VPN: ping auf Name geht nicht, DNS scheint korrekt konfiguriert

Mitglied: N4pst3r

N4pst3r (Level 1) - Jetzt verbinden

30.11.2015, aktualisiert 16:21 Uhr, 2927 Aufrufe, 14 Kommentare

Hallo,

Vorerst: Entschuldigt den langen Text, aber ich dachte ich poste schon mal die wichtigsten Configs damit sich jeder ein Bild machen kann.

Also ich baue mir einen IPSec-VPN in mein Heimnetzwerk auf. Alles schön und gut, ich kann mich verbinden, auf IPs pingen, nslookup geht auch und über die IPs kann ich auch auf die Hosts zugreifen. Aus entwicklungstechnischen Gründen muss ich aber auch die Hosts per Name erreichen können und da haperts gewaltig. Hier mal die ipconfigs, tracerts und nslookup:

[HOST im Heimnetzwerk]

[CLIENT auf Arbeit, per VPN-IPSec]

Der DNS-Server ist so konfiguriert, dass der IP 192.168.17.110 explizit der Name "N43" und der IP 192.168.17.112 der Name "N43_IPSec" zugewiesen werden. Ein nslookup sieht auf beiden Seiten folgendermaßen aus:

Ein tracert vom Client auf die IP 192.168.17.110 (Host N43) zeigt:

Ein tracert vom Host auf die IP 192.168.17.112 (Client N43_IPSec) zeigt:

Wobei beim letzten tracert auch direkt der Computername des Clients (CELSIUSH720SR) erkannt wird und nicht der DNS-Name "N43_IPSec". Beide Namen können allerdings nicht gepingt werden.

Die lmhosts-Datei zu manipulieren halte ich für eine denkbar schlechte, statische Lösung.

Ich weiß wirklich nicht mehr weiter und hoffe mir kann hier jemand helfen :'(
Mitglied: michi1983
30.11.2015, aktualisiert um 16:17 Uhr
Hallo,

eventuell fehlt eine Route am Router ins VPN Netz?

Gruß
Bitte warten ..
Mitglied: N4pst3r
30.11.2015 um 15:00 Uhr
Hi michi,

der VPN-Tunnel geht auf das selbe Subnetz in dem sich auch der Host befindet. Selbst die traceroute geht von beiden Seiten mit nur einem Hop sauber durch und kann auch sofort die Namen erfragen.
Oder steh ich grad auf dem Schlauch und du meinst nicht das Subnetz? :-D face-big-smile
Bitte warten ..
Mitglied: N4pst3r
30.11.2015 um 16:20 Uhr
Update: Unmittelbar nach dem tracert-Befehl auf die IP (z.B.: 192.168.17.110) kann im Explorer der Name aufgelöst werden und z.B. mit "\\N43" auf den Host zugegriffen werden. Ein Ping auf N43 geht allerdings immer noch nicht.
Andersherum genau dasselbe: Nach einem tracert-Befehl auf die IP 192.168.17.112 kann im Explorer der Name "\\CELSIUSH720SR" aufgelöst werden und man erreicht den Client. Ein Ping auf den Namen geht auch hier weiterhin nicht.
Bitte warten ..
Mitglied: ashnod
30.11.2015 um 16:39 Uhr
Zitat von @N4pst3r:

Update: Unmittelbar nach dem tracert-Befehl auf die IP (z.B.: 192.168.17.110) kann im Explorer der Name aufgelöst werden und z.B. mit "\\N43" auf den Host zugegriffen werden. Ein Ping auf N43 geht allerdings immer noch nicht.

Moin
Hast du evtl. an einer Stelle eine Firewall die einen Ping unterdrückt?
Das tracert dürfte über UDP laufen während der Ping über ICMP läuft, könnte zumindest eine mögliche Fehlerursache sein.

VG
Bitte warten ..
Mitglied: N4pst3r
30.11.2015 um 16:51 Uhr
Hi ashnod,

pings auf die IP gehen ja auch sauber durch nur der Host-Name kann beim Ping nicht gefunden werden:
Wie gesagt komme ich im Explorer über "\\N43" nach einem tracert drauf.
Bitte warten ..
Mitglied: ashnod
30.11.2015 um 17:05 Uhr
Zitat von @N4pst3r:

Wie gesagt komme ich im Explorer über "\\N43" nach einem tracert drauf.

Stümmt, wer lesen kann ist klar im Vorteil ...

Ich denke mal das könnte dich dann aber wirklich weiterbringen Klick
Bitte warten ..
Mitglied: N4pst3r
30.11.2015 um 20:22 Uhr
Ja das mit den unterschiedlichen Subnetzen ist mir auch bekannt. Allerdings routet mein Router alles super durch wenn sich Client und Host im selben Subnetz befinden. Eine statische Route zwischen zwei unterschiedlichen Netzen habe ich auch schon probiert allerdings funkt dann gar nichts mehr.
Da aber die ganze Kommunikation im selben Netz klappt, außer eben die Namensauflösung beim Ping, denke ich, dass mein NAT das schon regelt.
Oder ich hab wirklich nen grundlegenden Fehler und muss die ganze VPN-Struktur über den Haufen werfen aber dann habe ich ja ein ganz anderes Problem.
Bitte warten ..
Mitglied: Pjordorf
01.12.2015 um 00:09 Uhr
Hallo,

Zitat von @N4pst3r:
pings auf die IP gehen ja auch sauber durch nur der Host-Name kann beim Ping nicht gefunden werden:
Hostname oder FQDN sind nicht das gleiche. Geht den ein ping an ein FQDN sauber durch. Hostnamen sind NETBIOS Namen? Läuft dazu WINS bei dir? Oder nutz du hier noch komplett XP / Win 3.11?

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
01.12.2015, aktualisiert um 03:24 Uhr
Zitat von @N4pst3r:

Wobei beim letzten tracert auch direkt der Computername des Clients (CELSIUSH720SR) erkannt wird und nicht der DNS-Name "N43_IPSec".

Ganz einfach. da ist die "reverse-Auflösung" Deines DNS falsch konfiguriert, wenn Du N43IP_SEC haben willst und CELSIUSH720S herauskommt. Das ist so normal und üblich, wenn Du mehrere Nahmen auf dieselbe IP-Adresse legst.

Beide Namen können allerdings nicht gepingt werden.

Das ist allerdins eher ein problem der lokalen Windows-Firewall, sagt meine Kristallkugel. Du pingst vermutlich aus einen anderen IP-Netz, wenn Du per VPN reingehst und da macht die Windows-Firewall dicht. Du kannst das ganz leicht mir Wireshark auf dem Zielsystem überprüfen.

Alternativ hast Du in Deine Routern/Firewalls eingestellt, daß ICMP aus §fremden" Netzen geblockt wird, was auch dazu führt, daß ping nicht funktioniert.

lks
Bitte warten ..
Mitglied: N4pst3r
01.12.2015 um 08:19 Uhr
Hi Peter,

nein ein Ping an den FQDN geht auch nicht durch. Beim Ping kann nur die IP erreicht werden während andere Aktionen auch den Namen auflösen können.
Ja der Hostname ist der NetBIOS-Name und WINS läuft bei mir nicht.
Bitte warten ..
Mitglied: N4pst3r
01.12.2015 um 08:45 Uhr
Hi Lochkartenstanzer,

ja gut die traceroute fragt ja auch explizit den Hostnamen des Ziels ab und nicht den DNS. Kurz danach ist ja auch ein Erreichen des Ziels per Hostnamen im Explorer möglich.

Die Firewall habe ich schon testweise komplett abgeschaltet ohne Besserung. der VPN-Tunnel geht wie gesagt auf das selbe Subnetz, was soweit auch wunderbar klappt (ich denke dank NAT). Das Netz ist auf beiden Seiten "privat" eingestellt und Pings auf die IP gehen auch problemlos durch und das ist ja auch ein ICMP-Packet. Lediglich der Name kann beim Ping nicht gefunden und angepingt werden. Weder vom Client noch vom Host.
Bitte warten ..
Mitglied: michi1983
01.12.2015 um 09:34 Uhr
Du solltest wirklich dein VPN Netz nicht im selben Subnetz haben wie dein privates Netz zu Hause. Das birgt so viele Probleme und davon wird ja auch offiziell abgeraten.
Bitte warten ..
Mitglied: N4pst3r
01.12.2015, aktualisiert um 13:31 Uhr
Hi michi,

okay ich habe das VPN-Netz nun auf 172.17.17.0/24 umgestellt und eine statische Route gezogen. Aber es ändert sich nichts. Ping auf IP-Adresse geht von beiden Seiten, eine traceroute kann die Hostnamen erfragen, ein Ping auf den FQDN geht nicht und ein Ping auf den Hostnamen geht auch nicht. Also alles wie gehabt, nur dass das VPN-Netz nun auf 172.17.17.0 hört (bzw. der Client auf 172.17.17.112).
Bitte warten ..
Mitglied: michi1983
01.12.2015 um 13:50 Uhr
Zitat von @N4pst3r:

Hi michi,

okay ich habe das VPN-Netz nun auf 172.17.17.0/24 umgestellt und eine statische Route gezogen.
Das ist schon mal gut und auf jeden Fall besser als alles im selben Netz zu haben.

Hm... Ich würde jetzt mal einen Wireshark anwerfen und mal genau nachschauen welche Pakete durchgehen bzw. nicht durchgehen.

Gruß
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 21 StundenFrageLAN, WAN, Wireless40 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 18 StundenFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft11 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 19 StundenFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Windows 10
Windows 10 verliert die Druckertreiber
KMP1988Vor 1 TagFrageWindows 1010 Kommentare

Servus zusammen, wir haben bei einem Kunden folgende Konstellation: - Server2019 (AD, DNS, DHCP) - Server2019 (Print-Server-Rolle) - W10-Clients Die Drucker werden übers Logon-Scirpt ...

DNS
Opendns.com - Kosten?
cordialVor 1 TagFrageDNS2 Kommentare

Moin, Ich möchte gerne den OpenDNS Dienst mal verstehen. Hab da schon länger einen Account mit Filterung. Die "Free" Edition bei OpenDNS ist doch ...

Windows 10
Windows 10 System Recovery Ordner fast 60 GB - Wie löschen?
Looser27Vor 1 TagFrageWindows 106 Kommentare

Guten Morgen, bei einem unserer Clients funktioniert scheinbar das automatische Aufräumen nach Updates / Upgrades nicht. Wie kann ich dem Kollegen auf die Schnelle ...