11
Watchguard Cloud, DNS über VPN Problem
Hallo zusammen,
folgendes Szenario:
Standort A Zentrale mit Watchguard T45-W , 192.168.45.x, mit AD und terminal-server. DHCP macht Firebox ( 192.168.45.51)
Standort B Zweigstelle mit Watchguard T25-W, 192.168.12.x, DHCP 192.168.12.100 - 50, 4 PCs in Arbeitsgruppe die auf dem TS der Zentrale arbeiten.
VPN-Tunnel zur Zentrale wurde eingerichtet, Verbindung steht, komme über IP auf den TS, nicht aber über Namen.
Auf beiden Fireboxen unter DNS intern den Domänencontroller eingetragen, Firewall regel Port 53 UDP/TCP erlaubt.
Wenn ich auf einem Client in der Zweigstelle manuell den lokalen DNS-Server der Zentrale eingebe (192.168.45.1, WindowsServer2022), funktioniert es wie gewünscht, oder nslookup TerminalServer 192.168.45.1, wird also nicht geblockt.
Ich glaube der DHCP Server der T25 übergibt nicht den DNS Eintrag an die Clients , weiß aber nicht, ob oder wo ich da was einstellen muß.
In der Zentrale selbst wird die 192.168.45.1 an die Clients als DNS Server übergeben...
Ich hoffe ich hab mich einigermaßen verständlich ausgedrückt und bedanke mich jetzt schon für jegliche Hilfe, Tips und Anregungen ...
Grüße
Dornkaat
folgendes Szenario:
Standort A Zentrale mit Watchguard T45-W , 192.168.45.x, mit AD und terminal-server. DHCP macht Firebox ( 192.168.45.51)
Standort B Zweigstelle mit Watchguard T25-W, 192.168.12.x, DHCP 192.168.12.100 - 50, 4 PCs in Arbeitsgruppe die auf dem TS der Zentrale arbeiten.
VPN-Tunnel zur Zentrale wurde eingerichtet, Verbindung steht, komme über IP auf den TS, nicht aber über Namen.
Auf beiden Fireboxen unter DNS intern den Domänencontroller eingetragen, Firewall regel Port 53 UDP/TCP erlaubt.
Wenn ich auf einem Client in der Zweigstelle manuell den lokalen DNS-Server der Zentrale eingebe (192.168.45.1, WindowsServer2022), funktioniert es wie gewünscht, oder nslookup TerminalServer 192.168.45.1, wird also nicht geblockt.
Ich glaube der DHCP Server der T25 übergibt nicht den DNS Eintrag an die Clients , weiß aber nicht, ob oder wo ich da was einstellen muß.
In der Zentrale selbst wird die 192.168.45.1 an die Clients als DNS Server übergeben...
Ich hoffe ich hab mich einigermaßen verständlich ausgedrückt und bedanke mich jetzt schon für jegliche Hilfe, Tips und Anregungen ...
Grüße
Dornkaat
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1504836624
Url: https://administrator.de/contentid/1504836624
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo Dornkaat,
ich habe ein ähnliches Setup bei einem Kunden.
Wie ist die VPN-Verbindung zwischen den Standorten gemacht? Per BOVPN auf den Firewalls, oder wie?
Aus dem jeweils einen Netz lässt sich alles (na gut, alles WICHTIGE) im anderen Netz per Ping erreichen?
Ist "Mixed Routing" aktiv?
Sind in der Konsole unter Network|Interfaces|DNS alle Parameter richtig eingestellt?
Was sagt "nslookup" (ohne Parameter) auf beiden Seiten?
Ein "nslookup <domaincontrollername>" auf beiden Seiten liefert die richtigen Adressen?
Werden FQDNs (domaincontroller.domain.tld) oder kurze Namen (nur "domaincontroller") verwendet?
(wir hatten teilweise das Problem, dass Maschinen, die z.B. "testkiste.domain.local" heißen, nicht als "testkiste" sondern nur als "testkiste.domain.local" die richtige Auflösung geliefert haben).
Nur nebenbei: In der Zentrale würde ich DHCP aber nicht von der T-45 sondern vom Domaincontroller (Microsoft DHCP) machen lassen.
Cheers
Christian
ich habe ein ähnliches Setup bei einem Kunden.
Wie ist die VPN-Verbindung zwischen den Standorten gemacht? Per BOVPN auf den Firewalls, oder wie?
Aus dem jeweils einen Netz lässt sich alles (na gut, alles WICHTIGE) im anderen Netz per Ping erreichen?
Ist "Mixed Routing" aktiv?
Sind in der Konsole unter Network|Interfaces|DNS alle Parameter richtig eingestellt?
- Domain Name (der Zentrale)
- DNS Servers (der Zentrale)
- DNS Forwarding eingeschaltet? (mit "Listen on all Trusted, Optinal ..."?
Was sagt "nslookup" (ohne Parameter) auf beiden Seiten?
Ein "nslookup <domaincontrollername>" auf beiden Seiten liefert die richtigen Adressen?
Werden FQDNs (domaincontroller.domain.tld) oder kurze Namen (nur "domaincontroller") verwendet?
(wir hatten teilweise das Problem, dass Maschinen, die z.B. "testkiste.domain.local" heißen, nicht als "testkiste" sondern nur als "testkiste.domain.local" die richtige Auflösung geliefert haben).
Nur nebenbei: In der Zentrale würde ich DHCP aber nicht von der T-45 sondern vom Domaincontroller (Microsoft DHCP) machen lassen.
Cheers
Christian
Ich glaube der DHCP Server der T25 übergibt nicht den DNS Eintrag an die Clients
Wäre es dann nicht sinnvoll gewesen du hättest genau DAS einmal mit ipconfig -all auf den Clients überprüft und die DNS Server Adresse im T25 DHCP Server entsprechend angepasst wenn dort eine falsche DNS IP steht? "Glauben" in der IT ist bekanntlich nie eine gute Idee... 🧐Da käme auch ein blutiger Netzwerk Laie gleich als Erstes drauf den DNS Eintrag im DHCP Server zu prüfen.
die z.B. "testkiste.domain.local" heißen
Lesenswert dazu: Hinweise zur Verwendung der Domäne .local in DNS und mDNS
@aqui: Das ist doch nur ein Beispielname. Die Domain dort heißt NICHT wirklich domain.local 
Interessant dabei ist, dass ein Dienstleister (der 2021 dort M365 eingerichtet hat) sich auch noch beschwert hat, dass die Domain nicht "irgendwas.local" heißt... das wäre ja jetzt nur unnötig kompliziert *gröhl*
Der DHCP-Server der Watchgurad übergibt die unter "Network|Interfaces|DNS" konfigurierten DNS-Server. Daher meine Frage danach.
Interessant dabei ist, dass ein Dienstleister (der 2021 dort M365 eingerichtet hat) sich auch noch beschwert hat, dass die Domain nicht "irgendwas.local" heißt... das wäre ja jetzt nur unnötig kompliziert *gröhl*
Der DHCP-Server der Watchgurad übergibt die unter "Network|Interfaces|DNS" konfigurierten DNS-Server. Daher meine Frage danach.
Danke für die Antworten,
ich hätte im Text nochmal erwähnen sollen, daß es sich um cloud verwaltete Fireboxen handelt, aus der Überschrift war es wohl nicht ersichtlich. Sorry, mein Fehler.
Ja es ist per BOVPN eingerichtet. Ping; RDP, Freigaben (sofern erlaubt) funktioniert über IP-Adresse.
nslookup löst nur in der Zentrale richtig auf (sowohl FQDN als auch nur Name)
Und ja, natürlich hab ich mit ipconfig /all das in der Zweigstelle überprüft, dort wird als DNS Server nur die lokale Firewall angezeigt.
Das Problem ist, daß ich eure Vorschläge nicht anwenden kann, da die Einstellungen schlichtweg nicht vorhanden sind.
In den DHCP Einstellungen kann ich nur den Range und den Domänennamen eingeben, ich kann ich auch keine DNS Host Einträge mitgeben (wie z.B. bei Sophos).
Wie kann ich der Firewall in der Zweigstelle sagen, daß er den internen DNS Server der Zentrale an die Clients per DHCP übergibt ?
(Ich könnte auf allen Clients manuell den DNS Server eintragen oder die hosts datei editieren, dann läuft alles, aber das kann ja nicht die Lösung sein... )
Danke nochmals
ich hätte im Text nochmal erwähnen sollen, daß es sich um cloud verwaltete Fireboxen handelt, aus der Überschrift war es wohl nicht ersichtlich. Sorry, mein Fehler.
Ja es ist per BOVPN eingerichtet. Ping; RDP, Freigaben (sofern erlaubt) funktioniert über IP-Adresse.
nslookup löst nur in der Zentrale richtig auf (sowohl FQDN als auch nur Name)
Und ja, natürlich hab ich mit ipconfig /all das in der Zweigstelle überprüft, dort wird als DNS Server nur die lokale Firewall angezeigt.
Das Problem ist, daß ich eure Vorschläge nicht anwenden kann, da die Einstellungen schlichtweg nicht vorhanden sind.
In den DHCP Einstellungen kann ich nur den Range und den Domänennamen eingeben, ich kann ich auch keine DNS Host Einträge mitgeben (wie z.B. bei Sophos).
Wie kann ich der Firewall in der Zweigstelle sagen, daß er den internen DNS Server der Zentrale an die Clients per DHCP übergibt ?
(Ich könnte auf allen Clients manuell den DNS Server eintragen oder die hosts datei editieren, dann läuft alles, aber das kann ja nicht die Lösung sein... )
Danke nochmals
es ist per BOVPN eingerichtet
BOVPN?! 🤔nslookup löst nur in der Zentrale richtig auf
Spricht deutlich für die oben schon mehrfach genannte falsche DNS Distribution im DHCP Server der Zweigstelle. ipconfig -all ist dein Freund! dort wird als DNS Server nur die lokale Firewall angezeigt.
Das das ziemlich falsch ist weisst du ja (hoffentlich) nun auch selber!In den DHCP Einstellungen kann ich nur
So so... Watchguard zwingt dich also im DHCP Server das zu nutzen was der Hersteller dir aufzwingt. Sorry, aber das wird dir kein Administrator ernsthaft glauben.daß er den internen DNS Server der Zentrale an die Clients per DHCP übergibt ?
Indem du den DHCP Server den richtigen DNS Server konfiguriert. Jede popelige Consumer Plaste Fritzbox supportet sowas. Handbuch lesen hilft sicher. Wenn alle Stricke reissen einen Support Case bei Watchguard eröffnen und nachfragen.
@aqui: BOVPN = Branch Office VPN (Watchguard Terminologie)
Nee, mein Fehler, hab ich im Titel glatt überlesen
Deshalb schrieb ich auch: bei "Network|Interfaces|DNS" nachsehen. Scheint aber nicht für den Cloud-Kram zu gelten. Mir ist es lieber, wenn ich meine Firewalls unter lokaler Kontrolle habe...
Am besten da nachlesen: https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/WG- ...
Excerpt:
Nee, so schlimm sind die nicht. Ich mag die Teile. Recht einfach zu konfigurieren (auch für Klicki-Bunti-Admins) und ganz leistungsfähig. Manchmal ist Klicki-Bunti aber gar nicht sooo schlecht. Hab mir heute fünf Stunden Bacula-Konfiguration und Test um die Ohren gehauen, da ist erstmal nix mit Web-Oberfläche. Die nachzurüsten hat nochmal drei Stunden gedauert.
F&E Tag eben
Wenn's anders nicht geht, kann das sehr wohl die Lösung sein. Es geht um VIER Clients?
Die sind doch schneller manuell auf feste IPs (und passenden DNS) gebimst, als die ganze Fehlersuche wert ist
Und es bleibt auch noch die Möglichkeit, in der RDP-Konfiguration statt <hostname_of_ts> einfach dessen IP einzutragen. Das geht selbst dann, wenn DNS mal aus anderen Gründen ausfällt.
Danke nochmals
Gerne
Zitat von @Dornkaat:
Danke für die Antworten,
ich hätte im Text nochmal erwähnen sollen, daß es sich um cloud verwaltete Fireboxen handelt, aus der Überschrift war es wohl nicht ersichtlich. Sorry, mein Fehler.
Danke für die Antworten,
ich hätte im Text nochmal erwähnen sollen, daß es sich um cloud verwaltete Fireboxen handelt, aus der Überschrift war es wohl nicht ersichtlich. Sorry, mein Fehler.
Nee, mein Fehler, hab ich im Titel glatt überlesen
Und ja, natürlich hab ich mit ipconfig /all das in der Zweigstelle überprüft, dort wird als DNS Server nur die lokale Firewall angezeigt.
DAS ist das ProblemDas Problem ist, daß ich eure Vorschläge nicht anwenden kann, da die Einstellungen schlichtweg nicht vorhanden sind.
In den DHCP Einstellungen kann ich nur den Range und den Domänennamen eingeben, ich kann ich auch keine DNS Host Einträge mitgeben (wie z.B. bei Sophos).
Wie kann ich der Firewall in der Zweigstelle sagen, daß er den internen DNS Server der Zentrale an die Clients per DHCP übergibt ?
In den DHCP Einstellungen kann ich nur den Range und den Domänennamen eingeben, ich kann ich auch keine DNS Host Einträge mitgeben (wie z.B. bei Sophos).
Wie kann ich der Firewall in der Zweigstelle sagen, daß er den internen DNS Server der Zentrale an die Clients per DHCP übergibt ?
Deshalb schrieb ich auch: bei "Network|Interfaces|DNS" nachsehen. Scheint aber nicht für den Cloud-Kram zu gelten. Mir ist es lieber, wenn ich meine Firewalls unter lokaler Kontrolle habe...
Am besten da nachlesen: https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/WG- ...
Excerpt:
To configure DNS settings, from WatchGuard Cloud:
Select Configure > Devices.
Select the cloud-managed Firebox.
Click Device Configuration.
In the Networking section, click the DNS tile.
The DNS configuration page opens.
For a cloud-managed Firebox, you can configure these DNS settings:
Public DNS — Add DNS servers to resolve all domain names.
Internal DNS — Add DNS servers to resolve DNS requests from internal networks for specific domains.
DNSWatch — Enable DNSWatch to block connections to malicious or filtered domains.Zitat von @aqui:
So so... Watchguard zwingt dich also im DHCP Server das zu nutzen was der Hersteller dir aufzwingt. Sorry, aber das wird dir kein Administrator ernsthaft glauben.
So so... Watchguard zwingt dich also im DHCP Server das zu nutzen was der Hersteller dir aufzwingt. Sorry, aber das wird dir kein Administrator ernsthaft glauben.
Nee, so schlimm sind die nicht. Ich mag die Teile. Recht einfach zu konfigurieren (auch für Klicki-Bunti-Admins) und ganz leistungsfähig. Manchmal ist Klicki-Bunti aber gar nicht sooo schlecht. Hab mir heute fünf Stunden Bacula-Konfiguration und Test um die Ohren gehauen, da ist erstmal nix mit Web-Oberfläche. Die nachzurüsten hat nochmal drei Stunden gedauert.
F&E Tag eben (Ich könnte auf allen Clients manuell den DNS Server eintragen oder die hosts datei editieren, dann läuft alles, aber das kann ja nicht die Lösung sein... )
Wenn's anders nicht geht, kann das sehr wohl die Lösung sein. Es geht um VIER Clients?
Die sind doch schneller manuell auf feste IPs (und passenden DNS) gebimst, als die ganze Fehlersuche wert ist
Und es bleibt auch noch die Möglichkeit, in der RDP-Konfiguration statt <hostname_of_ts> einfach dessen IP einzutragen. Das geht selbst dann, wenn DNS mal aus anderen Gründen ausfällt.
Danke nochmals
1
Aqui, ich geb dir ja soweit recht und mit nslookup und ipconfig /all habe ich ja selber gesehen, wo es hakt.
Bei Sophos oder Pfsense oder sonstwo kann ich im DHCP Server den richtigen DNS Server konfigurieren.
Nur bei Watchguard Cloud gibt es diese Einstellung nicht oder ich finde sie nicht.
Deshalb hab ich mich ans Forum gewandt...
Schau:
Netzwerk:
DHCP Einstellungen:
Im Hauptmenu gibt es den Punkt DNS:
Dort kann ich meinen lokalen DNS eintragen:
Das funktioniert aber nur im lokalen Netz , nicht über das VPN in der zweigstelle, dort habe ich auch die 45.1 eingetragen.
BOVPN heißt bei Watchguard Branch Office VPN und bezog sich auf die Frage von cwandel
Bei Sophos oder Pfsense oder sonstwo kann ich im DHCP Server den richtigen DNS Server konfigurieren.
Nur bei Watchguard Cloud gibt es diese Einstellung nicht oder ich finde sie nicht.
Deshalb hab ich mich ans Forum gewandt...
Schau:
Netzwerk:
DHCP Einstellungen:
Im Hauptmenu gibt es den Punkt DNS:
Dort kann ich meinen lokalen DNS eintragen:
Das funktioniert aber nur im lokalen Netz , nicht über das VPN in der zweigstelle, dort habe ich auch die 45.1 eingetragen.
BOVPN heißt bei Watchguard Branch Office VPN und bezog sich auf die Frage von cwandel
Nabend cwandel,
danke für deine Hilfe.
Ja bei den vier Clients hab ich RDP über die IP eingerichtet. Funktioniert stabil.
Den Link von Watchguard habe ich auch gelesen, das funktioniert aber nur im lokalen Netz, nicht über die VPN Verbindung.
Mich wurmt, daß eine eigentlich selbstverständliche und bei anderen Herstellern recht simple Einstellung bei Watchguard Cloud für mich nicht auffindbar ist. Kann mir nicht vorstellen, daß es gar nicht geht...
Ansonsten sehe die Kisten wie du: relativ einfach zu konfigurieren (z.B. einmalig verschiedene Vorlagen erstellen und auf die jeweiligen Geräte ausrollen) und ziemlich leistungsfähig.
Schönen Abend noch ...
danke für deine Hilfe.
Ja bei den vier Clients hab ich RDP über die IP eingerichtet. Funktioniert stabil.
Den Link von Watchguard habe ich auch gelesen, das funktioniert aber nur im lokalen Netz, nicht über die VPN Verbindung.
Mich wurmt, daß eine eigentlich selbstverständliche und bei anderen Herstellern recht simple Einstellung bei Watchguard Cloud für mich nicht auffindbar ist. Kann mir nicht vorstellen, daß es gar nicht geht...
Ansonsten sehe die Kisten wie du: relativ einfach zu konfigurieren (z.B. einmalig verschiedene Vorlagen erstellen und auf die jeweiligen Geräte ausrollen) und ziemlich leistungsfähig.
Schönen Abend noch ...
Aus der Watchguard-Doku zitiert:
Bist du SICHER, dass 192.168.45.1 der Domain DNS-Server (normalerweise der Domain-Controller) ist und nicht die Firebox der Gegenstelle/Zentrale? Ich fürchte, dass die Clients in der Zweigstelle die Firebox der Zentrale fragen und nicht den Microsoft DNS-Server am Domain-Controller. Wenn sich die zwei Fireboxen gegenseitig nach ihnen nicht bekannten Namen fragen, kann da nichts Gutes bei rum kommen ...
Welche IP hat der Domain-Controller und läuft da ein DNS-Server? Mal auf beiden Seiten dessen IP bei DNS in der Firebox eintragen.
Was ist denn unter "Öffentliches DNS" eingetragen?
Configure DHCP Server
Enable DHCP Server if you want the Firebox to assign IP addresses on a network.
DHCP clients use the IP address of the Firebox as the DNS server. The Firebox forwards DNS requests from DHCP clients to an internal or public DNS server specified in your configuration.
Das bedeutet wohl, dass die DHCP-Clients die Firebox als DNS-Server verpasst bekommen und die wiederum muss sich darum kümmern, das an einen "richtigen" DNS-Server weiter zu leiten.Enable DHCP Server if you want the Firebox to assign IP addresses on a network.
DHCP clients use the IP address of the Firebox as the DNS server. The Firebox forwards DNS requests from DHCP clients to an internal or public DNS server specified in your configuration.
Bist du SICHER, dass 192.168.45.1 der Domain DNS-Server (normalerweise der Domain-Controller) ist und nicht die Firebox der Gegenstelle/Zentrale? Ich fürchte, dass die Clients in der Zweigstelle die Firebox der Zentrale fragen und nicht den Microsoft DNS-Server am Domain-Controller. Wenn sich die zwei Fireboxen gegenseitig nach ihnen nicht bekannten Namen fragen, kann da nichts Gutes bei rum kommen ...
Welche IP hat der Domain-Controller und läuft da ein DNS-Server? Mal auf beiden Seiten dessen IP bei DNS in der Firebox eintragen.
Was ist denn unter "Öffentliches DNS" eingetragen?
Edit: Die Fireboxen sind KEINE DNS-Server, lediglich DNS-Forwarder.
Wenn eine DNS-Anfrage von einem Client ankommt, fragt die Firebox die konfigurierten DNS-Server. Wenn das (im Falle der Zweigstelle) die andere Firebox ist (und das vermute ich anhand der IP [192.168.45.1] dann kann das nicht klappen.
Die Firebox in der Zentrale muss den lokalen DNS-Server (meist auf dem Domain-Controller) fragen, der für "<domainname>.lan" zuständig ist. Die in der Zweigstelle AUCH, und nicht die andere Firebox, die es auch nicht weiß ...
Wenn eine DNS-Anfrage von einem Client ankommt, fragt die Firebox die konfigurierten DNS-Server. Wenn das (im Falle der Zweigstelle) die andere Firebox ist (und das vermute ich anhand der IP [192.168.45.1] dann kann das nicht klappen.
Die Firebox in der Zentrale muss den lokalen DNS-Server (meist auf dem Domain-Controller) fragen, der für "<domainname>.lan" zuständig ist. Die in der Zweigstelle AUCH, und nicht die andere Firebox, die es auch nicht weiß ...
Wenn es das denn nun war:
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
