IOS Active Snyc über VPN - DNS Problem?

Mitglied: 136046

136046

28.04.2021 um 10:17 Uhr, 504 Aufrufe, 8 Kommentare

Hallo zusammen,

wir haben ein Problem und noch keine heiße Spur. Vielleicht könnt ihr weiterhelfen.

Wir testen ob unsere iOS Geräte (iPad und iPhone) nur noch über VPN mit unserem Exchange kommunizieren können.

Der Exchange Server ist über den öffentlichen Namen erreichbar und die Synchronisation mit den Geräten ist einwandfrei.
Öffnen wir den VPN Tunnel über OpenVPN, fragt das iPhone/das iPad aber immer noch über den externen Namen/die externe IP an.
Getestet haben wir das mit dem Net Analyzer.

Die lokalen DNS Server werden für die VPN Verbindung mitgegeben. Ebenfalls gibt es intern den passenden DNS Eintrag zum Exchange.
Erste Vermutung war der lokale DNS Cache, welcher wohl durch Aktivierung des Flugmodus geleert wird. Leider brachte das keinen Erfolg.

Testen wir das gleiche mit einem Pixel 4a XL, haben wir keine Probleme:
- Ohne VPN wird der Name zur externen IP aufgelöst
- Mit VPN wird der Name zur internen IP aufgelöst
- Funktion wie gewünscht


Liebe Grüße!
Mitglied: aqui
28.04.2021, aktualisiert um 10:53 Uhr
In der OVPN Server Konfig sollte push "dhcp-option DNS x.y.z.h" stehen wobei der Platzhalter x.y.z.h die IP Adresse des internen DNS Servers ist. Siehe dazu auch hier.
Dieser sollte eine Weiterleitung auf den lokalen Router haben.
Hilfreich wäre einmal ein nslookup mit den HE.net Tools bei aktivem VPN Client:
https://apps.apple.com/de/app/he-net-network-tools/id858241710
Der zeigt dir explizit an welchen DNS Server das Smartphone benutzt !

Nebenbei:
Warum nutzt du nicht den bordeigenen VPN Client z.B. mit L2TP ?? Das wäre viel sinnvoller und würde die überflüssige Installation einer externen VPN App obsolet machen. Die bordeigenen VPN Clients sind erheblich besser ins Smartphone OS integriert als etwas Externes. Vom erheblich besseren VPN Durchsatz mal gar nicht zu reden... Siehe z.B. hier:
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
So gut wie alle Firewalls und besseren Router supporten L2TP VPNs.
Das DNS Problem löst das nebenbei auch im Handumdrehen.
Bitte warten ..
Mitglied: tikayevent
28.04.2021 um 11:08 Uhr
@aqui: Bevor man mit L2TP rumbastelt, sollte man in der heutigen Zeit IPSec IKEv2 nehmen, was der integrierte Client auch kann.

Das Problem wird sein, dass der DNS-Eintrag vom Gerät zwischengespeichert wird. Wenn du einfach nur lange genug wartest und sichergestellt ist, dass der DNS-Split-View die für intern korrekte Adresse liefert, wird der Client nach einiger Zeit umspringen. Das kannst du aber nicht erzwingen, außer mit einem Geräteneustart, nur musst du dann schnell genug sein, um die VPN-Verbindung wieder aufzureißen.

Active Sync ist nicht unbedingt dafür ausgelegt. Es soll datensparsam sein und alle unnötigen Sachen, wie DNS-Anfragen, so selten wie möglich machen.
Bitte warten ..
Mitglied: StefanKittel
28.04.2021 um 11:15 Uhr
Moin,

für die Testphase eher problematisch, aber...

Wenn jeder Client nur noch über VPN mit dem Exchange kommunizieren darf, kannst Du auch die LAN IP über den öffentlichen DNS-Server verbreiten.

Dann bekommt jeder Client immer und überall nur die LAN IP. Wenn er dann nicht per VPN verbunden ist bekommt er keine Verbindung.
Was aber egal ist, weil er ohne VPN sowieso keine Verbindung bekommen würde.

Ist so eher unüblich, aber wenn Apple oder der VPN-Anbieter da was gebastelt hat...

Stefan
Bitte warten ..
Mitglied: aqui
28.04.2021, aktualisiert um 11:23 Uhr
sollte man in der heutigen Zeit IPSec IKEv2 nehmen, was der integrierte Client auch kann.
Absolut richtig ! Sollte den TO nur nicht gleich völlig überfordern da die L2TP Konfig etwas einfacher von der Hand geht... ;-) face-wink
Ein IKEv2 Setup mit den Onboard Clients sieht man z.B. HIER.
aber wenn Apple oder der VPN-Anbieter da was gebastelt hat...
Der VPN "Anbieter" ist der TO ja wohl (hoffentlich) selber mit einem eigenen OpenVPN Server !
Bitte warten ..
Mitglied: 136046
136046 (Level 1)
28.04.2021 um 12:06 Uhr
Vielen Dank für die freundlichen und ausführlichen Rückmeldungen!

Der VPN Server ist eine Sophos Firewall. Diese gibt die DNS Server mit. Mithilfe der HE.NET Network Tools App habe ich gesehen das der DNS Servers des WLANs und nicht des VPNs verwendet wird. Pinge ich die Adresse, bekomme ich die externe IP zurück. Trage ich den DNS Server des VPNs in der App ein und pinge die Adresse, bekomme ich logischerweise die gewünschte interne IP zurück.

Habe ich das nun richtig verstanden? Kann ich dieses Verhalten für meine Testphase nicht beeinflussen?
Bitte warten ..
Mitglied: aqui
28.04.2021 um 14:45 Uhr
Wenn der interne DNS Server bei den Androiden richtig übernommen wird, bei iOS aber nicht dann wird das vermutlich intern geblockt. Wäre aber sehr ungewöhnlich.
Du solltest das wasserdicht mal testen indem du mit einem Windows Client mal den Tunnel nutzt und dort ein ipconfig -all bei aktivem Client eingibst !
Der Output zeigt dir dann ob wirklich der per OpenVPN gepushte DNS Server als Primärer DNS Server genutzt wird bei aktivem Client.

Alternativ testest du für die iPhones mal eine Gateway Redirect Lösung mit push "redirect-gateway def1 bypass-dhcp" in der OVPN Konfig !
Das redirected dann alles in den Tunnel und sollte in jedem Falle funktionieren.

Wie bereits gesagt wäre ein L2TP mit den integrierten Onboard Clients in deinem Falle die sinnvollere Lösung:
https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onli ...
Bitte warten ..
Mitglied: 136046
136046 (Level 1)
28.04.2021 um 15:16 Uhr
Vielleicht drücke ich mich auch schlecht aus. Ich versuche es nochmal.

Die internen DNS werden auch von den iOS Geräten übernommen. Ich kann Server über die Namen anpingen. Das könnte ich doch sonst gar nicht. Primär wird der DNS Server (Beispiel meine FritzBox im HomeOffice) angefragt.
Daher die Auflösung zur externen und nicht zur internen IP.

Ich werde es wohl nicht mit iOS Geräten testen können und müsste den Weg ganz dicht machen und dann sollte es gehen.
Beenden wir das ganze hier.

Die integrierte Lösung bringt uns nichts. Wir eine sehr große Anzahl an Geräten reinholen und neu konfigurieren.

Sollte ich eine Lösung haben, melde ich mich nochmnal.
Bitte warten ..
Mitglied: aqui
29.04.2021, aktualisiert um 10:30 Uhr
Die internen DNS werden auch von den iOS Geräten übernommen.
Ja, da hast du dich dann mehr als nur schlecht ausgedrückt. So gesehen unverständlich und zudem auch noch technisch falsch beschrieben das keiner der hiesigen Community dich bzw. die Problemstellung richtig verstanden hat. :-( face-sad
Du hast dann überhaupt kein VPN Problem sondern ein reines DNS Problem mit der Hostnamenauflösung an sich, was primär rein gar nichts mit dem VPN zu tun hat. Aber egal...
Auch warum eine integrierte Lösung nichts bringt ist vollkommen wirr. Sowas kann man per Mausklick mit einem zentralen Management einrichten ohne überhaupt die Geräte anfassen zu müssen. Bei externen Apps ohne Konfig Management Option ist das erheblich schwerer. Aber auch egal...kann ja jeder frei entscheiden was er macht und wenn's umständlich auch geht... ;-) face-wink
Case closed !
https://administrator.de/faq/32
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 14 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...