menace
Goto Top

Problem mit DNS Registrierung bei VPN Einwahl

Hall zusammen,

wir nutzen MS Server 2019 als DNS und DHCP-Server und haben folgendes Problem:

wenn sich z.B. ein WIN 10 Client im internen Netz befindet (egal ob per WLAN oder LAN), bekommt dieser vom DHCP Server eine entsprechende IP und der Hostname wird zur aktuellen IP im DNS registriert.
Soweit so gut.

Nun haben wir viele mobile User, welche mit ihren Notebooks unterwegs sind und öfter einen Hotspot am Handy nutzen. Zusätzlich erfolgt dann über den Hotspot per VPN die Einwahl ins Firmennetz.
Problem hierbei ist nun aber, dass sich der Client mit allen aktuellen IP Adressen am DHCP registriert:

Name: laptop1.domain.local
Addresses: 192.168.0.169
10.100.99.23

die 192er IP ist die vom Hotspot am Handy, die 10er IP ist die VPN IP, welche von der Firewall vergeben wird;

Wenn ich nun intern z.B. "laptop1" pinge, bekomme ich die 192er IP zurück, welche aber nicht erreichbar ist, da der Client ja nur über die 10er VPN IP aus dem internen Netz ansprechbar ist.


Selbe Problematik haben wir auch mit allen Homeoffice Usern, da sich die Clients im DNS alle neben der jeweiligen VPN IP mit ihren lokalen IPs der User zu Hause am DNS registrieren.

Können wir irgendwie verhindern, dass sich die Clients bei VPN-Einwahl mit den lokalen IPs am DNS registrieren und nur die VPN IPs im DNS eingetragen werden?

Content-Key: 655025

Url: https://administrator.de/contentid/655025

Printed on: November 27, 2022 at 08:11 o'clock

Member: Looser27
Looser27 Feb 22, 2021 updated at 08:36:51 (UTC)
Goto Top
Moin,

da hast du mehrere Baustellen.

In der Standard-Einstellung unterbindet Windows den Ping aus anderen Netzen. Das mußt Du per GPO erstmal ändern.
Wenn Dein DNS korrekt eingerichtet ist, melden sich die Clients mit der VPN-IP am DNS an. Hast Du eine Reverse-Lookup-Zone für Deine VPN-Clients eingerichtet?


Gruß

Looser
Member: aqui
aqui Feb 22, 2021 updated at 08:47:11 (UTC)
Goto Top
Du hast schlicht und einfach vergessen den lokalen DNS Server in der VPN Server Konfig zu setzen, das der beim Tunnelaufbau automatisch an die Clients übergeben wird.
Dann bekommen die automatisch je nach verwendetem VPN Protokoll (was du ja leider nicht genannt hast face-sad ) automatisch den Firmen DNS injiziert und können so problemlos alle internen Hostnamen erreichen.
Fazit: Fehlkonfiguration des VPN Servers !

Die hiesigen VPN Tutorials beschreiben das Thema im Detail:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
usw. usw.
Zum Thema ICMP/Ping hast du hoffentlich das hier beachtet !:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Member: altmetaller
altmetaller Feb 22, 2021 at 08:58:19 (UTC)
Goto Top
Hallo,

warum pusht Du den DNS nicht „nur“ für eure lokalen Domains?

Gruß,
Jörg
Member: menace
menace Feb 22, 2021 updated at 09:03:52 (UTC)
Goto Top
@Looser27:
die reverse Zonen sind korrekt eingerichtet;
ich hatte mich oben evtl. mißverständlich ausgedrückt, die VPN Clients registrieren sich ja mit ALLEN aktuellen IPs im DNS;
dummerweise eben auch mit den lokalen, welche ich aus dem internen Netz nicht direkt erreichen kann, da ich nur über die VPN IP an die Clients komme; und bei z.B. Ping auf den Client liefert der DNS eben leider die falsche IP des CLients zurück;
nslookup liefert alle aktuellen IPs des Clients zurück und über die VPN IP kann ich diesen auch ansprechen;


@altmetaller:
könntest Du mir das bitte konkreter erklären?

@aqui:
die konkrete VPN Konfig muss ich erst noch bei unserem Netzwerkadmin erfragen;
ICMP durch die Firewall ist auf den Clients freigegeben;
Member: altmetaller
altmetaller Feb 22, 2021 at 10:16:43 (UTC)
Goto Top
Hallo,

ganz einfach: Bei den meisten VPNs kann man einstellen, dass „nur“ deine eigenen Zonen durch den DNS hinter dem Tunnel aufgelöst werden.

Alle anderen DNS-Anfragen gehen über den DNS des HotSpot.

Gruß,
Jörg