staybb
Goto Top

Split DNS bei einer VPN Site2Site Verbindung - Wo konfigurieren?

Hallo zusammen,

Ich habe eine VPN IPsec Site2Site Verbindung zwischen einer XG115 FW und einer WatchGuard FW. Es funktioniert soweit alles gut und nun möchte ich für die entfernten Clients, welche hinter der Sophos FW hängen einen zusätzlichen DNS verteilen, sodass Sie auch von der anderen Seite sich am DC Server anmelden können und die DNS Auflösung, welcher auch auf dem DC Server läuft, machen können.

Aktuell kann ich von den Clients von der Gegenseite via die IP Verbindung alle Server, welche ich im VPN Tunnel unter den Remote Hosts angegeben habe, erreichen.

Da Sie den DNS Server der Sophos nur nutzen, welcher in den DHCP Einstellungen hinterlegt ist, können sie logischerweise nicht die Server von der anderen Seite via dem DNS Namen erreichen.

Nun ist meine Frage, an welcher Stelle sollte ich am besten den Remote DNS Server für die Clients welcher hinter der Sophos sind angeben?

Soll ich dies einfach auf der Sophos in der DHCP Einstellung hinterlegen, sodass ich als primären DNS Server die Sophos angebe und als zweiten DNS Server den DC Server welcher auf der anderen Seite der VPN Verbindung steht angeben?

Oder sollte ich dies lieber irgendwo in der VPN Site2Site Anbindung konfigurieren, sodass die DNS Server im VPN Tunnel bekannt sind und eine Art "Split DNS" Konfiguration vorhanden ist? Ich weiss garnicht wo man das genau konfigurieren muss.

Wie habt ihr das bei euch konfiguriert für eine Site2Site VPN Verbindung?

Vielen Dank vorab für eure Hilfe!

Content-ID: 4332044044

Url: https://administrator.de/contentid/4332044044

Printed on: October 6, 2024 at 16:10 o'clock

aqui
aqui Oct 19, 2022 updated at 07:04:44 (UTC)
Goto Top
irgendwo in der VPN Site2Site Anbindung konfigurieren, sodass die DNS Server im VPN Tunnel bekannt sind und eine Art "Split DNS" Konfiguration vorhanden ist?
Das ist bekanntlich bei Site-2-Site VPNs nicht vorgesehen. DNS Funktionen haben mit Site-2-Site VPNs nichts zu tun und sind eine völlig separate Baustelle. Wo willst du das auch konfigurieren? Sowas gibt es nur bei Client VPNs.
Deine Option 1 ist dann also der richtige Weg.
SlainteMhath
Solution SlainteMhath Oct 19, 2022 at 07:47:13 (UTC)
Goto Top
Moin,

da muss ich den Kollegen @aqui leider korrigieren.

Wenn die Remote Clients sich an der Domäne anmelden sollen, dann brauchen die zwingend(!) einen DC als primären DNS-Server eingetragen. Oder du bringst der Sophos bei, wo sie sich Antworten für die AD-Domäne besorgen kann (conditional fotwarding)

Je nach Standortgröße kann es auch sinnvoll sein in der Site einen (RO-)DC aufzustellen, der dann die lokalen Anmeldungen und DNS-Anfragen regelt, ohne das alles über die Leitung muss.

vg,
Slainte
staybb
staybb Oct 19, 2022 at 08:36:44 (UTC)
Goto Top
Zitat von @SlainteMhath:

Moin,

da muss ich den Kollegen @aqui leider korrigieren.

Wenn die Remote Clients sich an der Domäne anmelden sollen, dann brauchen die zwingend(!) einen DC als primären DNS-Server eingetragen. Oder du bringst der Sophos bei, wo sie sich Antworten für die AD-Domäne besorgen kann (conditional fotwarding)

Je nach Standortgröße kann es auch sinnvoll sein in der Site einen (RO-)DC aufzustellen, der dann die lokalen Anmeldungen und DNS-Anfragen regelt, ohne das alles über die Leitung muss.

vg,
Slainte

Moin,

danke für den Hinweis.
Ich habe bei Sophos auch schon entsprechend zwei FAQs gefunden, wenn das der richtige Weg ist zum eine DNS request route für die clients zu erstellen. Oder es ist etwas anderes damit gemeint.
https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onli ...
https://support.sophos.com/support/s/article/KB-000038157?language=en_US

Ich werde das einmal durchtesten, wenn ich das richtig verstanden habe kann ich wie im ersten Link beschrieben, den Domain Namen der DCs via dem DNS routing angeben, sodass die Clients den Domain Namen und die DCs entsprechend über den VPN Tunnel auflösen können.

LG
aqui
aqui Oct 19, 2022 updated at 10:48:54 (UTC)
Goto Top
Wenn die Remote Clients sich an der Domäne anmelden sollen, dann brauchen die zwingend(!) einen DC als primären DNS-Server eingetragen.
Da hast du mich dann wiederum missverstanden... face-wink
Das das auf den Clients so sein muss steht völlig außer Frage. Nur bei Router oder Firewall Komponenten die einen Site-to-Site VPN Tunnel aufbauen ist das völlig irrelevant, denn die dafür entsprechenden VPN Protokolle haben keinerlei Möglichkeiten irgendwelchen Clients irgendwelche DNS Server zu übermitteln. Das wäre auch sinnfrei weil diese ja lediglich den Tunnel zur Verfügung stellen. Da sind VPN und DNS zwei völlig getrennte Baustellen. Es ging oben rein NUR ums VPN. Alles was dazu in den Dokus steht bezieht sich auf Client VPNs also Clients die sich direkt auf einem VPN Server einloggen der dem Client ein VPN spezifischen DNS mitgibt. Sowas gibt es bei Site-to-Site VPNs prinzipbedingt nicht. Sorry, wenn das doppeldeutig war.
staybb
staybb Oct 19, 2022 at 12:14:23 (UTC)
Goto Top
Zitat von @SlainteMhath:

Wenn die Remote Clients sich an der Domäne anmelden sollen, dann brauchen die zwingend(!) einen DC als primären DNS-Server eingetragen.

Muss das wirklich zwingend der primäre DNS sein oder kann ich den DC auch als sekundären DNS mitangeben in den DHCP Optionen?

Der primäre wäre dann der das Gateway also die Sophos Firewall.
SlainteMhath
SlainteMhath Oct 19, 2022 at 12:23:06 (UTC)
Goto Top
Muss das wirklich zwingend der primäre DNS sein oder kann ich den DC auch als sekundären DNS mitangeben in den DHCP Optionen?
So funktionieren die DNS-Einstellungen nicht. Der sekundäre DNS wird nur angefragt, wenn der erste ÜBERHAUPT NICHT antwortet. Wenn der erste mit "die Domäne kenn ich nicht" antwortet, wird der 2te DNS-Server nicht mehr gefragt.

Die Antwort auf deine Frage lautet also: Ja!
staybb
staybb Oct 19, 2022 at 12:25:19 (UTC)
Goto Top
Ich habe gerade gesehen das auf der Sophos FW der DNS Traffic direkt auch mit einer ipsec_route für die Clients gesteuert werden kann:
https://support.sophos.com/support/s/article/KB-000035830?language=en_US

Ich werde dies einmal so versuchen, sodass ich am DHCP und den Clients nichts mehr umstellen muss
SlainteMhath
SlainteMhath Oct 19, 2022 at 12:30:17 (UTC)
Goto Top
Bei dem Artikel geht's darum sich per AD-Credentials an der Firewall anzumelden. Trag doch einfach einen der DCs als Primären DNS in den Client ein und gut is face-smile
staybb
staybb Oct 19, 2022 updated at 12:56:46 (UTC)
Goto Top
Zitat von @SlainteMhath:

Bei dem Artikel geht's darum sich per AD-Credentials an der Firewall anzumelden. Trag doch einfach einen der DCs als Primären DNS in den Client ein und gut is face-smile

Habe ich gerade gemacht an dem Test-Rechner. Ich manage die Rechner von der anderen Seite via VPN. Natürlich hats mich erstmal rausgehauen von der Remoteverbindung da ich lokal auf dem Rechner noch in der hosts datei die DNS Einträge eingetragen habe, damit ich von unserer Remote-Management Software auf den Rechner mich verbinden kann :D
Ich habe die IP Adresse geändert von dem Rechner auf eine die nicht im DHCP Bereich ist und den primären DNS auf den DC gestellt.

Aktuell habe ich auch nur diesen einen Testrechner in dem Netz, da ich ein komplett neues Subnet mit neuinstalliertem Switch dort installiert habe, der getrennt von dem anderen Netz läuft und auf der Sophos FW ein separaten Port hat mit dem neuen Subnet.
Später werden alle clients in das neue Subnet migriert, wenn alle Tests durch sind.

Ich konnte zum Glück von einem anderen entfernten Rechner via RDP mich wieder verbinden auf den Testrechner und der erste nslookup hat funktioniert auf den FQDN des DC Servers selber.
also Ping geht jetzt mit "ping domaincontroller.meinedomain.de"

Allerdings geht noch nicht das ich nur den server ohne den FQDN anpingen kann, das kann ich hier von meinem Netz aus. Ist das noch eine spezielle Einstellung die fehlt?

Ich werde als nächstes auch mal ein Domain-Join von dem Rechner versuchen.
SlainteMhath
SlainteMhath Oct 19, 2022 at 12:59:44 (UTC)
Goto Top
Allerdings geht noch nicht das ich nur den server ohne den FQDN anpingen kann, das kann ich hier von meinem Netz aus. Ist das noch eine spezielle Einstellung die fehlt?
Du musst den Domain-Teil in den DNS Einstellung am Client als DNS Suffix eintragen - spricht aber auch nichts dagegen das per DHCP zu tun.

Und an der Stelle sei nicht angemerkt: "PING" ist kein Tool um DNS-Auflösung zu testen face-smile
staybb
staybb Oct 19, 2022 updated at 13:27:05 (UTC)
Goto Top
Zitat von @SlainteMhath:

Allerdings geht noch nicht das ich nur den server ohne den FQDN anpingen kann, das kann ich hier von meinem Netz aus. Ist das noch eine spezielle Einstellung die fehlt?
Du musst den Domain-Teil in den DNS Einstellung am Client als DNS Suffix eintragen - spricht aber auch nichts dagegen das per DHCP zu tun.

Und an der Stelle sei nicht angemerkt: "PING" ist kein Tool um DNS-Auflösung zu testen face-smile

Ahhh da wäre ich vermutlich nicht drauf gekommen, danke face-smile

An welcher Stelle muss ich das genau definieren? In dem Windows Beispiel ist es noch die statische "Test-Lösung".
Auf der Sophos werde ich es dann in den DHCP Optionen einstellen, wenn ich weiss an welcher Stelle. Vielleicht weisst du es ja gerade anhand den zwei Bildern .
Also bei Windows Einstellung kann ich einfach ein DNS-Suffix Hinzufügen und dann den Domain Namen eingeben?

Und bei der Sophos in den DHCP Optionen ist es unter "Domain name" oder wo anderst?

So wie ich bei Sophos lese geht auch wohl immer nur ein Suffix, resp. wenn beide Standorte eine verschiedene Domain haben, habe ich eh ein Problem?

Wir wollen aber den anderen Standort (andere Firmenname mit aktuell anderem Domain Namen) zu unserer Domain migrieren.

Edit:
Die Variante mit dem Hinzufügen des DNS Suffix und der Domäne hat schonmal funktioniert face-smile
Jetzt mal schauen ob es bei der Sophos auch die Einstellung mit dem Domain name ist oder wo anderst definiert wird :P

2022-10-19_15h12_18
2022-10-19_15h11_28
aqui
aqui Oct 19, 2022 updated at 16:41:43 (UTC)
Goto Top
der DNS Traffic direkt auch mit einer ipsec_route für die Clients gesteuert werden kann:
Das ist Unsinn und kann so bei einem S-2-S Design nichts bewirken wie schon mehrfach oben gesagt. Mal abgesehen davon das es technischer Unsinn ist mit PBR Routing im DNS Umfeld zu arbeiten.
Kollege @SlainteMhath hat ja schon alle wirklich relevanten Schritte zur Lösung umfassend erklärt.