ileonard
Goto Top

Über openVPN mit AD verbinden

Hallo zusammen,
ich habe bei mir einen Windows Server mit einem AD am laufen, der Server ist der DC. Ich möchte mich jetzt andere Computer außerhalb von dem Netzwerk in dem der Server hängt mit seinem AD verbinden. Dafür habe ich den OpenVPN. Der OpenVPN erstellt ein Tunnel Netzwerk mit der IP 192.168.80.0 und er hat Zugriff auf Das VLAN in dem der Server hängt (192.168.100.1, VLAN8 Server IP 192.168.100.101).

Ich habe mich also mit dem VPN verbunden und die Adapter einstellungen geändert, ich habe den DNS Server auf die IP vom Win Server geändert also 192.168.100.101. Ich habe dann versucht mich mit dem AD zu verbinden, mein PC konnte die Domäne aber nicht finden. Ich habe mcih dann vom VPN getrennt und habe das gleiche über mein LAN Interface getestet und das gleiche wie oben gemacht. Das hatte dann funktioniert.

Habe mich auch mal mit dem Hotspot von meinem Handy verbunden, ging aber auch nicht. Meine Vermutung ist jetzt, dass Windows versucht die Verbindung mit dem AD über die LAN karte aufzubauen und nicht über den VPN. Die Domain wird vom VPN aber augelöst, das habe ich bereits geschaut. Gibt es dafür eine Lösung? Der VPN dient nicht als gateway, also man kann nicht über meine IP ins Internet.

Hier noch ein Schema von meiner Netzwerk Struktur. @aqui

Beste Grüße Leonard
screenshot_2021-03-25 kein internet in vlan

Content-ID: 665143

Url: https://administrator.de/contentid/665143

Ausgedruckt am: 25.11.2024 um 03:11 Uhr

aqui
Lösung aqui 25.03.2021 aktualisiert um 18:56:22 Uhr
Goto Top
und die Adapter einstellungen geändert, ich habe den DNS Server auf die IP vom Win Server geändert also 192.168.100.101.
Das musst du gar nicht, denn das macht OpenVPN alles ganz automatisch beim VPN Aufbau. face-wink
https://openvpn.net/community-resources/pushing-dhcp-options-to-clients/
Wichtig ist das dein OpenVPN Client den internen DNS Server kennt. Das hast du ja leider in deinem OpenVPN Setting vergessen bzw. nicht eingetragen:
ovpn
Damit scheitern dann jegliche Auflösung von lokalen DNS Namen in deiner Windows Domain, da dein Client nur Internet DNS Server kennen denen deine Domain vollkommen unbekannt ist.
Kannst du bei aktivem VPN Client auch immer mit ipconfig -all checken (Winblows).
ILeonard
ILeonard 25.03.2021 um 19:32:33 Uhr
Goto Top
okay, ich müsste wenn ich das richtig gelesen habe folgendes in meiner openvpn config hinzufügen: push "dhcp-option DNS 192.168.100.101" mit den anführungszeichen, oder kommen die weg? Und wo muss ich das ganze dann in meiner config ändern, bzw wo einfügen?

Ich habe ja die Adapter einstellungen von meinem VPN computer geändert, also den DNS, soll ich das dann wieder auf autmatisch ändern?

Ja, das auf dem Foto habe ich schon gemacht, aber das reicht nicht?

Grüße Leonard
ILeonard
ILeonard 25.03.2021 um 19:34:48 Uhr
Goto Top
Oder kommt dieser Zusatz hier rein? push "dhcp-option DNS 192.168.100.101"

Grüße Leonard
screenshot_2021-03-25 pfsensels pfsense lundsit com - vpn openvpn servers edit
ILeonard
ILeonard 27.03.2021 um 19:08:06 Uhr
Goto Top
Hi, ich habe mal das gemacht was in der Anleitung stand und den DNS Server in den Client Settings hinzugefügt. Habe dann einmal ipconfig -all geamcht und der DNS Server 192.168.100.101 stand dann beim VPN zwei mal drinnen. Allerdings kann ich mich immer noch nicht mit dem AD verbinden.
Wo ist jetzt noch der Fehler? Weil er versucht es ja über die Ethernet Karte aufzulösen aber nicht über den VPN Adapter.

Grüße Leonard
screenshot_2021-03-27 pfsensels pfsense lundsit com - vpn openvpn servers edit
screenshot_2021-03-27 pfsensels pfsense lundsit com - vpn openvpn servers edit(1)
cmdpng
aqui
aqui 27.03.2021 aktualisiert um 19:28:51 Uhr
Goto Top
Weil er versucht es ja über die Ethernet Karte aufzulösen aber nicht über den VPN Adapter.
Woher nimmst du diese Behauptung ??
Laut deinem ipconfig Output ist das gelogen !! face-sad
Was sagt denn ein DNS Lookup auf einen internen Host wie nslookup server.apiopflege.com (hier den entsprechenden internen Domain Namen verwenden !!) bzw. ein Lookup auf einen Internet Host wie nslookup www.administrator.de ??
Und...mache vom aktiven VPN Client mal ein Traceroute auf den Server mit tracert server.apiopflege.com bzw. seiner internen Domainadresse oder der IP Adresse um wirklich mal zu checken ob er über das Eternet IP Netz geht statt über das 80er VPN Netz !
Zusätzlich zum Traceroute wäre auch ein route print des aktiven VPN Clients hilfreich um die Wegefindung zu Troubleshooten.
Dir muss man aber auch immer alles einzeln aus der Nase ziehen ! 😟
Nutze doch einfach mal die simplen, bordeigenen Tools zum Troubleshooting !
ILeonard
ILeonard 27.03.2021 um 20:42:13 Uhr
Goto Top
Das War einfach mal eine Vermutung, weil wenn ich den DNS Server bei meiner Ethernet Karte änder ging es ja.

es sieht so aus als würde er den Server beim nslookup auflösen, sehe ich das richitg?

Beim nslookup auf Administrator.de ist nichts passiert... face-sad

beim tracert auf die Server Domain kann er ihn nicht auflösen ;face-sad
Aber er kann die route der IP vom Server verfolgen über mein Heim Netzwerk.

Bei einem generellen route print komme ich so wie ich das sehe nirgends in dem 192.168.100er netz raus über den VPN, obwohl es dass ja eigentlich sollte.

Bei dem anderen Print route habe ich einmal den DHCP Server und meine IP adresse vom vpn mal verwendet. Passt das?

Ich habe zudem auch noch ein route print vom Windows Server gemacht in der Hoffnung das dieser auch zurück verfolgt werden kann. aber auch das macht er nicht, obwohl ich mit dem VPN verbunden bin face-sad

Also ich vermute immernoch das er nicht den VPN nimmt sondern immer die Ethernet Karte, auch wenn das wahrscheinlich nicht stimmt.

Grüße Leonard
route print
tracert 192.168.100.101
route print vpn
nslookup www.administrator.de
nslookup ad.ls-it
aqui
aqui 27.03.2021, aktualisiert am 28.03.2021 um 10:36:30 Uhr
Goto Top
Das War einfach mal eine Vermutung
Keine gute Vorgehensweise in der IT aber du lernst ja noch... face-wink
Beim nslookup auf Administrator.de ist nichts passiert...
Ganz sicher hast du dann bei deinem internen DNS Server die DNS Weiterleitung auf den Internet Router (Proxy DNS) für die Auflösung der Internet Hostnamen vergessen, oder ?!
Bei einem generellen route print komme ich so wie ich das sehe nirgends in dem 192.168.100er netz raus
Du hast keinen Route Eintrag zum .100er IP Netz der via VPN Tunnel geht wenn der VPN Client aktiv ist !! Da hast du also einen Konfig Fehler im VPN Setup gemacht, denn der VPN Server pusht die Route ins 100er Netz nicht auf den Client !
Ist auch kein Wunder wenn man sich deine falsche OpenVPN Konfig ansieht:
ovpnrou
Fazit:
Eigentlich sollte auch ein Anfänger wissen das man IP Netze immer angibt indem alle Hostbits auf 0 gesetzt sind !! Zwischen Hostadressen für Endgeräte und Netzwerk Adressen sollte man also schon unterscheiden können, auch als Netzwerk Nebie... Zumal es dort ja explizit mit "...local networks" unübersehbar steht ! face-wink
Meister Yoda würde mit den Augen rollen....
ILeonard
ILeonard 27.03.2021 um 23:58:11 Uhr
Goto Top
Wieso? Ja, ich lerne noch, sehr viel. Aber ich habe jetzt wieder etwas gelernt. Auch wenn der Fehler total banal ist und er mit eigentlich auf der Hand hätte liegen müssen, ich weiß auch nicht wieso ich das gemacht habe. Weil wenn ich mir es jetzt überlge hat dass keinen Sinn gemacht.

Ja, die fehlt. ändere ich die im Router?

Man sieht jetzt auch auf dem Foto die Route die genommen wird und ich kann mich mit dem AD verbinden face-smile Ich habe wieder was gelernt und das ist die Hauptsache face-smile

Ich danke dir wieder für deine Geduld und das du mir geholfen hast. Noch ein schönes WE wenn du das hast, in der IT macht man da ja eher Wartungsarbeiten ;) Und natürlich forhe Ostern und bleib gesund face-smile

Grüße Leonard
cmd
aqui
Lösung aqui 28.03.2021 aktualisiert um 10:38:20 Uhr
Goto Top
War ja eine schwere Geburt mit dir... 😉 Aber gut wenn es nun rennt wie es soll.

Bitte dann auch nicht vergessen den Thread zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
ILeonard
ILeonard 28.03.2021 um 11:59:38 Uhr
Goto Top
Ja, aber ich habe wieder was gelernt face-smile