4
Routing zwischen V-Lan - DNS Problem
Hallo miteinander,
ich versuche mich gerade in einer Testumgebung mit Firewall und verschiedenen V-LAN
Ausgangsstellung ist eine Firewall mit dem 192.168.10.0/24 Netz
In diesem Netz befindet sich ein virtueller Domaincontroller mit DNS und DHCP
Clients sind in der Domäne alles schick.
Der Switch ist derzeit nicht konfiguriert und alles läuft über VLAN 1
Jetzt habe ich auf der UTM ein V-LAN angelegt und dort auch einen DHCP Server aktiviert
VLAN 34 mit Netz 192.168.34.0/24
Im Portfilter dafür gesorgt dass die beiden Netze untereinander kommunizieren dürfen. (ANY Regel vorerst)
Den Switch habe ich jetzt so eingestellt dass der UTM Uplink Port weiterhin untagged im VLAN 1 ist und TAGGED im VLAN 34.
Ping vom 10er ins 34er und umgekehrt funktioniert schonmal, allerdings nur auf IP.
Was jetzt nicht funktioniert ist die Namensauflösung aus den jeweiligen Netzen in das andere Netz.
Ziel soll es sein dass ich einen PC im 34er Netz habe und diesen in die Domäne im 10er Netz bringe. Dazu brauchts aber eine funktionierende Namensauflösung.
Im DHCP am 34er Netz schon den DNS des 10er Netzes (meinen DC) eingetragen, hilft aber nix.
Wisst ihr was ich falsch mache? Ok dumme Frage, Ihr wisst das natürlich..aber wärt ihr so nett und teilt euer Wissen mit mir?
Vielen Dank
Tak
ich versuche mich gerade in einer Testumgebung mit Firewall und verschiedenen V-LAN
Ausgangsstellung ist eine Firewall mit dem 192.168.10.0/24 Netz
In diesem Netz befindet sich ein virtueller Domaincontroller mit DNS und DHCP
Clients sind in der Domäne alles schick.
Der Switch ist derzeit nicht konfiguriert und alles läuft über VLAN 1
Jetzt habe ich auf der UTM ein V-LAN angelegt und dort auch einen DHCP Server aktiviert
VLAN 34 mit Netz 192.168.34.0/24
Im Portfilter dafür gesorgt dass die beiden Netze untereinander kommunizieren dürfen. (ANY Regel vorerst)
Den Switch habe ich jetzt so eingestellt dass der UTM Uplink Port weiterhin untagged im VLAN 1 ist und TAGGED im VLAN 34.
Ping vom 10er ins 34er und umgekehrt funktioniert schonmal, allerdings nur auf IP.
Was jetzt nicht funktioniert ist die Namensauflösung aus den jeweiligen Netzen in das andere Netz.
Ziel soll es sein dass ich einen PC im 34er Netz habe und diesen in die Domäne im 10er Netz bringe. Dazu brauchts aber eine funktionierende Namensauflösung.
Im DHCP am 34er Netz schon den DNS des 10er Netzes (meinen DC) eingetragen, hilft aber nix.
Wisst ihr was ich falsch mache? Ok dumme Frage, Ihr wisst das natürlich..aber wärt ihr so nett und teilt euer Wissen mit mir?
Vielen Dank
Tak
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6402365155
Url: https://administrator.de/contentid/6402365155
Printed on: July 27, 2024 at 11:07 o'clock
4 Comments
Latest comment
Eigentlich machst du nichts falsch. Wenn du einen internen DNS Server betreibst dann vergibst du in den VLAN Segmenten ja immer die IP dieses internen DNS Servers, denn der soll ja die DNS Requests aller Clients beantworten. Der Server selber hat dann in der Regel eine DNS Weiterleitung auf den Internet Router sofern der als DNS Proxy arbeitet. Soweit also alles richtig gemacht...
Interessant wäre jetzt einmal ein nslookup <name> von einem dieser Clients gewesen um mal zu sehen WAS bei der DNS Auflösung passiert oder eben nicht passiert. Der name kann ein lokaler oder externer sein.
Mit diesen Kommando nimmt er den DNS Server denn er per DHCP oder statisch gelernt hat.
Wenn du es perfekt machen willst nimmst du einen Wireshark und filterst auf Port UDP und TCP 53. Dann kannst du den Request und den Reply live sehen!
Du kannst nslookup auch zwingen einen anderen DNS zu verwenden. Das geht dann z.B. mit nslookup <name> 9.9.9.9
Hier fragt der Client dann dediziert den DNS Server 9.9.9.9 (Quad9) Du kannst dann damit auch die Verwendung deines DNS Servers erzwingen mit nslookup <name> <ip_lokaler_dns_server>
Nur das du das auf dem Radar hast!!!
Die lokale Winblows Firewall blockt bekanntlich in der Regel jeglichen eingehenden Traffic der NICHT aus ihrem lokalen Netzwerk kommt.
Wenn nun einer deiner VLAN 34 Clients einen DNS Request sendet bleibt der, da Absender IP aus Fremdnetz, an der lokalen Firewall hängen wenn du dem DNS Port TCP und UDP 53 in der FW nicht sagst das es auch Anfragen aus anderen Netzen passieren lassen soll! Prüfe das also und customize die akzeptierten Absenderadressen dort. (Windows Firewall mit erweiterter Sicherheit)
Wenn im Wireshark auf den gesendeten DNS Request kein Reply kommt ist das meist ein sicheres Zeichen dafür. Oder das der DNS Server ggf. ein falsches Default Gateway hat sollte das nicht die oben genannte Firewall sein.
Interessant wäre jetzt einmal ein nslookup <name> von einem dieser Clients gewesen um mal zu sehen WAS bei der DNS Auflösung passiert oder eben nicht passiert. Der name kann ein lokaler oder externer sein.
Mit diesen Kommando nimmt er den DNS Server denn er per DHCP oder statisch gelernt hat.
Wenn du es perfekt machen willst nimmst du einen Wireshark und filterst auf Port UDP und TCP 53. Dann kannst du den Request und den Reply live sehen!
Du kannst nslookup auch zwingen einen anderen DNS zu verwenden. Das geht dann z.B. mit nslookup <name> 9.9.9.9
Hier fragt der Client dann dediziert den DNS Server 9.9.9.9 (Quad9) Du kannst dann damit auch die Verwendung deines DNS Servers erzwingen mit nslookup <name> <ip_lokaler_dns_server>
Nur das du das auf dem Radar hast!!!
Die lokale Winblows Firewall blockt bekanntlich in der Regel jeglichen eingehenden Traffic der NICHT aus ihrem lokalen Netzwerk kommt.
Wenn nun einer deiner VLAN 34 Clients einen DNS Request sendet bleibt der, da Absender IP aus Fremdnetz, an der lokalen Firewall hängen wenn du dem DNS Port TCP und UDP 53 in der FW nicht sagst das es auch Anfragen aus anderen Netzen passieren lassen soll! Prüfe das also und customize die akzeptierten Absenderadressen dort. (Windows Firewall mit erweiterter Sicherheit)
Wenn im Wireshark auf den gesendeten DNS Request kein Reply kommt ist das meist ein sicheres Zeichen dafür. Oder das der DNS Server ggf. ein falsches Default Gateway hat sollte das nicht die oben genannte Firewall sein.
Hallo aqui,
Problem gelöst und ich hab alles richtig gemacht.
Ein Verständnisproblem habe ich aber noch:
ping srv-dc01 bekomme ich keine Antwort
ping srv-dc01.testlab.intern bekomme ich ein Antwort
das wohl die ganze Zeit schon jedoch hatte ich es nicht mit dem fqdn versucht..
Ich denke ich muss jetzt meiner UTM noch sagen dass diese die Domainsuffix mit angibt.
-Update: domainsuffix angehängt, alles schick.
Wir immer ein Dank an Dich!
Tak
Problem gelöst und ich hab alles richtig gemacht.
Ein Verständnisproblem habe ich aber noch:
ping srv-dc01 bekomme ich keine Antwort
ping srv-dc01.testlab.intern bekomme ich ein Antwort
das wohl die ganze Zeit schon jedoch hatte ich es nicht mit dem fqdn versucht..
Ich denke ich muss jetzt meiner UTM noch sagen dass diese die Domainsuffix mit angibt.
-Update: domainsuffix angehängt, alles schick.
Wir immer ein Dank an Dich!
Tak
Ja, das ist die automatische Ergänzung der Suchdomain bzw. Suchdomain Suffix. Bin kein Winblows Profi meine aber das das immer am Client gemacht wird. (Siehe auch hier)
Die UTM selbst hat ja rein gar nichts mit lokalen DNS Anfragen zu tun wenn man einen eigenen, lokalen DNS hat. Dort kann es also m.E. niemals relevant sein.
Die UTM selbst hat ja rein gar nichts mit lokalen DNS Anfragen zu tun wenn man einen eigenen, lokalen DNS hat. Dort kann es also m.E. niemals relevant sein.
Problem gelöst und ich hab alles richtig gemacht.
Dann ist das ja schon der 2te Thread den wir heute auf gelöst setzen können. Und das an einem Freitag! 🐟 😉
Je nach Firewall kann man auch ein DSN-Relay anlagen, sodass du die Gateway IP als DNS verwenden kannst.