kaineanung
Goto Top

DNS-Namensauflösung per VPN funktioniert nicht wenn Fritzbox im Spiel ist

Hallo Leute,

wir haben schon länger ein Problem in der Firma, welches leider immer häufiger wird und ich keine Lösung finden konnte. Ich hoffe hier Hilfe zu finden.

So, hier die Ausgangslage:

Wir haben eine FW von paloalto die auch für VPN eingerichtet ist. Der VPN-Client selber kommt auch von paloalto und heisst "globalprotect".
Wir betreiben im Netzwerk eigene BIND-DNS-Server die dem VPN-Client per DHCP und einer IP aus der VPN-Range zugewiesen wird.
Funktioniert auch einwandfrei.
Die Mitarbeiter die im HomeOffice oder im Aussendienst sind, starten den VPN-Client, verbinden sich mit der FW, Authentifizieren sich mit der Domänenameldung und können alle Protokolle und Ports nutzen die freigegeben sind und nahezu das gesamte Netzwerk als Ziel ist erreichbar.
Range ist: 172.17.11.0/24
DNS Server: 192.1.2.234, 192.1.1.210 (fragt mich nicht wieso dies kein C-Klasse-Standardnetz ist. War lange vor meiner zeit so eingeführt worden).
Routen sind gesetzt und funktioniert einwandfrei. Verwalten auf der FW tut es es eine externe IT-Sicherheitsfirma.

Das Problem:
Jetzt haben wir bei einigen Kollegen das Problem daß sie nichts mehr im Netzwerk per Nodename oder auch FQDN erreichen können. Nutzen sie die IP-Adresse funktioniert es.
Die Gemeinsamkeit aller dieser Kollegen ist: alle nutzen eine Fritzbox. Alle haben in der Netzwerkeinstellung zu unserem Domänen-Suffix noch die "fritz.box".

Nutze ich nslookup so bekomme ich nur mit dem Nodenamen und auch mit dem FQDN eine Auflösung-Ergebnis. Will ich den Nodenamen oder den FQDN anpingen so bekomme ich eine Fehlermeldung die besagt daß der Host "servername" (auch FQDN: "servername.firma.local") nicht gefunden werden konnte.


Ich selber habe auch eine Fritzbox zu Hause, die macht mir aber nicht diese Probleme. Aber diese trägt in meinem PC auch kein eigenes zusätzlcihes Suffix "fritz.box" ein.


So, meine Frage aller Fragen:
Was kann ich tun um das Problem zu beheben?
Kann ich irgendwie das "fritz.box"-Suffix los bekommen oder gibt es einen anderen Weg?


Ich bedanke mich schon einmal im voraus für eure Mühe, zumindest für das Lesen bis hier her.

Content-ID: 666503

Url: https://administrator.de/contentid/666503

Ausgedruckt am: 13.11.2024 um 10:11 Uhr

NordicMike
NordicMike 07.05.2021 um 11:18:23 Uhr
Goto Top
Meines Wissens lässt sich die per DHCP übertragene Suchdomain in der Fritzbox nicht ändern, auch nicht, wenn man den Namen der Fritzbox selbst umbenennt.

Die Fritzbox kennt das Netzwerk *.firma.local nicht, sodass auch kein Client das finden kann. Die Fritzbox spielt ja DNS für alle.

Hier hilft wohl nur ein eigener DHCP / DNS server oder eine andere Box.
Looser27
Looser27 07.05.2021 aktualisiert um 11:21:56 Uhr
Goto Top
Moin,

sind in den VPN-Clients die DNS-Server korrekt eingetragen bei den Verbindungen, die Probleme machen und sind die erreichbar?
Werden, bei bestehender VPN-Verbindung, alle Daten durch den Tunnel geroutet?

Gruß

Looser
Lochkartenstanzer
Lochkartenstanzer 07.05.2021 aktualisiert um 11:20:31 Uhr
Goto Top
Zitat von @kaineanung:

Was kann ich tun um das Problem zu beheben?
Kann ich irgendwie das "fritz.box"-Suffix los bekommen oder gibt es einen anderen Weg?

  • In den Netzwerkeinstellugen des Client den richtigen Suffix angeben.
  • oder einen anderen DHCP/DNS als die Fritte nutzen.

lks
kaineanung
kaineanung 07.05.2021 um 11:49:38 Uhr
Goto Top
Die Boxen (ist mittlerweile bei mehr als nur einem Kollegen die eine Fritzbox haben die Probleme macht) sind in Privatbesitz und da haben wir kein Einfluss darauf was sich die Leute kaufen. Ist ja auch nicht so daß die Fritzboxen schlecht wären sondern eher das Gegenteil. Wäre halt nur nicht diese Sache mit dem blöden DNS über VPN...

DHCP-Server innerhalb des privaten Netzwerks können wir auch nicht beeinflussen. Das VPN-Netzwerk hat aber natürlich unseren DHCP und DNS-Server.

Frage: könnte ich auf unserem DNS-Server eine "Fritz.box"-Zone erstellen und dort irgendwie auf den Rest 'Forwarden'?
Wenn das Forwarden auf unsere Hauptzone (Firma.local) nicht gehen sollte, würde mir auch reichen die 20 wichtigsten Server dort separat zu Pflegen damit deren Namen aufgelöst werden? Würde das vielleicht gehen so als "Work around"?
Looser27
Looser27 07.05.2021 um 11:53:03 Uhr
Goto Top
Wenn die Mitarbeiter im HomeOffice Firmen-Hardware nutzen (Laptops, etc.) kannst Du doch einen Eintrag in die Hosts-Datei pushen.

Gruß

Looser
kaineanung
kaineanung 07.05.2021 um 11:53:22 Uhr
Goto Top
Zitat von @Looser27:

Moin,

sind in den VPN-Clients die DNS-Server korrekt eingetragen bei den Verbindungen, die Probleme machen und sind die erreichbar?
Werden, bei bestehender VPN-Verbindung, alle Daten durch den Tunnel geroutet?

Gruß

Looser

Ja, die VPN-Verbindung funktioniert ja auch bei allen anderen Kollegen im HomeOffice und im Aussendienst.
Auch bei vielen die eine Fritzbox nutzen (ich habe auch eine Cable 6660 zu Hause und alles funktioniert).

Starte ich nslookup so lande ich automatisch beim richtigen DNS-Server in der Firma und dort kann ich jegliche Namen auflösen, auch ohne einen Suffix anzugeben ()also FQDN). Nur ausserhalb des nslookups, wenn ich einen Server anpingen möchte, kann er plötzlich den Namen nicht mehr auflösen / nicht finden.

Das habe ich vergessen zu erwähnen: nslookup funktioniert genau wie es soll, von der CMD oder Browser aus funktioniert die Namensauflösung nicht.
kaineanung
kaineanung 07.05.2021 um 11:55:19 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @kaineanung:

Was kann ich tun um das Problem zu beheben?
Kann ich irgendwie das "fritz.box"-Suffix los bekommen oder gibt es einen anderen Weg?

  • In den Netzwerkeinstellugen des Client den richtigen Suffix angeben.
  • oder einen anderen DHCP/DNS als die Fritte nutzen.

lks


Wir geben unseren Suffix in den Netzwerkeinstellungen autmatisch mit. Der ist dort auch aufgelistet.
Leider macht das die Fritz.Box aber selber auch noch mal zusätzlich und dort wird der Suffix "fritz.box" ebenfalls mit aufgelistet. Diese Kollegen haben an der Stelle dann 2 Suffixe.....
kaineanung
kaineanung 07.05.2021 um 11:59:46 Uhr
Goto Top
Zitat von @Looser27:

Wenn die Mitarbeiter im HomeOffice Firmen-Hardware nutzen (Laptops, etc.) kannst Du doch einen Eintrag in die Hosts-Datei pushen.

Gruß

Looser

Die Aussendienst-Mitarbeiter nutzen tatsächlich Firmenhardware, der Rest, und das sind mindestens nochmals das Doppelte an Benutzern, nutzt private Hardware.

Für mich wäre es aber schon einmal eine riesige Erleichterung wenn ich die 50% der Benutzer von diesem Problem wegbekommen könnte.
Mit pushen meinst du sicherlich Dateien per GPO verteilen, richtig?
Das müsste ich natürlich per Benutzer-GPO machen da die Computer-GPO da schon lange nicht mehr "greift" da eine VPN-Verbindung sehr spät vom Benutzer selber initiiert wird..... sehe ich auch relativ schwarz für dieses Vorhaben... face-sad((
Oder?
NordicMike
NordicMike 07.05.2021 aktualisiert um 12:26:02 Uhr
Goto Top
Ein VPN Server kann dem VPN Client suchdomains pushen, auch können sie bereits in der .ovpn Datei hinterlegt sein (wenn es ein OpenVPN ist). Dann kann der VPN Client auch auf diese Server in der Suchdomain zugreifen. Dann ist es auch egal welche Box der Client benutzt, denn die VPN (Client) Software läuft ja auf dem Windows 10 Rechner.

Wenn der Push zwar eingerichtet ist, aber nicht funktioniert, kann es an fehlenden lokalen Admin Berechtigungen liegen.
Looser27
Looser27 07.05.2021 um 12:25:30 Uhr
Goto Top
Das Problem könnte noch sein, dass die Kollegen, bei denen es nicht funktioniert das IP-Netz der Fritzbox identisch mit Eurem Netzwerk eingerichtet haben. Deswegen läuft der Ping dann ins Leere. nslookup funktioniert aber, da der Firmen-DNS natürlich die korrekte IP liefert.
CyborgWeasel
CyborgWeasel 10.05.2021 um 15:10:22 Uhr
Goto Top
Ich hatte sowas ähnliches schon mal: Bei mir war es IPv6, was dazwischen gefunkt hat. DNS wurde über IPv6 priorisiert angefragt, da der VPN (ichratemal) nur für IPv4 ausgelegt ist und wohl auch nur den IPv4 DNS-Server weitergibt könnte ich mir vorstellen, dass der PC den Fritzbox DNS über IPv6 anfragt und dort ein "gibbetnich" erhält?! Nur so ein Schuss ins blaue, kannst du mal IPv6 auf einem der PCs deaktivieren und dann nochmal testen?

Gruß