschalten.
Aber das weiß nur der externe Anbieter, das kann hier keiner prüfen, zumindest nicht ohne die korrekte URL.

Moin,
hatte gestern Kontakt zu der externen Firma. Die sagen, dass alles ok ist. Es gibt keine ACLs, alle anderen Kunden hätten keine Probleme, es würde nichts extra frei geschaltet werden, etc.
Ich würde euch ja die IP und die URL geben zum selber testen, aber die IP ist 10.xxx.xxx.xxx hinter einem Tunnel.
Ich vermute bei uns die Konfiguration von DNS in der Firewall, da weiß ich nicht, ob alles so richtig ist.
Member: xXjodotoXx
xXjodotoXx Oct 12, 2023 at 08:22:45 (UTC)
Goto Top
Zitat von @erikro:

Moin,

mache mal das, was hier steht:
https://www.thomas-krenn.com/de/wiki/TCP_Port_443_(https)_Zugriff_mit_op ...

OpenSSL gibt es auch für Windows. face-wink

Liebe Grüße

Erik

Moin Erik,
danke dir.
Habe das für die betreffende Seite ausgeführt mit folgendem Ergebnis:
139967934936384:error:0200206E:system library:connect:Connection timed out:../crypto/bio/b_sock2.c:110:
139967934936384:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:connect:errno=110

Und nu?
Member: em-pie
em-pie Oct 12, 2023 at 17:02:17 (UTC)
Goto Top
Moin,

Du hast kein DNS-Problem.
Die IP wird sauber aufgelöst.

Wie lautet die URL?
https://xxx.yyy.de/sub
Oder
https://xxx.yyy.de:55443/sub

Also muss ein Oort angegeben werden?

Darf https (Port 443) auf die IP bei euch durch den VPN-Tunnel?
Member: xXjodotoXx
xXjodotoXx Oct 12, 2023 at 17:46:19 (UTC)
Goto Top
Zitat von @em-pie:

Moin,

Du hast kein DNS-Problem.
Die IP wird sauber aufgelöst.

Wie lautet die URL?
https://xxx.yyy.de/sub
Oder
https://xxx.yyy.de:55443/sub

Also muss ein Oort angegeben werden?

Darf https (Port 443) auf die IP bei euch durch den VPN-Tunnel?

Du hast recht, es ist kein DNS Problem. Erst konnte die Firewall die IP nicht sauber auflösen. Das ist nun erledigt.
Https darf durch den Tunnel.
Die URL lautet https://xxx.yyy.de/sub

Heute hatte ich den Hersteller der Firewall am Telefon. Gemeinsam geschaut über eine Stunde ohne Ergebnis. Er sagt es geht alles sauber raus durch den Tunnel.
Demnach wäre es wohl eine Frage des Empfängers, aber der schwört, dass es mit anderen Kunden seit Mai sauber funktioniert.
Ich komme einfach nicht weiter.
Member: xXjodotoXx
Solution xXjodotoXx Oct 14, 2023 at 18:39:36 (UTC)
Goto Top
Erledigt!
Ich könnte so sehr kotzn!
Nach einem weiteren Ticket beim Inhaber der nicht funktionierenden Domain mit der Info, dass unser Firewallhersteller über eine Stunde gesucht und nichts gefunden hat, meldet sich der Inhaber der Domain mit der einfachen Aussage, dass es jetzt gehen muss. Und siehe da....Es geht! Keine weiteren Infos dazu!
Super Dienstleister!

An euch alle....
Ich danke euch herzlichst für euren Support, ihr seid klasse!
Member: aqui
aqui Oct 15, 2023 at 11:02:37 (UTC)
Goto Top