15
DNS "Leasetime" für Software verkürzen
Moin werte Kollegen,
da jetzt vermehrt Kollegen ins Homeoffice sollen, prüfe ich, ob unsere Systeme problemlos per VPN OHNE Terminalserver funktionieren könnten.
Ich bin auf ein Problem gestoßen, für das mir noch der richtige Ansatz fehlt:
Die Software heißt "docufied" und stellt die Verbindung zwischen ELO Pro und cobraCRM her.
Sowohl cobra als auch ELO laufen problemlos über den Tunnel.
Lediglich docufied verweigert den Dienst. Das scheint daran zu liegen, dass sich die Clients über den PC-Namen eine Lizenz am internen Lizenzserver buchen, um Dokumente ablegen zu können.
Da die Verbindung per OpenVPN hergestellt wird, erfolgt die Einwahl erst NACH Anmeldung.
Jetzt die eigentliche Frage: Wir vermuten, dass es ein DNS-Problem ist und der DNS-Server nicht zügig genug die IP-Adresse des VPN-Netzes mitgeteilt bekommt, was dazu führt, dass die Prüfung des Lizenzservers fehl schlägt.
Kann man diese "Leasetime" für den DNS irgendwie einstellen? Das Ziel wäre, dass der Client dem DNS-Server alle paar Minuten seine aktuelle IP mitteilt und somit die Prüfung des Lizenzservers hoffentlich erfolgreich ist (immer noch das Testszenario)
Hat hier jemand einen Tipp, wie ich das einstellen kann? Evtl. sogar per GPO?
Gruß
Looser
P.S.: Die Ports für die Software sind aktuell per "Scheunentor-Regel" alle offen. Eine Prüfung zeigt auch, dass die Ports offen sind.
da jetzt vermehrt Kollegen ins Homeoffice sollen, prüfe ich, ob unsere Systeme problemlos per VPN OHNE Terminalserver funktionieren könnten.
Ich bin auf ein Problem gestoßen, für das mir noch der richtige Ansatz fehlt:
Die Software heißt "docufied" und stellt die Verbindung zwischen ELO Pro und cobraCRM her.
Sowohl cobra als auch ELO laufen problemlos über den Tunnel.
Lediglich docufied verweigert den Dienst. Das scheint daran zu liegen, dass sich die Clients über den PC-Namen eine Lizenz am internen Lizenzserver buchen, um Dokumente ablegen zu können.
Da die Verbindung per OpenVPN hergestellt wird, erfolgt die Einwahl erst NACH Anmeldung.
Jetzt die eigentliche Frage: Wir vermuten, dass es ein DNS-Problem ist und der DNS-Server nicht zügig genug die IP-Adresse des VPN-Netzes mitgeteilt bekommt, was dazu führt, dass die Prüfung des Lizenzservers fehl schlägt.
Kann man diese "Leasetime" für den DNS irgendwie einstellen? Das Ziel wäre, dass der Client dem DNS-Server alle paar Minuten seine aktuelle IP mitteilt und somit die Prüfung des Lizenzservers hoffentlich erfolgreich ist (immer noch das Testszenario)
Hat hier jemand einen Tipp, wie ich das einstellen kann? Evtl. sogar per GPO?
Gruß
Looser
P.S.: Die Ports für die Software sind aktuell per "Scheunentor-Regel" alle offen. Eine Prüfung zeigt auch, dass die Ports offen sind.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 621178
Url: https://administrator.de/contentid/621178
Printed on: May 9, 2024 at 02:05 o'clock
15 Comments
Latest comment
Hallo Looser,
Sprich: Es erfolgt erst die Anmeldung am Docufied und dann wird die VPN Verbindung hergestellt? Wie erfolgt dann die Anmeldung? Wenn es daran liegen sollte, dann müsste die Software ja funktionieren, wenn Sie nach der VPN-Verbindung gestartet wird.
Hier ist keine Frage, sondern eine Vermutung. Bekommst du eine Fehlermeldung? Was sagen die Windowsprotokolle? Wer verteilt denn die IP-Adressen eurer VPN-Netzes? Kannst du die IP-Adressvergabe zum DC weitergeben? Kann der Client sonst alles andere erreichen? Was ergibt ein eine Abfrage von dem DocuFiled-Server auf Client für eine IP? Wir diese richtig aufgelöst?
Lass den DC die Ips für die VPN Einwahl vergeben. Dann aktualisiert er das sofort.
Was soll das bringen? Sowohl Computer als auch User-GPOs werden ausgeführt in dem Moment wo keine Verbindung zum DC besteht, nämlich vor der Verbindung via Open VPN. Du musst dann entweder immer ein GPupdate /force machen oder (Stanadardeinstellung) 2 Stunden warten bis es greift.
Gruß
Doskias
Zitat von @Looser27:
Da die Verbindung per OpenVPN hergestellt wird, erfolgt die Einwahl erst NACH Anmeldung.
Da die Verbindung per OpenVPN hergestellt wird, erfolgt die Einwahl erst NACH Anmeldung.
Sprich: Es erfolgt erst die Anmeldung am Docufied und dann wird die VPN Verbindung hergestellt? Wie erfolgt dann die Anmeldung? Wenn es daran liegen sollte, dann müsste die Software ja funktionieren, wenn Sie nach der VPN-Verbindung gestartet wird.
Jetzt die eigentliche Frage: Wir vermuten, dass es ein DNS-Problem ist und der DNS-Server nicht zügig genug die IP-Adresse des VPN-Netzes mitgeteilt bekommt, was dazu führt, dass die Prüfung des Lizenzservers fehl schlägt.
Hier ist keine Frage, sondern eine Vermutung. Bekommst du eine Fehlermeldung? Was sagen die Windowsprotokolle? Wer verteilt denn die IP-Adressen eurer VPN-Netzes? Kannst du die IP-Adressvergabe zum DC weitergeben? Kann der Client sonst alles andere erreichen? Was ergibt ein eine Abfrage von dem DocuFiled-Server auf Client für eine IP? Wir diese richtig aufgelöst?
Kann man diese "Leasetime" für den DNS irgendwie einstellen? Das Ziel wäre, dass der Client dem DNS-Server alle paar Minuten seine aktuelle IP mitteilt und somit die Prüfung des Lizenzservers hoffentlich erfolgreich ist (immer noch das Testszenario)
Lass den DC die Ips für die VPN Einwahl vergeben. Dann aktualisiert er das sofort.
Hat hier jemand einen Tipp, wie ich das einstellen kann? Evtl. sogar per GPO?
Was soll das bringen? Sowohl Computer als auch User-GPOs werden ausgeführt in dem Moment wo keine Verbindung zum DC besteht, nämlich vor der Verbindung via Open VPN. Du musst dann entweder immer ein GPupdate /force machen oder (Stanadardeinstellung) 2 Stunden warten bis es greift.
Gruß
Doskias
Moin,
eigentlich schreibt ja der Client direkt in den DNS...
Versucht doch nach Tunnelaufbau am Client mal ein "ipconfig /registerdns" (wobei da evtl nur die IP des LAN/WLAN Interfaces registriert wird, und nicht die des Tunnel Interfaces.... evtl. kann das euer VPN Endpunkt?) und am Lizenzserver ein "ipconfig /flushdns"
lg,
Slainte
eigentlich schreibt ja der Client direkt in den DNS...
Versucht doch nach Tunnelaufbau am Client mal ein "ipconfig /registerdns" (wobei da evtl nur die IP des LAN/WLAN Interfaces registriert wird, und nicht die des Tunnel Interfaces.... evtl. kann das euer VPN Endpunkt?) und am Lizenzserver ein "ipconfig /flushdns"
lg,
Slainte
Ganz verständlich ist der DNS Ansatz nicht. Normalerweise nutzt man im OpenVPN Server das moderne Subnet Verfahren (Parameter topology subnet im Server). Damit steht doch das VPN Client Subnetz statisch fest.
Das veraltete net30 Verfahren mit einzelnen /30er Subnetzen für die Clients wäre hier natürlich kontraproduktiv und nutzt ja eh niemand mehr.
Zudem es ja auch noch mit dem Parameter server <ip_netz> <maske> fest definiert ist.
Ein DNS Server "kennt" also zu jeder Zeit und Sekunde das OpenVPN Client IP Netz egal ob ein Client aktiv ist oder nicht. In einem Firmennetz wird ja der lokale DNS Server dem VPN Client zudem mit push "dhcp-option DNS <ip_addr>" übermittelt so das der aktive VPN Client primär immer den firmeneigenen DNS befragt.
Ein möglicher Workaround ist auch Clients auf Basis ihres Common Name immer eine feste IP im OpenVPN zu geben (ifconfig-push..) und diese statisch im DNS zu definieren. Damit umgeht man dann auch jegliches Laufzeitproblem.
Das veraltete net30 Verfahren mit einzelnen /30er Subnetzen für die Clients wäre hier natürlich kontraproduktiv und nutzt ja eh niemand mehr.
Zudem es ja auch noch mit dem Parameter server <ip_netz> <maske> fest definiert ist.
Ein DNS Server "kennt" also zu jeder Zeit und Sekunde das OpenVPN Client IP Netz egal ob ein Client aktiv ist oder nicht. In einem Firmennetz wird ja der lokale DNS Server dem VPN Client zudem mit push "dhcp-option DNS <ip_addr>" übermittelt so das der aktive VPN Client primär immer den firmeneigenen DNS befragt.
Ein möglicher Workaround ist auch Clients auf Basis ihres Common Name immer eine feste IP im OpenVPN zu geben (ifconfig-push..) und diese statisch im DNS zu definieren. Damit umgeht man dann auch jegliches Laufzeitproblem.
Die Anmeldereihenfolge ist:
1. User meldet sich am PC an.
2. User startet OpenVPN
3. User startet Programme
Die IP-Adressierung übernimmt die Firewall, denn dort läuft der OpenVPN Server.
In die Verbindung ist aber der Domain-DNS eingetragen.
Die Clients melden sich ja auch am DNS an, jedoch ist die IP nicht sofort akualisiert.
Ich kann morgen mal die Ansätze prüfen:
- ipconfig /registerdns (mal sehen, was passiert)
- IP-Vergabe über Domain-DHCP, sofern möglich
- feste IP über Reservierung (das darf sich ja nicht mit dem lokalen Netz beissen)
Gruß
Looser
1. User meldet sich am PC an.
2. User startet OpenVPN
3. User startet Programme
Die IP-Adressierung übernimmt die Firewall, denn dort läuft der OpenVPN Server.
In die Verbindung ist aber der Domain-DNS eingetragen.
Die Clients melden sich ja auch am DNS an, jedoch ist die IP nicht sofort akualisiert.
Ich kann morgen mal die Ansätze prüfen:
- ipconfig /registerdns (mal sehen, was passiert)
- IP-Vergabe über Domain-DHCP, sofern möglich
- feste IP über Reservierung (das darf sich ja nicht mit dem lokalen Netz beissen)
Gruß
Looser
Zitat von @Looser27:
Die Anmeldereihenfolge ist:
1. User meldet sich am PC an.
2. User startet OpenVPN
3. User startet Programme
Die Anmeldereihenfolge ist:
1. User meldet sich am PC an.
2. User startet OpenVPN
3. User startet Programme
Dann erfolgt die Ameldung am Programm aber erst NACH der OpenVPN Verbindung. In dem Moment ist der Laptop mit der VPN-IP im netzwerk bekannt.
Die IP-Adressierung übernimmt die Firewall, denn dort läuft der OpenVPN Server.
Welcher DNS-Server ist bei eure DC eingetragen? Sinnvoll wäre DC fragt Firewall, Firewall fragt im Internet nach. Nur so kann der DC die Namensauflösung für VPN-angeschlossene Geräte kennen. In dem Fall brauchst du auch keine IP-Vergabe via DC.In die Verbindung ist aber der Domain-DNS eingetragen.
Dann sollte der Domain-DNS auch die Firewall als DNS eingetragen haben.Ich kann morgen mal die Ansätze prüfen:
- ipconfig /registerdns (mal sehen, was passiert)
- IP-Vergabe über Domain-DHCP, sofern möglich
Oder den DNS-die Firewall als DNS-Server eintragen. Köntne wie gesagt auch reichen.- ipconfig /registerdns (mal sehen, was passiert)
- IP-Vergabe über Domain-DHCP, sofern möglich
- feste IP über Reservierung (das darf sich ja nicht mit dem lokalen Netz beissen)
Wird sich nicht mit dem lokalen Netz beißen. Intern nutzen sie die physischen Netzwerkkarte, per VPN nutzen Sie die virtuelle von OpenVPN eingerichtete. Das sollten eigentlich 2 unterschiedliche MAC-Adressen sein, wenn ich mich jetzt richtig erinnere. Habe aber OpenVPN seit Jahren nicht mehr genutzt.In die Verbindung ist aber der Domain-DNS eingetragen.
Wie meinst du das ?? Er ist in der OpenVPN Server Konfig Datei eingetragen das er an den Client gepusht wird oder wie ist das zu verstehen ?Die Clients melden sich ja auch am DNS an,
Ein Client meldet sich doch niemals aktiv an einem DNS Server an ! Hier missverstehst du vermutlich den DNS Vorgang.Der Client befragt stinknormal per DNS Request (TCP/UDP 53) den DNS Server nach einem Hostnamen wenn er einen hat den er nicht auflösen kann. Der DNS Server sieht in seinen lokalen Records nach und antwortet mit der entsprechenden IP oder leitet dann weiter auf die Firewall wenn er auch nicht auflösen kann. Diese leitet wiederum weiter an den Provider DNS wenn sie nicht auflösen kann.
Ganz einfaches 08/15 Standard DNS Prinzip wie es millionenfach im Einsatz ist. Nicht mehr und nicht weniger.
Kollege @Doskias hat es oben ja ebenso schon gesagt.
Was du vermutlich (geraten) meinst ist das der DHCP Server dynamisch an den (Winblows) DNS Server den VPN Client Hostnamen meldet. Das dürfte hier aber nicht funktionieren, denn der OpenVPN Server kann bzw. macht sowas in der Regel nicht. Jedenfalls keine dynamische Meldung. Das kann wenn dann überhaupt nur über die Weiterleitung an die Firewall klappen.
Hier wäre hilfreich zu wissen ob du per nslookup oder dig dann solche aktiven VPN Clientnamen auch auflösen kannst ?
Klappt das wäre das OK und dann wären die Clientnamen auch sofort bei VPN Einwahl im DNS bekannt.
Andernfalls ja oben der Vorschlag das du die Clients statisch fest, statisch anhand ihres Common Names im DNS Server definierst und im OVPN Server je nach Client Common Name feste IP Adressen vergibst.
Ich habe nun alles nochmal durchgetestet.
DNS-Auflösung ist in beide Richtungen korrekt (auch durch den Tunnel).
Es scheint also an der Software selber zu liegen, die keine Verbindungen von ausserhalb des eigenen Netzwerkes akzeptiert.
Hierbei spielt es keine Rolle, ob der Client eine statische oder eine dynamische Adresse erhält. Das Problem besteht weiterhin.
Damit hier closed.
Danke an alle für den Input.
Gruß
Looser
DNS-Auflösung ist in beide Richtungen korrekt (auch durch den Tunnel).
Es scheint also an der Software selber zu liegen, die keine Verbindungen von ausserhalb des eigenen Netzwerkes akzeptiert.
Hierbei spielt es keine Rolle, ob der Client eine statische oder eine dynamische Adresse erhält. Das Problem besteht weiterhin.
Damit hier closed.
Danke an alle für den Input.
Gruß
Looser
die keine Verbindungen von ausserhalb des eigenen Netzwerkes akzeptiert.
Das solltest du aber nochmal über die Hersteller Hotline sauber abklären ! Das wäre recht armselig, denn dann wäre dieses Produkt in keiner Firma sinnvoll nutzbar, denn in Firmen hat man zu 99% ja immer segmentierte IP Netze in der Infrastruktur.Das kann eigentlich kein seriöser Hersteller wirklich wollen.
Zitat von @Looser27:
Es scheint also an der Software selber zu liegen, die keine Verbindungen von ausserhalb des eigenen Netzwerkes akzeptiert.
Es scheint also an der Software selber zu liegen, die keine Verbindungen von ausserhalb des eigenen Netzwerkes akzeptiert.
Lokale Windows-Firewall des "Servers" geprüft? Die läßt auch nicht ohne weitere Pakete aus "fremden" Netzen rein. Du mußt die VPN-Netze zu den vertrauenswürdigen Netzen hinzufügen.
Ansonsten Hersteller in den Hintern treten.
lks
Lokale Windows-Firewall des "Servers" geprüft. Die läßt auch nicht ohne weitere Pakete aus "fremden" Netzen rein. Du mußt die VPN-Netze zu den vertrauenswürdigen Netzen hinzufügen.
Selbst mit abgeschalteter Firewall auf dem Server gab es hier keine Änderung.
Das Ticket beim Hersteller ist aber noch offen.
Ist ja mal spannend was der antwortet...! 
Ich habe Antwort vom Support erhalten. Die Lösung ist relativ trivial, aber da die anderen Programme ohne diese Einstellung funktionieren, habe ich dem keine besondere Aufmerksamkeit gewidmet.
Es wird ein bidirektionales NAT (in den VPN-Tunnel und zurück) für den verwendeten Port auf dem Router benötigt.
Damit funktionierte die Software sofort.
Warum das aber in der Dokumentation der Software nicht beschrieben wurde, bleibt deren Geheimnis.
Somit hier *geschlossen*.
Danke an alle für die Lösungsansätze.
Es wird ein bidirektionales NAT (in den VPN-Tunnel und zurück) für den verwendeten Port auf dem Router benötigt.
Damit funktionierte die Software sofort.
Warum das aber in der Dokumentation der Software nicht beschrieben wurde, bleibt deren Geheimnis.
Somit hier *geschlossen*.
Danke an alle für die Lösungsansätze.
Es wird ein bidirektionales NAT (in den VPN-Tunnel und zurück)
Bedeutet ja das diese Software dann letzlich nur mit einer ganz bestimmten IP Adressierung arbeiten kann und vermutlich nicht routebar ist. M.E. ein fataler Design Fehler in der Software und unhaltbar heutzutage wo segmentierte Netze Standard sind.Passiert aber wenn Software Entwicklern der Praxis Horizont fehlt oder die Software schlecht oder gar nicht gepfelgt wird.
Schlimm das man dann solche gruseligen Workarounds machen muss aber wenns denn hilft...?!
Case closed.
Zitat von @Looser27:
Ich habe Antwort vom Support erhalten. Die Lösung ist relativ trivial, aber da die anderen Programme ohne diese Einstellung funktionieren, habe ich dem keine besondere Aufmerksamkeit gewidmet.
Es wird ein bidirektionales NAT (in den VPN-Tunnel und zurück) für den verwendeten Port auf dem Router benötigt.
Damit funktionierte die Software sofort.
Ich habe Antwort vom Support erhalten. Die Lösung ist relativ trivial, aber da die anderen Programme ohne diese Einstellung funktionieren, habe ich dem keine besondere Aufmerksamkeit gewidmet.
Es wird ein bidirektionales NAT (in den VPN-Tunnel und zurück) für den verwendeten Port auf dem Router benötigt.
Damit funktionierte die Software sofort.
Das ist keine Lösung, sondern ein "workaround". Das Problem ist, daß die Software nicht über IP-Netzwerkgrenzen hinweg funktioniert, weil die Programmierer schlampig programmiert haben. Normalerweise muß man sich extra dafür anstrengen, damit sowas passiert. Normale Progamme funktionieren üblicherweise ohne zutun über Netzwerkgrenzen hinweg.
Warum das aber in der Dokumentation der Software nicht beschrieben wurde, bleibt deren Geheimnis.
Damit niemand merkt wie vermurkst deren Software ist.
Somit hier *geschlossen*.
Ich würde den Hersteller nochmal gehörig treten, damit die das Standard-Konform glattziehen.
Danke an alle für die Lösungsansätze.
Gern geschehen. Allerdings wäre es nett, wenn du auch den Namen des Herstellers und der Software nennen würdest, damit nachfolgende Generationen
lks
Ich würde den Hersteller nochmal gehörig treten, damit die das Standard-Konform glattziehen.
Lohnt sich nicht, da wir die Lösung nur noch zeitlich begrenzt einsetzen werden.
Name der Software steht im Startposting....
