Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2355 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Request Routing, SG115w

hegl
Bei einer L2L-VPN (IPSec) nutzen wir für die interne AD-Domain abc.de das Feature Request Routing, wo unsere internen DNS-Server hinterlegt sind. Über ide Kommandozeilenebene wird unser Intranet einwandfrei aufgelöst. nslookup intranet ergibt als Antwort intranet.abc.de mit der entsprechenden IP, der Ping funktioniert auch. Zudem kann auf alle Netzlaufwerke Server1 usw. zugegriffen werden. Gebe ich aber nun im IE11 http://intranet ein, erhalte ich ein "Host not found". Gleiches gilt für einen anderen, internen Webserver Server4711. Gebe ich http://Server4711 ein, bekomme ich auch ein "Host not found". Gebe ich die IP des Servers ein, dauert es ein wenig länger, der IE springt auf http://Server4711/Start/ um und liefert dann selbige Fehlermeldung. Im Firewall-Log tauchen keine Pakete auf, so dass der Fehler wohl schon vorher zu suchen ist. Nur wo? Wo setze ich an? Bis jetzt war ich noch nicht an dem Remote-Standort und habe dort auch keine Kapazitäten zur Unterstützung. Merkwürdigerweise haben wir solche Konstellationen an mehreren Standorten, aber nur an einem dieses beschriebene Problem. Wer kann helfen?


This thread was automatically locked due to age.
  • 0
    Am Remote-Standort auch eine Sophos UTM? Mit aktivertem Webfilter? Im Standard-Mode?
    Dann in den Filtering Options -> Advanced die Domain für den Proxy eintragen.

    Sonst: Irgendeine verbogene GPO? Mal mit anderem Browser (Firefox) getestet?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    In der Zentrale eine Cisco ASA, an allen Remote Standorten eine UTM. An allen Standorten Webfillter im Transparent Mode ohne Authentication.
    Filter Options / Advanced gibt es nicht. Was meinst Du hier?
    IE11 ist Standardbrowser, da verschiedene Scripte laufen, die im Mozilla nicht funktionieren. Die Notebooks mit IE11 am besagten Standort laufen aber einwandfrei an anderen Remote Standorten. GPO ist gleich.
  • 0
    Hallo hegl,


    im transparenten Modus macht der Client die DNS Auflösung. ist also kein Utm Problem. Bei Eingabe der IP bekommst du eine Antwort, also Proxy ok. Die Antwort liefert aber wieder den Namen zurück, also wieder lokales DNS Problem.


    Teste doch mal mit einem lokalen Client Host Eintrag. Das wird mit Sicherheit funktionieren. überprüfe mal die auf dem Client eingetragenen DNS Server. Stimmt die DNS Suffix?


    Eine eingeschaltete DNS Inspektion auf der ASA kann auch schon mal seltsame Probleme verursachen. Mit der ASA als frontfirewall hatte ich schon mal ähnliche Probleme. Damals funktionierte die rdns Auflösung für Mail Domains auf der UTM nicht. Nachdem ich die DNS Inspection auf der ASA aus und wieder eingeschaltet hatte funktionierte alles wieder einwandfrei.


    Das ist auf jeden Fall ein lokales DNS Problem.


    vg
    mod
  • 0
    Erst mal sorry für die späte Rückmeldung - ich war ein paar Tage außer Haus. Am Freitag bin ich wahrscheinlich vor Ort und kann testen. Was ich aber nicht verstehe ist, warum es ein lokales Problem sein soll. 200m weiter haben wir in einem anderen Gebäude eine analoge Konfiguration (Verbindung untereinander nicht möglich) und wenn die Kollegen von dort - wo alles sauber läuft - zum neuen Standort gehen und dort ihr Notebook in Betrieb nehmen, läuft das auch nicht. Wieso soll das dann ein Client-Problem sein?

    Vielleicht weiß ich am Freitag mehr ...
  • 0 in reply to hegl
    So, Problem gelöst; für mich zwar nicht nachvollziehbar, aber es funktioniert jetzt.
    Nachdem ich DNS ausschließen konnte, kam nur noch die SG115 in Betracht. Ich konnte mittles Wireshark den Verbindungsaufbau zum intranet verfolgen: Richtige DNS-Auflösung, Get-Befehl, ... bis plötzlich die Sophos die Meldung "Host not found" sendete. Ich habe dann zunächst einfach einmal den Webproxy deaktiviert und schon funktionierte es plötzlich, Ok, habe ich gedacht, haste wohl irgendwas im Wefilter verbockt. Aber weit gefehlt, nachdem ich den Webproxy wieder aktiviert habe, läuft nach wie vor alles bestens. Warum aber das 10-malige Reboot und die letzte Softwareaktualisierung (und damit ein erneuter Reboot) nicht zum Erfolg führten, dass weiß die SG wohl nur selbst ...
Cookie Information Banner