DNS-Namensauflösung per VPN funktioniert nicht wenn Fritzbox im Spiel ist
Hallo Leute,
wir haben schon länger ein Problem in der Firma, welches leider immer häufiger wird und ich keine Lösung finden konnte. Ich hoffe hier Hilfe zu finden.
So, hier die Ausgangslage:
Wir haben eine FW von paloalto die auch für VPN eingerichtet ist. Der VPN-Client selber kommt auch von paloalto und heisst "globalprotect".
Wir betreiben im Netzwerk eigene BIND-DNS-Server die dem VPN-Client per DHCP und einer IP aus der VPN-Range zugewiesen wird.
Funktioniert auch einwandfrei.
Die Mitarbeiter die im HomeOffice oder im Aussendienst sind, starten den VPN-Client, verbinden sich mit der FW, Authentifizieren sich mit der Domänenameldung und können alle Protokolle und Ports nutzen die freigegeben sind und nahezu das gesamte Netzwerk als Ziel ist erreichbar.
Range ist: 172.17.11.0/24
DNS Server: 192.1.2.234, 192.1.1.210 (fragt mich nicht wieso dies kein C-Klasse-Standardnetz ist. War lange vor meiner zeit so eingeführt worden).
Routen sind gesetzt und funktioniert einwandfrei. Verwalten auf der FW tut es es eine externe IT-Sicherheitsfirma.
Das Problem:
Jetzt haben wir bei einigen Kollegen das Problem daß sie nichts mehr im Netzwerk per Nodename oder auch FQDN erreichen können. Nutzen sie die IP-Adresse funktioniert es.
Die Gemeinsamkeit aller dieser Kollegen ist: alle nutzen eine Fritzbox. Alle haben in der Netzwerkeinstellung zu unserem Domänen-Suffix noch die "fritz.box".
Nutze ich nslookup so bekomme ich nur mit dem Nodenamen und auch mit dem FQDN eine Auflösung-Ergebnis. Will ich den Nodenamen oder den FQDN anpingen so bekomme ich eine Fehlermeldung die besagt daß der Host "servername" (auch FQDN: "servername.firma.local") nicht gefunden werden konnte.
Ich selber habe auch eine Fritzbox zu Hause, die macht mir aber nicht diese Probleme. Aber diese trägt in meinem PC auch kein eigenes zusätzlcihes Suffix "fritz.box" ein.
So, meine Frage aller Fragen:
Was kann ich tun um das Problem zu beheben?
Kann ich irgendwie das "fritz.box"-Suffix los bekommen oder gibt es einen anderen Weg?
Ich bedanke mich schon einmal im voraus für eure Mühe, zumindest für das Lesen bis hier her.
wir haben schon länger ein Problem in der Firma, welches leider immer häufiger wird und ich keine Lösung finden konnte. Ich hoffe hier Hilfe zu finden.
So, hier die Ausgangslage:
Wir haben eine FW von paloalto die auch für VPN eingerichtet ist. Der VPN-Client selber kommt auch von paloalto und heisst "globalprotect".
Wir betreiben im Netzwerk eigene BIND-DNS-Server die dem VPN-Client per DHCP und einer IP aus der VPN-Range zugewiesen wird.
Funktioniert auch einwandfrei.
Die Mitarbeiter die im HomeOffice oder im Aussendienst sind, starten den VPN-Client, verbinden sich mit der FW, Authentifizieren sich mit der Domänenameldung und können alle Protokolle und Ports nutzen die freigegeben sind und nahezu das gesamte Netzwerk als Ziel ist erreichbar.
Range ist: 172.17.11.0/24
DNS Server: 192.1.2.234, 192.1.1.210 (fragt mich nicht wieso dies kein C-Klasse-Standardnetz ist. War lange vor meiner zeit so eingeführt worden).
Routen sind gesetzt und funktioniert einwandfrei. Verwalten auf der FW tut es es eine externe IT-Sicherheitsfirma.
Das Problem:
Jetzt haben wir bei einigen Kollegen das Problem daß sie nichts mehr im Netzwerk per Nodename oder auch FQDN erreichen können. Nutzen sie die IP-Adresse funktioniert es.
Die Gemeinsamkeit aller dieser Kollegen ist: alle nutzen eine Fritzbox. Alle haben in der Netzwerkeinstellung zu unserem Domänen-Suffix noch die "fritz.box".
Nutze ich nslookup so bekomme ich nur mit dem Nodenamen und auch mit dem FQDN eine Auflösung-Ergebnis. Will ich den Nodenamen oder den FQDN anpingen so bekomme ich eine Fehlermeldung die besagt daß der Host "servername" (auch FQDN: "servername.firma.local") nicht gefunden werden konnte.
Ich selber habe auch eine Fritzbox zu Hause, die macht mir aber nicht diese Probleme. Aber diese trägt in meinem PC auch kein eigenes zusätzlcihes Suffix "fritz.box" ein.
So, meine Frage aller Fragen:
Was kann ich tun um das Problem zu beheben?
Kann ich irgendwie das "fritz.box"-Suffix los bekommen oder gibt es einen anderen Weg?
Ich bedanke mich schon einmal im voraus für eure Mühe, zumindest für das Lesen bis hier her.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666503
Url: https://administrator.de/contentid/666503
Ausgedruckt am: 13.11.2024 um 10:11 Uhr
11 Kommentare
Neuester Kommentar
Meines Wissens lässt sich die per DHCP übertragene Suchdomain in der Fritzbox nicht ändern, auch nicht, wenn man den Namen der Fritzbox selbst umbenennt.
Die Fritzbox kennt das Netzwerk *.firma.local nicht, sodass auch kein Client das finden kann. Die Fritzbox spielt ja DNS für alle.
Hier hilft wohl nur ein eigener DHCP / DNS server oder eine andere Box.
Die Fritzbox kennt das Netzwerk *.firma.local nicht, sodass auch kein Client das finden kann. Die Fritzbox spielt ja DNS für alle.
Hier hilft wohl nur ein eigener DHCP / DNS server oder eine andere Box.
Zitat von @kaineanung:
Was kann ich tun um das Problem zu beheben?
Kann ich irgendwie das "fritz.box"-Suffix los bekommen oder gibt es einen anderen Weg?
Was kann ich tun um das Problem zu beheben?
Kann ich irgendwie das "fritz.box"-Suffix los bekommen oder gibt es einen anderen Weg?
- In den Netzwerkeinstellugen des Client den richtigen Suffix angeben.
- oder einen anderen DHCP/DNS als die Fritte nutzen.
lks
Ein VPN Server kann dem VPN Client suchdomains pushen, auch können sie bereits in der .ovpn Datei hinterlegt sein (wenn es ein OpenVPN ist). Dann kann der VPN Client auch auf diese Server in der Suchdomain zugreifen. Dann ist es auch egal welche Box der Client benutzt, denn die VPN (Client) Software läuft ja auf dem Windows 10 Rechner.
Wenn der Push zwar eingerichtet ist, aber nicht funktioniert, kann es an fehlenden lokalen Admin Berechtigungen liegen.
Wenn der Push zwar eingerichtet ist, aber nicht funktioniert, kann es an fehlenden lokalen Admin Berechtigungen liegen.
Ich hatte sowas ähnliches schon mal: Bei mir war es IPv6, was dazwischen gefunkt hat. DNS wurde über IPv6 priorisiert angefragt, da der VPN (ichratemal) nur für IPv4 ausgelegt ist und wohl auch nur den IPv4 DNS-Server weitergibt könnte ich mir vorstellen, dass der PC den Fritzbox DNS über IPv6 anfragt und dort ein "gibbetnich" erhält?! Nur so ein Schuss ins blaue, kannst du mal IPv6 auf einem der PCs deaktivieren und dann nochmal testen?
Gruß
Gruß