9
IPSec VPN, Netzwerkanmeldung an VPN, falscher DNS
Hi Leute,
ich habe hier ein IPSec-VPN unter Windows 10 zu unserer zentralen PFSense-Firewall.
Die VPN-Verbindung geht problemlos wenn ich mich lokal am PC anmelde und mich verbinde.
Ich habe auf dem VPN-Interface die Metrik auf 4 reduziert, so dass er brav den DNS bevorzugt nimmt, der über das VPN gepushed wird.
Ein nslookup domain liefert mir die richtigen DCs.
Nutze ich aber am Windows-Anmeldeprompt die Netzwerkanmeldung, so baut er erst eine VPN-Verbindung auf und sucht dann Anmeldeserver via DNS.
Ich sehe im tcpdump, dass er zwar die Verbindung aufbaut, den DNS-Lookup aber über meinen LAN-Adapter macht, scheitert und die Verbindung terminiert.
Dann folgt die typische Meldung "Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist." Klar, er frägt auch falsche DNS und bekommt ein NXDOMAIN.
Was habe ich übersehen? Es scheint, dass er einfach die Metrik ignoriert oder irgendwie zu schnell die Anmeldung versucht, obwohl die VPN-Verbindung noch nicht steht.
Ich sehe dass 0 Daten in den VPN-Tunnel reingeschickt werden, obwohl die Verbindung steht.
Ich seh meinen Fehler nicht.
Danke für eure Ideen!
Siegmar
ich habe hier ein IPSec-VPN unter Windows 10 zu unserer zentralen PFSense-Firewall.
Die VPN-Verbindung geht problemlos wenn ich mich lokal am PC anmelde und mich verbinde.
Ich habe auf dem VPN-Interface die Metrik auf 4 reduziert, so dass er brav den DNS bevorzugt nimmt, der über das VPN gepushed wird.
Ein nslookup domain liefert mir die richtigen DCs.
Nutze ich aber am Windows-Anmeldeprompt die Netzwerkanmeldung, so baut er erst eine VPN-Verbindung auf und sucht dann Anmeldeserver via DNS.
Ich sehe im tcpdump, dass er zwar die Verbindung aufbaut, den DNS-Lookup aber über meinen LAN-Adapter macht, scheitert und die Verbindung terminiert.
Dann folgt die typische Meldung "Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist." Klar, er frägt auch falsche DNS und bekommt ein NXDOMAIN.
16:14:52.314101 IP 192.168.66.149.57732 > 8.8.8.8.53: 64250+ SRV? _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.local. (81)
16:14:52.325758 IP 8.8.8.8.53 > 192.168.66.149.57732: 64250 NXDomain 0/1/0 (156)
16:14:52.329739 IP 192.168.66.149.60965 > 8.8.8.8.53: 35720+ SRV? _ldap._tcp.dc._msdcs.domain.local. (50)
16:14:52.341294 IP 8.8.8.8.53 > 192.168.66.149.60965: 35720 NXDomain 0/1/0 (125)
16:14:59.923319 IP 192.168.66.149.53055 > 8.8.8.8.53: 62851+ SRV? _ldap._tcp.dc._msdcs.domain.local. (50)
16:14:59.934693 IP 8.8.8.8.53 > 192.168.66.149.53055: 62851 NXDomain 0/1/0 (125)Was habe ich übersehen? Es scheint, dass er einfach die Metrik ignoriert oder irgendwie zu schnell die Anmeldung versucht, obwohl die VPN-Verbindung noch nicht steht.
Ich sehe dass 0 Daten in den VPN-Tunnel reingeschickt werden, obwohl die Verbindung steht.
Ich seh meinen Fehler nicht.
Danke für eure Ideen!
Siegmar
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1129738801
Url: https://administrator.de/contentid/1129738801
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
9 Kommentare
Neuester Kommentar
Erst einmal
https://en.wikipedia.org/wiki/.local
Des weiteren sollte man den Domain-Suffix die über das VPN genutzt wird dem VPN-Adapter mitteilen, das kann remote am VPN-Server mitgegeben werden oder lokal in den erweiterten TCP-IP-Settings als DNS-Suffix angegeben werden.
Das hat den Vorteil das Windows beim Ansprechen des Domain-Namens die in der VPN-Verbindung gesetzten DNS-Server bevorzugt befragt.
Zudem sollte man beachten das lokal per IPv6 erreichbare DNS Server den IPv4 Kollegen bevorzugt werden.
domain.local.
sollte heute inzwischen eigentlich jeder wissen das die *.local für MDNS reserviert ist und es damit Probleme geben kann weil Domains lokal per Broadcast aufgelöst werden.https://en.wikipedia.org/wiki/.local
Des weiteren sollte man den Domain-Suffix die über das VPN genutzt wird dem VPN-Adapter mitteilen, das kann remote am VPN-Server mitgegeben werden oder lokal in den erweiterten TCP-IP-Settings als DNS-Suffix angegeben werden.
Das hat den Vorteil das Windows beim Ansprechen des Domain-Namens die in der VPN-Verbindung gesetzten DNS-Server bevorzugt befragt.
Zudem sollte man beachten das lokal per IPv6 erreichbare DNS Server den IPv4 Kollegen bevorzugt werden.
domain.local.
sollte heute inzwischen eigentlich jeder wissen das die *.local für MDNS reserviert ist und es damit Probleme geben kann weil Domains lokal per Broadcast aufgelöst werden.https://en.wikipedia.org/wiki/.local
Danke für den Hinweis.
Des weiteren sollte man den Domain-Suffix die über das VPN genutzt wird dem VPN-Adapter mitteilen, das kann remote am VPN-Server mitgegeben werden oder lokal in den erweiterten TCP-IP-Settings als DNS-Suffix angegeben werden.
Das hat den Vorteil das Windows beim Ansprechen des Domain-Namens die in der VPN-Verbindung gesetzten DNS-Server bevorzugt befragt.
Das hat den Vorteil das Windows beim Ansprechen des Domain-Namens die in der VPN-Verbindung gesetzten DNS-Server bevorzugt befragt.
Das habe ich schon gesetzt bei mir.
Zudem sollte man beachten das lokal per IPv6 erreichbare DNS Server den IPv4 Kollegen bevorzugt werden.
In meinem Fall hat der ipsec-adapter keinen v6-Link.
Aber der lokale LAN-Adapter vielleicht.
Zitat von @149062:
Aber der lokale LAN-Adapter vielleicht.
Aber der lokale LAN-Adapter vielleicht.
Sieht man nicht in meinem tcpdump, dass er mit v4 losrennt und scheitert? Ich hab hier keinen v6-Verkehr bevorzugt in den Log-Dateien.
Ich habe jetzt lokal auf allen Adaptern ipv6 testweise deaktiviert. Keine Veränderung am Verhalten.
Den lokalen DNS Server gibst du auf dem pfSense VPN automatisch mit wie HIER beschrieben ??
Frägt ???
https://kyrosschule.de/was-ist-richtig-heist-es-fragt-oder-fragt/
Wenn man zum jagen geht jägt man dann auch ? 🤔
https://kyrosschule.de/was-ist-richtig-heist-es-fragt-oder-fragt/
Wenn man zum jagen geht jägt man dann auch ? 🤔
Zitat von @aqui:
Frägt ???
https://kyrosschule.de/was-ist-richtig-heist-es-fragt-oder-fragt/
Wenn man zum jagen geht jägt man dann auch ? 🤔
Frägt ???
https://kyrosschule.de/was-ist-richtig-heist-es-fragt-oder-fragt/
Wenn man zum jagen geht jägt man dann auch ? 🤔
Hehe. Danke. Wieder was gelernt. Fast 30 Jahre falsch gemacht ;)
