siegmarb
Goto Top

IPSec VPN, Netzwerkanmeldung an VPN, falscher DNS

Hi Leute,

ich habe hier ein IPSec-VPN unter Windows 10 zu unserer zentralen PFSense-Firewall.
Die VPN-Verbindung geht problemlos wenn ich mich lokal am PC anmelde und mich verbinde.
Ich habe auf dem VPN-Interface die Metrik auf 4 reduziert, so dass er brav den DNS bevorzugt nimmt, der über das VPN gepushed wird.

Ein nslookup domain liefert mir die richtigen DCs.

Nutze ich aber am Windows-Anmeldeprompt die Netzwerkanmeldung, so baut er erst eine VPN-Verbindung auf und sucht dann Anmeldeserver via DNS.
Ich sehe im tcpdump, dass er zwar die Verbindung aufbaut, den DNS-Lookup aber über meinen LAN-Adapter macht, scheitert und die Verbindung terminiert.
Dann folgt die typische Meldung "Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist." Klar, er frägt auch falsche DNS und bekommt ein NXDOMAIN.

16:14:52.314101 IP 192.168.66.149.57732 > 8.8.8.8.53: 64250+ SRV? _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.local. (81)
16:14:52.325758 IP 8.8.8.8.53 > 192.168.66.149.57732: 64250 NXDomain 0/1/0 (156)
16:14:52.329739 IP 192.168.66.149.60965 > 8.8.8.8.53: 35720+ SRV? _ldap._tcp.dc._msdcs.domain.local. (50)
16:14:52.341294 IP 8.8.8.8.53 > 192.168.66.149.60965: 35720 NXDomain 0/1/0 (125)
16:14:59.923319 IP 192.168.66.149.53055 > 8.8.8.8.53: 62851+ SRV? _ldap._tcp.dc._msdcs.domain.local. (50)
16:14:59.934693 IP 8.8.8.8.53 > 192.168.66.149.53055: 62851 NXDomain 0/1/0 (125)

Was habe ich übersehen? Es scheint, dass er einfach die Metrik ignoriert oder irgendwie zu schnell die Anmeldung versucht, obwohl die VPN-Verbindung noch nicht steht.

Ich sehe dass 0 Daten in den VPN-Tunnel reingeschickt werden, obwohl die Verbindung steht.


Ich seh meinen Fehler nicht.

Danke für eure Ideen!

Siegmar

Content-ID: 1129738801

Url: https://administrator.de/forum/ipsec-vpn-netzwerkanmeldung-an-vpn-falscher-dns-1129738801.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

149062
149062 06.08.2021 aktualisiert um 17:21:50 Uhr
Goto Top
Erst einmal
domain.local.
sollte heute inzwischen eigentlich jeder wissen das die *.local für MDNS reserviert ist und es damit Probleme geben kann weil Domains lokal per Broadcast aufgelöst werden.
https://en.wikipedia.org/wiki/.local

Des weiteren sollte man den Domain-Suffix die über das VPN genutzt wird dem VPN-Adapter mitteilen, das kann remote am VPN-Server mitgegeben werden oder lokal in den erweiterten TCP-IP-Settings als DNS-Suffix angegeben werden.
Das hat den Vorteil das Windows beim Ansprechen des Domain-Namens die in der VPN-Verbindung gesetzten DNS-Server bevorzugt befragt.

Zudem sollte man beachten das lokal per IPv6 erreichbare DNS Server den IPv4 Kollegen bevorzugt werden.
screenshot
screenshot
screenshot
siegmarb
siegmarb 06.08.2021 um 17:27:53 Uhr
Goto Top
domain.local.
sollte heute inzwischen eigentlich jeder wissen das die *.local für MDNS reserviert ist und es damit Probleme geben kann weil Domains lokal per Broadcast aufgelöst werden.
https://en.wikipedia.org/wiki/.local

Danke für den Hinweis.

Des weiteren sollte man den Domain-Suffix die über das VPN genutzt wird dem VPN-Adapter mitteilen, das kann remote am VPN-Server mitgegeben werden oder lokal in den erweiterten TCP-IP-Settings als DNS-Suffix angegeben werden.
Das hat den Vorteil das Windows beim Ansprechen des Domain-Namens die in der VPN-Verbindung gesetzten DNS-Server bevorzugt befragt.

Das habe ich schon gesetzt bei mir.

Zudem sollte man beachten das lokal per IPv6 erreichbare DNS Server den IPv4 Kollegen bevorzugt werden.

In meinem Fall hat der ipsec-adapter keinen v6-Link.
149062
149062 06.08.2021 aktualisiert um 17:29:21 Uhr
Goto Top
Zitat von @siegmarb:
In meinem Fall hat der ipsec-adapter keinen v6-Link.
Aber der lokale LAN-Adapter vielleicht.
siegmarb
siegmarb 06.08.2021 um 17:51:04 Uhr
Goto Top
Zitat von @149062:

Zitat von @siegmarb:
In meinem Fall hat der ipsec-adapter keinen v6-Link.
Aber der lokale LAN-Adapter vielleicht.

Sieht man nicht in meinem tcpdump, dass er mit v4 losrennt und scheitert? Ich hab hier keinen v6-Verkehr bevorzugt in den Log-Dateien.
siegmarb
siegmarb 06.08.2021 um 18:33:59 Uhr
Goto Top
Ich habe jetzt lokal auf allen Adaptern ipv6 testweise deaktiviert. Keine Veränderung am Verhalten.
aqui
aqui 06.08.2021 um 18:51:58 Uhr
Goto Top
Den lokalen DNS Server gibst du auf dem pfSense VPN automatisch mit wie HIER beschrieben ??
siegmarb
siegmarb 06.08.2021 um 19:09:14 Uhr
Goto Top
Zitat von @aqui:

Den lokalen DNS Server gibst du auf dem pfSense VPN automatisch mit wie HIER beschrieben ??

Genau. Manuell klappts ja auch als lokaler User. Nur bei der Windows-Netzwerkanmeldung raff Windows es nicht und frägt den vom LAN/WLAN-Adapter.
aqui
aqui 06.08.2021 aktualisiert um 19:15:49 Uhr
Goto Top
Frägt ???
https://kyrosschule.de/was-ist-richtig-heist-es-fragt-oder-fragt/
Wenn man zum jagen geht jägt man dann auch ? 🤔
siegmarb
siegmarb 06.08.2021 um 19:32:47 Uhr
Goto Top
Zitat von @aqui:

Frägt ???
https://kyrosschule.de/was-ist-richtig-heist-es-fragt-oder-fragt/
Wenn man zum jagen geht jägt man dann auch ? 🤔

Hehe. Danke. Wieder was gelernt. Fast 30 Jahre falsch gemacht ;)