Problem mit DNS Registrierung bei VPN Einwahl
Hall zusammen,
wir nutzen MS Server 2019 als DNS und DHCP-Server und haben folgendes Problem:
wenn sich z.B. ein WIN 10 Client im internen Netz befindet (egal ob per WLAN oder LAN), bekommt dieser vom DHCP Server eine entsprechende IP und der Hostname wird zur aktuellen IP im DNS registriert.
Soweit so gut.
Nun haben wir viele mobile User, welche mit ihren Notebooks unterwegs sind und öfter einen Hotspot am Handy nutzen. Zusätzlich erfolgt dann über den Hotspot per VPN die Einwahl ins Firmennetz.
Problem hierbei ist nun aber, dass sich der Client mit allen aktuellen IP Adressen am DHCP registriert:
Name: laptop1.domain.local
Addresses: 192.168.0.169
10.100.99.23
die 192er IP ist die vom Hotspot am Handy, die 10er IP ist die VPN IP, welche von der Firewall vergeben wird;
Wenn ich nun intern z.B. "laptop1" pinge, bekomme ich die 192er IP zurück, welche aber nicht erreichbar ist, da der Client ja nur über die 10er VPN IP aus dem internen Netz ansprechbar ist.
Selbe Problematik haben wir auch mit allen Homeoffice Usern, da sich die Clients im DNS alle neben der jeweiligen VPN IP mit ihren lokalen IPs der User zu Hause am DNS registrieren.
Können wir irgendwie verhindern, dass sich die Clients bei VPN-Einwahl mit den lokalen IPs am DNS registrieren und nur die VPN IPs im DNS eingetragen werden?
wir nutzen MS Server 2019 als DNS und DHCP-Server und haben folgendes Problem:
wenn sich z.B. ein WIN 10 Client im internen Netz befindet (egal ob per WLAN oder LAN), bekommt dieser vom DHCP Server eine entsprechende IP und der Hostname wird zur aktuellen IP im DNS registriert.
Soweit so gut.
Nun haben wir viele mobile User, welche mit ihren Notebooks unterwegs sind und öfter einen Hotspot am Handy nutzen. Zusätzlich erfolgt dann über den Hotspot per VPN die Einwahl ins Firmennetz.
Problem hierbei ist nun aber, dass sich der Client mit allen aktuellen IP Adressen am DHCP registriert:
Name: laptop1.domain.local
Addresses: 192.168.0.169
10.100.99.23
die 192er IP ist die vom Hotspot am Handy, die 10er IP ist die VPN IP, welche von der Firewall vergeben wird;
Wenn ich nun intern z.B. "laptop1" pinge, bekomme ich die 192er IP zurück, welche aber nicht erreichbar ist, da der Client ja nur über die 10er VPN IP aus dem internen Netz ansprechbar ist.
Selbe Problematik haben wir auch mit allen Homeoffice Usern, da sich die Clients im DNS alle neben der jeweiligen VPN IP mit ihren lokalen IPs der User zu Hause am DNS registrieren.
Können wir irgendwie verhindern, dass sich die Clients bei VPN-Einwahl mit den lokalen IPs am DNS registrieren und nur die VPN IPs im DNS eingetragen werden?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 655025
Url: https://administrator.de/contentid/655025
Ausgedruckt am: 20.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
da hast du mehrere Baustellen.
In der Standard-Einstellung unterbindet Windows den Ping aus anderen Netzen. Das mußt Du per GPO erstmal ändern.
Wenn Dein DNS korrekt eingerichtet ist, melden sich die Clients mit der VPN-IP am DNS an. Hast Du eine Reverse-Lookup-Zone für Deine VPN-Clients eingerichtet?
Gruß
Looser
da hast du mehrere Baustellen.
In der Standard-Einstellung unterbindet Windows den Ping aus anderen Netzen. Das mußt Du per GPO erstmal ändern.
Wenn Dein DNS korrekt eingerichtet ist, melden sich die Clients mit der VPN-IP am DNS an. Hast Du eine Reverse-Lookup-Zone für Deine VPN-Clients eingerichtet?
Gruß
Looser
Du hast schlicht und einfach vergessen den lokalen DNS Server in der VPN Server Konfig zu setzen, das der beim Tunnelaufbau automatisch an die Clients übergeben wird.
Dann bekommen die automatisch je nach verwendetem VPN Protokoll (was du ja leider nicht genannt hast ) automatisch den Firmen DNS injiziert und können so problemlos alle internen Hostnamen erreichen.
Fazit: Fehlkonfiguration des VPN Servers !
Die hiesigen VPN Tutorials beschreiben das Thema im Detail:
Merkzettel: VPN Installation mit OpenVPN
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Scheitern am IPsec VPN mit MikroTik
usw. usw.
Zum Thema ICMP/Ping hast du hoffentlich das hier beachtet !:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Dann bekommen die automatisch je nach verwendetem VPN Protokoll (was du ja leider nicht genannt hast ) automatisch den Firmen DNS injiziert und können so problemlos alle internen Hostnamen erreichen.
Fazit: Fehlkonfiguration des VPN Servers !
Die hiesigen VPN Tutorials beschreiben das Thema im Detail:
Merkzettel: VPN Installation mit OpenVPN
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Scheitern am IPsec VPN mit MikroTik
usw. usw.
Zum Thema ICMP/Ping hast du hoffentlich das hier beachtet !:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Hallo,
warum pusht Du den DNS nicht „nur“ für eure lokalen Domains?
Gruß,
Jörg
warum pusht Du den DNS nicht „nur“ für eure lokalen Domains?
Gruß,
Jörg
Hallo,
ganz einfach: Bei den meisten VPNs kann man einstellen, dass „nur“ deine eigenen Zonen durch den DNS hinter dem Tunnel aufgelöst werden.
Alle anderen DNS-Anfragen gehen über den DNS des HotSpot.
Gruß,
Jörg
ganz einfach: Bei den meisten VPNs kann man einstellen, dass „nur“ deine eigenen Zonen durch den DNS hinter dem Tunnel aufgelöst werden.
Alle anderen DNS-Anfragen gehen über den DNS des HotSpot.
Gruß,
Jörg