Problem mit DNS Registrierung bei VPN Einwahl

Hall zusammen,

wir nutzen MS Server 2019 als DNS und DHCP-Server und haben folgendes Problem:

wenn sich z.B. ein WIN 10 Client im internen Netz befindet (egal ob per WLAN oder LAN), bekommt dieser vom DHCP Server eine entsprechende IP und der Hostname wird zur aktuellen IP im DNS registriert.
Soweit so gut.

Nun haben wir viele mobile User, welche mit ihren Notebooks unterwegs sind und öfter einen Hotspot am Handy nutzen. Zusätzlich erfolgt dann über den Hotspot per VPN die Einwahl ins Firmennetz.
Problem hierbei ist nun aber, dass sich der Client mit allen aktuellen IP Adressen am DHCP registriert:

Name: laptop1.domain.local
Addresses: 192.168.0.169
10.100.99.23

die 192er IP ist die vom Hotspot am Handy, die 10er IP ist die VPN IP, welche von der Firewall vergeben wird;

Wenn ich nun intern z.B. "laptop1" pinge, bekomme ich die 192er IP zurück, welche aber nicht erreichbar ist, da der Client ja nur über die 10er VPN IP aus dem internen Netz ansprechbar ist.


Selbe Problematik haben wir auch mit allen Homeoffice Usern, da sich die Clients im DNS alle neben der jeweiligen VPN IP mit ihren lokalen IPs der User zu Hause am DNS registrieren.

Können wir irgendwie verhindern, dass sich die Clients bei VPN-Einwahl mit den lokalen IPs am DNS registrieren und nur die VPN IPs im DNS eingetragen werden?

Content-Key: 655025

Url: https://administrator.de/contentid/655025

Ausgedruckt am: 25.01.2022 um 14:01 Uhr

Mitglied: Looser27
Looser27 22.02.2021 aktualisiert um 09:36:51 Uhr
Goto Top
Moin,

da hast du mehrere Baustellen.

In der Standard-Einstellung unterbindet Windows den Ping aus anderen Netzen. Das mußt Du per GPO erstmal ändern.
Wenn Dein DNS korrekt eingerichtet ist, melden sich die Clients mit der VPN-IP am DNS an. Hast Du eine Reverse-Lookup-Zone für Deine VPN-Clients eingerichtet?


Gruß

Looser
Mitglied: aqui
aqui 22.02.2021 aktualisiert um 09:47:11 Uhr
Goto Top
Du hast schlicht und einfach vergessen den lokalen DNS Server in der VPN Server Konfig zu setzen, das der beim Tunnelaufbau automatisch an die Clients übergeben wird.
Dann bekommen die automatisch je nach verwendetem VPN Protokoll (was du ja leider nicht genannt hast :-( face-sad ) automatisch den Firmen DNS injiziert und können so problemlos alle internen Hostnamen erreichen.
Fazit: Fehlkonfiguration des VPN Servers !

Die hiesigen VPN Tutorials beschreiben das Thema im Detail:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
usw. usw.
Zum Thema ICMP/Ping hast du hoffentlich das hier beachtet !:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Mitglied: altmetaller
altmetaller 22.02.2021 um 09:58:19 Uhr
Goto Top
Hallo,

warum pusht Du den DNS nicht „nur“ für eure lokalen Domains?

Gruß,
Jörg
Mitglied: menace
menace 22.02.2021 aktualisiert um 10:03:52 Uhr
Goto Top
@Looser27:
die reverse Zonen sind korrekt eingerichtet;
ich hatte mich oben evtl. mißverständlich ausgedrückt, die VPN Clients registrieren sich ja mit ALLEN aktuellen IPs im DNS;
dummerweise eben auch mit den lokalen, welche ich aus dem internen Netz nicht direkt erreichen kann, da ich nur über die VPN IP an die Clients komme; und bei z.B. Ping auf den Client liefert der DNS eben leider die falsche IP des CLients zurück;
nslookup liefert alle aktuellen IPs des Clients zurück und über die VPN IP kann ich diesen auch ansprechen;


@altmetaller:
könntest Du mir das bitte konkreter erklären?

@aqui:
die konkrete VPN Konfig muss ich erst noch bei unserem Netzwerkadmin erfragen;
ICMP durch die Firewall ist auf den Clients freigegeben;
Mitglied: altmetaller
altmetaller 22.02.2021 um 11:16:43 Uhr
Goto Top
Hallo,

ganz einfach: Bei den meisten VPNs kann man einstellen, dass „nur“ deine eigenen Zonen durch den DNS hinter dem Tunnel aufgelöst werden.

Alle anderen DNS-Anfragen gehen über den DNS des HotSpot.

Gruß,
Jörg
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing5 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 1 TagFrageBackup23 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 1 TagFrageHardware21 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 1 TagFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 21 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...

question
Suche nach "Beschreibung"ThabeusVor 1 TagFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 1 TagFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Windows Admin Center - Zugriff verweigertsaschakpVor 1 TagFrageWindows Update3 Kommentare

Hallo ich habe das Windows Admin Center Installiert, leider bekomme ich beim öffnen die Meldung: Zugriff verweigert Sie sind leider nicht zum Senden dieser Anforderung ...