Problem mit DNS Registrierung bei VPN Einwahl

Mitglied: menace

menace (Level 1) - Jetzt verbinden

22.02.2021 um 09:16 Uhr, 338 Aufrufe, 5 Kommentare

Hall zusammen,

wir nutzen MS Server 2019 als DNS und DHCP-Server und haben folgendes Problem:

wenn sich z.B. ein WIN 10 Client im internen Netz befindet (egal ob per WLAN oder LAN), bekommt dieser vom DHCP Server eine entsprechende IP und der Hostname wird zur aktuellen IP im DNS registriert.
Soweit so gut.

Nun haben wir viele mobile User, welche mit ihren Notebooks unterwegs sind und öfter einen Hotspot am Handy nutzen. Zusätzlich erfolgt dann über den Hotspot per VPN die Einwahl ins Firmennetz.
Problem hierbei ist nun aber, dass sich der Client mit allen aktuellen IP Adressen am DHCP registriert:

Name: laptop1.domain.local
Addresses: 192.168.0.169
10.100.99.23

die 192er IP ist die vom Hotspot am Handy, die 10er IP ist die VPN IP, welche von der Firewall vergeben wird;

Wenn ich nun intern z.B. "laptop1" pinge, bekomme ich die 192er IP zurück, welche aber nicht erreichbar ist, da der Client ja nur über die 10er VPN IP aus dem internen Netz ansprechbar ist.


Selbe Problematik haben wir auch mit allen Homeoffice Usern, da sich die Clients im DNS alle neben der jeweiligen VPN IP mit ihren lokalen IPs der User zu Hause am DNS registrieren.

Können wir irgendwie verhindern, dass sich die Clients bei VPN-Einwahl mit den lokalen IPs am DNS registrieren und nur die VPN IPs im DNS eingetragen werden?
Mitglied: Looser27
22.02.2021, aktualisiert um 09:36 Uhr
Moin,

da hast du mehrere Baustellen.

In der Standard-Einstellung unterbindet Windows den Ping aus anderen Netzen. Das mußt Du per GPO erstmal ändern.
Wenn Dein DNS korrekt eingerichtet ist, melden sich die Clients mit der VPN-IP am DNS an. Hast Du eine Reverse-Lookup-Zone für Deine VPN-Clients eingerichtet?


Gruß

Looser
Bitte warten ..
Mitglied: aqui
22.02.2021, aktualisiert um 09:47 Uhr
Du hast schlicht und einfach vergessen den lokalen DNS Server in der VPN Server Konfig zu setzen, das der beim Tunnelaufbau automatisch an die Clients übergeben wird.
Dann bekommen die automatisch je nach verwendetem VPN Protokoll (was du ja leider nicht genannt hast :-( face-sad ) automatisch den Firmen DNS injiziert und können so problemlos alle internen Hostnamen erreichen.
Fazit: Fehlkonfiguration des VPN Servers !

Die hiesigen VPN Tutorials beschreiben das Thema im Detail:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
usw. usw.
Zum Thema ICMP/Ping hast du hoffentlich das hier beachtet !:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Bitte warten ..
Mitglied: altmetaller
22.02.2021 um 09:58 Uhr
Hallo,

warum pusht Du den DNS nicht „nur“ für eure lokalen Domains?

Gruß,
Jörg
Bitte warten ..
Mitglied: menace
22.02.2021, aktualisiert um 10:03 Uhr
@Looser27:
die reverse Zonen sind korrekt eingerichtet;
ich hatte mich oben evtl. mißverständlich ausgedrückt, die VPN Clients registrieren sich ja mit ALLEN aktuellen IPs im DNS;
dummerweise eben auch mit den lokalen, welche ich aus dem internen Netz nicht direkt erreichen kann, da ich nur über die VPN IP an die Clients komme; und bei z.B. Ping auf den Client liefert der DNS eben leider die falsche IP des CLients zurück;
nslookup liefert alle aktuellen IPs des Clients zurück und über die VPN IP kann ich diesen auch ansprechen;


@altmetaller:
könntest Du mir das bitte konkreter erklären?

@aqui:
die konkrete VPN Konfig muss ich erst noch bei unserem Netzwerkadmin erfragen;
ICMP durch die Firewall ist auf den Clients freigegeben;
Bitte warten ..
Mitglied: altmetaller
22.02.2021 um 11:16 Uhr
Hallo,

ganz einfach: Bei den meisten VPNs kann man einstellen, dass „nur“ deine eigenen Zonen durch den DNS hinter dem Tunnel aufgelöst werden.

Alle anderen DNS-Anfragen gehen über den DNS des HotSpot.

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 14 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...