VPN Traffic

Hallo Dennis,

so, dann schauen wir uns das mal genauer an:

Bitte einen Screenshot im "EDIT"-Modus senden von "Remote Access/SSL/Profiles", dann von "Remote Access/SSL/Settings" (hier kannst du en Hostnamen schwärzen, wenn override genutzt wird) und "Remote Access/SSL/Advanced". Da steht sonst weiter nichts "Gefährliches" drin, was man schwärzen müsste.

Dann noch einen Screenshot von "Remote Access/Advanced/ClientOptions" für die DNS-Einstellungen.

Von einem der VPN-Clients dann bitte ein Ergebnis oder Screenshot von "route print", wenn es eine Windows-Maschine ist, bei Linux bitte route -nv benutzen.

Nützlich wäre dann bei Windows noch ein "ipconfig /all" und natürlich könnte man mit tracert sich den Weg der Pakete ansehen, einmal zu einem internen Ziel und einmal zu einem externen (Internet-) Ziel.

jprusch said:

"Remote Access/SSL/Profiles",

jprusch said:

"Remote Access/SSL/Settings"

jprusch said:

"Remote Access/SSL/Advanced"

jprusch said:

"Remote Access/Advanced/ClientOptions"

jprusch said:

"route print"

===========================================================================
Schnittstellenliste
  8...00 ff 2a 90 d7 22 ......Sophos SSL VPN Adapter
 11...9c 5c 8e 01 dd 7d ......Realtek PCIe GbE Family Controller
 16...02 00 4c 4f 4f 50 ......Npcap Loopback Adapter
  7...7c b0 c2 61 fc d3 ......Intel(R) Dual Band Wireless-AC 7265
 18...7c b0 c2 61 fc d4 ......Microsoft Wi-Fi Direct Virtual Adapter
 10...7e b0 c2 61 fc d3 ......Microsoft Wi-Fi Direct Virtual Adapter #2
 12...7c b0 c2 61 fc d7 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.54     25
         10.0.1.0    255.255.255.0       10.242.2.1       10.242.2.2    257
       10.242.2.0    255.255.255.0   Auf Verbindung        10.242.2.2    257
       10.242.2.2  255.255.255.255   Auf Verbindung        10.242.2.2    257
     10.242.2.255  255.255.255.255   Auf Verbindung        10.242.2.2    257
    80.147.128.90  255.255.255.255      192.168.1.1     192.168.1.54    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      169.254.0.0      255.255.0.0     192.168.1.58     192.168.1.54     26
      169.254.0.0      255.255.0.0   Auf Verbindung   169.254.226.162    281
  169.254.226.162  255.255.255.255   Auf Verbindung   169.254.226.162    281
  169.254.255.255  255.255.255.255   Auf Verbindung   169.254.226.162    281
      192.168.1.0    255.255.255.0   Auf Verbindung      192.168.1.54    281
     192.168.1.54  255.255.255.255   Auf Verbindung      192.168.1.54    281
    192.168.1.255  255.255.255.255   Auf Verbindung      192.168.1.54    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.1.54    281
        224.0.0.0        240.0.0.0   Auf Verbindung        10.242.2.2    257
        224.0.0.0        240.0.0.0   Auf Verbindung   169.254.226.162    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.1.54    281
  255.255.255.255  255.255.255.255   Auf Verbindung        10.242.2.2    257
  255.255.255.255  255.255.255.255   Auf Verbindung   169.254.226.162    281
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
      169.254.0.0      255.255.0.0     192.168.1.58       1
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    331 ::1/128                  Auf Verbindung
 11    281 fe80::/64                Auf Verbindung
  8    291 fe80::/64                Auf Verbindung
 16    281 fe80::/64                Auf Verbindung
  8    291 fe80::a48b:e13c:b947:3fdc/128
                                    Auf Verbindung
 16    281 fe80::c590:a34c:953b:e2a2/128
                                    Auf Verbindung
 11    281 fe80::d477:13a:91d5:be3a/128
                                    Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
 11    281 ff00::/8                 Auf Verbindung
  8    291 ff00::/8                 Auf Verbindung
 16    281 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

jprusch said:

"ipconfig /all"

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : Mini
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : fvt.local
                                       fritz.box

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix: fvt.local
   Beschreibung. . . . . . . . . . . : Sophos SSL VPN Adapter
   Physische Adresse . . . . . . . . : 00-FF-2A-90-D7-22
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::a48b:e13c:b947:3fdc%8(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.242.2.2(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 19. Oktober 2020 20:06:14
   Lease läuft ab. . . . . . . . . . : Dienstag, 19. Oktober 2021 20:06:14
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 10.242.2.254
   DHCPv6-IAID . . . . . . . . . . . : 1208024874
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-7F-16-61-9C-5C-8E-01-DD-7D
   DNS-Server  . . . . . . . . . . . : 10.0.1.5
                                       10.0.1.2
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physische Adresse . . . . . . . . : 9C-5C-8E-01-DD-7D
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::d477:13a:91d5:be3a%11(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.54(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 14. Oktober 2020 13:36:34
   Lease läuft ab. . . . . . . . . . : Sonntag, 25. Oktober 2020 09:58:14
   Standardgateway . . . . . . . . . : 192.168.1.1
   DHCP-Server . . . . . . . . . . . : 192.168.1.1
   DHCPv6-IAID . . . . . . . . . . . : 60578958
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-7F-16-61-9C-5C-8E-01-DD-7D
   DNS-Server  . . . . . . . . . . . : 192.168.1.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Npcap Loopback Adapter:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Npcap Loopback Adapter
   Physische Adresse . . . . . . . . : 02-00-4C-4F-4F-50
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::c590:a34c:953b:e2a2%16(Bevorzugt)
   IPv4-Adresse (Auto. Konfiguration): 169.254.226.162(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 973209676
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-20-7F-16-61-9C-5C-8E-01-DD-7D
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Drahtlos-LAN-Adapter WLAN:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 7265
   Physische Adresse . . . . . . . . : 7C-B0-C2-61-FC-D3
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 1:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Physische Adresse . . . . . . . . : 7C-B0-C2-61-FC-D4
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Drahtlos-LAN-Adapter LAN-Verbindung* 11:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #2
   Physische Adresse . . . . . . . . : 7E-B0-C2-61-FC-D3
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter Bluetooth-Netzwerkverbindung:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Physische Adresse . . . . . . . . : 7C-B0-C2-61-FC-D7
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Autsch, da würde ich zuallererst das hier unnötige Protokoll "IPv6" auf den beiden Schnittstellen "Ethernet Adapter Ethernet" (Realtek) und der "Ethernet Adapter Ethernet 2" (Sophos VPN). abschalten, damit hier keine Seiteneffekte entstehen.

Dann würde ich NetBIOS ausschalten ("deaktiviert"). "Allow Compress traffic" ist schon mal eingeschlatet, das ist gut.

Ich vermute ein DNS-Problem, denn das Routing sieht sauber aus.

Weiterhin würde ich aus Performancegründen auf UDP statt TCP als Protokoll gehen, Vorsicht: dann fliegen alle raus und du musst ALLEN eine neue ovpn-Datei senden/geben. Also nicht von remote durchführen.

Bitte jetzt mal zwei tracert durchführen, z.B. tracert 10.0.1.5 (also ein internes Ziel), das sollte durch den Tunnel laufen.

Dann tracert zu 9.9.9.9 als externes Ziel zum Beispiel, das sollte definitiv nicht durch denTunnel gehen, sondern direkt.

Bitte Ergebnis hier posten.

jprusch said:

tracert 10.0.1.5

Routenverfolgung zu 10.0.1.5 über maximal 30 Hops

  1    78 ms    82 ms    34 ms  10.242.2.1
  2    35 ms    34 ms    42 ms  10.0.1.5

Ablaufverfolgung beendet.

jprusch said:

9.9.9.9 als externes Ziel

Routenverfolgung zu dns9.quad9.net [9.9.9.9]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.1.1]
  2    26 ms    35 ms    16 ms  85.16.122.13
  3    18 ms    16 ms    17 ms  85.16.253.176
  4    19 ms    37 ms    17 ms  bbrt.owo-1-ae-2.ewe-ip-backbone.de [80.228.98.145]
  5    38 ms    28 ms    28 ms  bbrt-ams-0-xe-0-1-0.ewe-ip-backbone.de [212.6.115.26]
  6  2195 ms  2055 ms  2995 ms  amsix.pch.net [80.249.208.250]
  7    23 ms    23 ms    24 ms  dns9.quad9.net [9.9.9.9]

Ablaufverfolgung beendet.

Die Pakete scheinen richtig zu laufen, oder?

Was kann es denn noch sein?

1 VPN Verbindung sollte ja nicht die komplette Bandbreite einer VDSL100 Leitung nutzen?

Die Traceroute Ergebnisse sehen gut aus. Ich vermute jetzt eher ein DNS-Problem.

Was gibt denn nslookup nach einem internen Servernamen aus? (FQDN nutzen, bitte)

Was gibt nslookup www.ibm.com aus?

Ich hoffe, dass ist wonach du gefragt hast. Sonst sag mir bitte nochmal was genau mit FQDN gemeint ist. Danke!

jprusch said:

internen Servernamen

DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  10.0.1.5

Name:    SRV1.fvt.local
Addresses:  10.0.1.107
          10.0.1.5

>nslookup srv1.fvt.local
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  10.0.1.5

Name:    srv1.fvt.local
Addresses:  10.0.1.107
          10.0.1.5

jprusch said:

www.ibm.com

nslookup www.ibm.com
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  10.0.1.5

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Ich glaube in der DNS Konfiguartion des Servers läuft auch was schief. Kann ich die Zeiger einfach löschen?

Du hast definitiv ein DNS-Problem, das sieht man an den ganzen Timeouts.

FQDN = fully qualified domain name, das ist ein Name wie "server17.intern.local", also Hostname + Domainname samt Suffix.

Wenn du das Netzwerk von 192.168.178.x Adressen auf die 10.0.x.y umgestellt hast, sollte die alte Reverse-Lookupzone gelöscht werden. Danach eine neue für das neue Netzwerk erstellen.

Was steht im Windows DNS-Server bei den Eigenschaften des DNS-Servers selbst?

Die Sophos-FIrewall muss dann natürlich die DNS-Weiterleitung erlauben.

Mit den VPN-Client Einstellungen von ganz oben unter  "Remote Access profile" sollten die  "Automatic firewall rules" den Zugriff auf den internen DNS problemlos erlauben.

Ist der VPN-Pool (SSL) auf den DNS zugelassen?

Hat der SRV1 zwei IP-Adressen im selben Netzwerk?

Ein Test wäre noch interessant:

Namensauflösung eines externen Servers (z.B. www.heise.de) mit aktivierten VPN und einmal ohne VPN.

Also nslookup www.heise.de mit VPN und dasselbe nochmal ohn das VPN zu starten.

Ein Test wäre noch interessant:

Namensauflösung eines externen Servers (z.B. www.heise.de) mit aktivierten VPN und einmal ohne VPN.

Also nslookup www.heise.de mit VPN und dasselbe nochmal ohne das VPN zu starten.

jprusch said:

nslookup www.heise.de mit VPN

nslookup www.heise.de
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  10.0.1.5

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Ohne VPN

nslookup www.heise.de
Server:  fritz.box
Address:  192.168.1.1

Nicht autorisierende Antwort:
Name:    www.heise.de
Addresses:  2a02:2e0:3fe:1001:7777:772e:2:85
          193.99.144.85

Das hier steht in den DNS Eigenschaften des DC:

jprusch said:

Hat der SRV1 zwei IP-Adressen im selben Netzwerk?

Ja, der Server hat eine statische IPV4 Adresse.

Die zweite Netzwerkkarte steht auf DHCP.

jprusch said:

Ist der VPN-Pool (SSL) auf den DNS zugelassen?

Wie kann ich das prüfen?

Die VPN Profil in der Sophos sind so wie oben angezeigt.

jprusch said:

nslookup www.heise.de mit VPN

nslookup www.heise.de
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  10.0.1.5

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Ohne VPN

nslookup www.heise.de
Server:  fritz.box
Address:  192.168.1.1

Nicht autorisierende Antwort:
Name:    www.heise.de
Addresses:  2a02:2e0:3fe:1001:7777:772e:2:85
          193.99.144.85

Das hier steht in den DNS Eigenschaften des DC:

jprusch said:

Hat der SRV1 zwei IP-Adressen im selben Netzwerk?

Ja, der Server hat eine statische IPV4 Adresse.

Die zweite Netzwerkkarte steht auf DHCP.

jprusch said:

Ist der VPN-Pool (SSL) auf den DNS zugelassen?

Wie kann ich das prüfen?

Die VPN Profil in der Sophos sind so wie oben angezeigt.

Zu diesem Post habe ich jede Menge Anmerkungen:

Bitte als erstes die zweite Netzwerkkarte mit der DHCP-Adresse ABSCHALTEN.

Dann bitte auf der Sophos kontrollieren, ob die internen DNS-Server überhaupt "raus ins Internet" dürfen.

Also so wie hier:

Dann die "Forwarder" auf der Sophos kontrollieren (das ist bei mir eine "Availibilty-Group":

Definition der "Availibilty-Group" für die externen DNS-Server (das muss jeder an seine Verhältnisse anpassen)

Aber die beste Beschreibung zu diesem Thema gibt es in diesem Thread hier:

https://community.sophos.com/utm-firewall/f/recommended-reads/122972/dns-best-practice

Wichtig ist dann noch bei den "Weiterleitungen" auf dem internen Windows-DNS-Server den ersten Eintrag auf die interne IP der Sophos zu setzen.

Im DNS vom Windows Server. Sollte dann so aussehen? Auflösung nicht möglich?

jprusch said:

DNS-Server überhaupt "raus ins Internet" dürfen.

Das scheinen sie zu dürfen

jprusch said:

Forwarder"

Die Forwards sind leer. Was muss ich hier einfügen?

Ist die 10.0.1.2 die Sophos IP-Adresse ?

Woher soll der Windows-DNS den Hostnamen dieses Gerätes denn kennen? Das muss man mit der Hand anlegen.

Also im DNS-Server in der forward-zone einen Eintrag erstellem für "firewall.fvt.local" mit der IP 10.0.1.2.

Dann kann dieser Name "aufgelöst" werden. Funktionieren würde die Weiterleitung auch so, ohne Namensauflösung des Hostnamens der Sophos-Firewall selbst. Sieht halt nur nicht schön aus.

Bei den "Forwarders" bitte das eintragen, was ich oben bereits geschrieben habe. Also deine externen DNS-Provider. Der Trick mit der Availibilty-Group ist nur dafür da, immer den am besten verfügbaren zu nutzen. Sonst klappert DNS alle ab, bis einer antwortet, was dann dauern kann.

Also sollte es dann so aussehen? Nur warum steht bei Currently assigned forwarders: noe?

Das funktioniert nur bei ISPs, die per DHCP ihre Einstellungen an dich weitergeben, um deine WAN-Schnittstelle zu konfigurieren.

Wenn wir das wie hier manuell konfigurieren, dann darf das NICHT eingschaltet sein. NONE ist also OK.

Jetzt läuft es soweit rund. Vielen Dank für den tollen Support bis dahin!!!

Dann markiere doch bitte eine meiner Antworten als "Answer", dann wird das Thema als "gelöst" markiert, das hlft dann auch anderen.