IPSec VPN, Netzwerkanmeldung an VPN, falscher DNS
Hi Leute,
ich habe hier ein IPSec-VPN unter Windows 10 zu unserer zentralen PFSense-Firewall.
Die VPN-Verbindung geht problemlos wenn ich mich lokal am PC anmelde und mich verbinde.
Ich habe auf dem VPN-Interface die Metrik auf 4 reduziert, so dass er brav den DNS bevorzugt nimmt, der über das VPN gepushed wird.
Ein nslookup domain liefert mir die richtigen DCs.
Nutze ich aber am Windows-Anmeldeprompt die Netzwerkanmeldung, so baut er erst eine VPN-Verbindung auf und sucht dann Anmeldeserver via DNS.
Ich sehe im tcpdump, dass er zwar die Verbindung aufbaut, den DNS-Lookup aber über meinen LAN-Adapter macht, scheitert und die Verbindung terminiert.
Dann folgt die typische Meldung "Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist." Klar, er frägt auch falsche DNS und bekommt ein NXDOMAIN.
Was habe ich übersehen? Es scheint, dass er einfach die Metrik ignoriert oder irgendwie zu schnell die Anmeldung versucht, obwohl die VPN-Verbindung noch nicht steht.
Ich sehe dass 0 Daten in den VPN-Tunnel reingeschickt werden, obwohl die Verbindung steht.
Ich seh meinen Fehler nicht.
Danke für eure Ideen!
Siegmar
ich habe hier ein IPSec-VPN unter Windows 10 zu unserer zentralen PFSense-Firewall.
Die VPN-Verbindung geht problemlos wenn ich mich lokal am PC anmelde und mich verbinde.
Ich habe auf dem VPN-Interface die Metrik auf 4 reduziert, so dass er brav den DNS bevorzugt nimmt, der über das VPN gepushed wird.
Ein nslookup domain liefert mir die richtigen DCs.
Nutze ich aber am Windows-Anmeldeprompt die Netzwerkanmeldung, so baut er erst eine VPN-Verbindung auf und sucht dann Anmeldeserver via DNS.
Ich sehe im tcpdump, dass er zwar die Verbindung aufbaut, den DNS-Lookup aber über meinen LAN-Adapter macht, scheitert und die Verbindung terminiert.
Dann folgt die typische Meldung "Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist." Klar, er frägt auch falsche DNS und bekommt ein NXDOMAIN.
16:14:52.314101 IP 192.168.66.149.57732 > 8.8.8.8.53: 64250+ SRV? _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.local. (81)
16:14:52.325758 IP 8.8.8.8.53 > 192.168.66.149.57732: 64250 NXDomain 0/1/0 (156)
16:14:52.329739 IP 192.168.66.149.60965 > 8.8.8.8.53: 35720+ SRV? _ldap._tcp.dc._msdcs.domain.local. (50)
16:14:52.341294 IP 8.8.8.8.53 > 192.168.66.149.60965: 35720 NXDomain 0/1/0 (125)
16:14:59.923319 IP 192.168.66.149.53055 > 8.8.8.8.53: 62851+ SRV? _ldap._tcp.dc._msdcs.domain.local. (50)
16:14:59.934693 IP 8.8.8.8.53 > 192.168.66.149.53055: 62851 NXDomain 0/1/0 (125)
Was habe ich übersehen? Es scheint, dass er einfach die Metrik ignoriert oder irgendwie zu schnell die Anmeldung versucht, obwohl die VPN-Verbindung noch nicht steht.
Ich sehe dass 0 Daten in den VPN-Tunnel reingeschickt werden, obwohl die Verbindung steht.
Ich seh meinen Fehler nicht.
Danke für eure Ideen!
Siegmar
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1129738801
Url: https://administrator.de/forum/ipsec-vpn-netzwerkanmeldung-an-vpn-falscher-dns-1129738801.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
9 Kommentare
Neuester Kommentar
Erst einmal
https://en.wikipedia.org/wiki/.local
Des weiteren sollte man den Domain-Suffix die über das VPN genutzt wird dem VPN-Adapter mitteilen, das kann remote am VPN-Server mitgegeben werden oder lokal in den erweiterten TCP-IP-Settings als DNS-Suffix angegeben werden.
Das hat den Vorteil das Windows beim Ansprechen des Domain-Namens die in der VPN-Verbindung gesetzten DNS-Server bevorzugt befragt.
Zudem sollte man beachten das lokal per IPv6 erreichbare DNS Server den IPv4 Kollegen bevorzugt werden.
domain.local.
sollte heute inzwischen eigentlich jeder wissen das die *.local für MDNS reserviert ist und es damit Probleme geben kann weil Domains lokal per Broadcast aufgelöst werden.https://en.wikipedia.org/wiki/.local
Des weiteren sollte man den Domain-Suffix die über das VPN genutzt wird dem VPN-Adapter mitteilen, das kann remote am VPN-Server mitgegeben werden oder lokal in den erweiterten TCP-IP-Settings als DNS-Suffix angegeben werden.
Das hat den Vorteil das Windows beim Ansprechen des Domain-Namens die in der VPN-Verbindung gesetzten DNS-Server bevorzugt befragt.
Zudem sollte man beachten das lokal per IPv6 erreichbare DNS Server den IPv4 Kollegen bevorzugt werden.
Aber der lokale LAN-Adapter vielleicht.
Den lokalen DNS Server gibst du auf dem pfSense VPN automatisch mit wie HIER beschrieben ??
Frägt ???
https://kyrosschule.de/was-ist-richtig-heist-es-fragt-oder-fragt/
Wenn man zum jagen geht jägt man dann auch ? 🤔
https://kyrosschule.de/was-ist-richtig-heist-es-fragt-oder-fragt/
Wenn man zum jagen geht jägt man dann auch ? 🤔