Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 4 subscribers
  • Views 22883 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Statischer DNS eintrag über VPN (CISCO) nicht erreichbar V9.403-4

mod11

Ich bin mit meinem Latein am ende. Ich habe einen Statischen DNS-Eintrag, den ich intern aufgelößt bekomme, aber nicht über VPN. Der Server ist bei bestehender VPN-Verbindung per IP-Adresse erreichbar. Versuche ich den gleichen Server mit der Namensauflösung über VPN erreichen, kann dieser nicht erreicht werden.

Unter Fernsteuerung erweitert, ist die SOPHOS als dns (LAN) als erster und WLAN als zweiter eingetragen. Also bitte wo ist hier mein Fehler?

Danke für die Hilfe



This thread was automatically locked due to age.
Parents
  • 0

    Das VPN Subnetz hast Du ja bereits zu den erlaubten Netzen im DNS hinzugefügt, das war schon mal gut :)

    Ich vermute Du lässt nicht sämtlichen Verkehr über den VPN Tunnel routen, da ansonsten auch Internet bei einer bestehenden VPN Verbindung nicht gehen dürfte. Daher hätte ich noch folgende Vorschläge:


    - Remote Access -> Advanced: Der DNS Server ist die .1 aus dem Subnetz des VPN IP Pools, nicht die IP des LAN Adapters.


    - Remote Access -> Advanced: Trag hier mal den DNS Suffix deines LANs ein. Ansonsten schickt der VPN Client die DNS Anfragen via Any-Route direkt ins Internet. Nur wenn der VPN Adapter den DNS Suffix des LANs kennt, kann er die DNS Anfragen über den VPN Adapter schicken.

    Gruß

    Jas Man

  • 0 in reply to Jas Man

    Hallo Jas Man,

    ersteinmal vielen Dank für Deine Vorschläge. Leider wird die .1 einem VPN-Client zugewiesen und würde dann leider so nicht funktionieren. Ursrünglich sollte der gesammte Verkehr über VPN laufen (ist aber z.Zt. abgeschaltet).

    ich habe einmal versucht über tcpdump / espdump irgend etwas zu sehen. Entweder ich setz einen falschen Filter ein oder ein falsche Interface oder was auch immer. Ich sehe einfach den verkehr vom tunnel nicht. Auch ein Spezielles Tunnelinterface auf der Sophos gibt es ja nicht (zu mindestens nicht einaus dem Subnetz). Hast Du mal eine Idee zumThema tcpdump / espdump und vpn (cisco)?

  • 0 in reply to mod11

    Ach, das war mein Fehler. Ich war bei (meinem) SSL VPN. IPsec hat keinen eigenen Adapter, daher gibt es auch keine .1. Trotzdem müsste sowas wie eine Suchdomain für die VPN Verbindung auf dem Client geben damit er weiß, wann er diese Verbindung nutzen soll.
    Wenn Du allerdings sagst, dass normalerweise der komplette Verkehr über VPN laufen sollte, gehe ich mal davon aus, das es da mit der Auflösung von internen Namen auch nicht klappt. D.h. die Suchdomain sollte momentan keine Rolle spielen, da DNS auch nicht funktioniert wenn der gesamte Verkehr über VPN geschickt wird.


    Bzgl. tcpdump wirst Du nicht viel sehen können, weil der Verkehr auf den Interfaces ja verschlüsselt ist. Das espdump hab ich heut zum ersten Mal gehört. Daher kann ich Dir dazu nix sagen, sorry.

    Falls mir noch was einfallen sollte, meld ich mich. Ich probier das gleich mal aus ob ich auf die Schnelle einen IPsec VPN mit meinem Androiden hin bekomme.

    Gruß
    Jas

Reply
  • 0 in reply to mod11

    Ach, das war mein Fehler. Ich war bei (meinem) SSL VPN. IPsec hat keinen eigenen Adapter, daher gibt es auch keine .1. Trotzdem müsste sowas wie eine Suchdomain für die VPN Verbindung auf dem Client geben damit er weiß, wann er diese Verbindung nutzen soll.
    Wenn Du allerdings sagst, dass normalerweise der komplette Verkehr über VPN laufen sollte, gehe ich mal davon aus, das es da mit der Auflösung von internen Namen auch nicht klappt. D.h. die Suchdomain sollte momentan keine Rolle spielen, da DNS auch nicht funktioniert wenn der gesamte Verkehr über VPN geschickt wird.


    Bzgl. tcpdump wirst Du nicht viel sehen können, weil der Verkehr auf den Interfaces ja verschlüsselt ist. Das espdump hab ich heut zum ersten Mal gehört. Daher kann ich Dir dazu nix sagen, sorry.

    Falls mir noch was einfallen sollte, meld ich mich. Ich probier das gleich mal aus ob ich auf die Schnelle einen IPsec VPN mit meinem Androiden hin bekomme.

    Gruß
    Jas

Children
  • 0 in reply to Jas Man

    Macht ja nichts, einder der meine "unfähigkeit" wenigsten versucht zu lösen. Also wozu eigentlich gas ganze. Ich versuche einen exchangeserver per VPN-Verbindung mt einem iOS-Gerät zuerreichen, damit der Weg von außen nach innen dicht gemacht werden kann. iOS-Geräte können nur per IPSec eine verbindung bei bedarf (dial on demand) mit einer domain und (leider) nicht mit einer ip-Adresse herstellen. Inter läuft ja auch soweit alles (im sinne von der DNS-Auflösung). Aber leider kann man in den VPN-Einstellungen nicht wirklich viel einstellen. Und verdamt noch mal, muss es doch irgend wie von Extern per Tunnel funktionieren. Die IP-Adresse ist ja auch über den Tunnel vom Server erreichbar.


    espdump funktionier im prinzip. D. h. ich kann sehen, dass über den Tunnel eine Anfrage per IP an den Server geht. Anfragen, die per DNS (domaine) getätigt werden, da ist nicht annähernd irgend eine Bewegung zu erkennen.

    Das mit dem gesamten Verkehr ist ersteinmal zweitrangig und nicht so wichtig. Das andere hat absolute Prio

  • 0 in reply to mod11

    Na das ist doch schon mal was. Wenn die Anfrage an die IP im Tunnel zu sehen ist, dann muss es am DNS Suffix liegen. Ich hab grad kein iOS Gerät da, aber ich meine da könnte man der VPN Verbindung den DNS Suchsuffix mitgeben. Ich gehe davon aus, dass das iOS Gerät einfach die DNS Anfrage für den Exchanger über das "Internet-Interface" sendet, und nicht über das "VPN-Interface". So zumindestens meine Ferndiagnose.

    Installierst Du das Profil mit dem Konfigurationstool von Apple? Oder alles per Hand? Das Konfigurationstool bietet ja ein paar mehr Einstellungen.

    Gruß

    Jas

    EDIT: Kann leider nicht testen. Mein CM Android fliegt nach exakt 30 Sekunden aus der Verbindung raus. Keine Ahnung was das soll. Sowohl bei X509 als auch PSK Verbindungen.

  • 0 in reply to mod11

    espdump erfolgt auf das Interface, auf dem das VPN gebunden ist:

    espdump -n -vvv -i eth1 port 53

    Den Output bitte sinnerhaltend anonymisiert posten.

    Screenshots von der VPN Config UTM?

    Screenshots von der DNS Konfiguration UTM?

    Screenshots vom statischen Hosteintrag?

    Hierbei auch ggf. sinnerhaltend anonymisierten.

    Was ist mit der Gegenprobe mit einem Client, der die für die Fehlersuche erforderliche Tools aufweist?

  • 0 in reply to mod11

    mod11 said:
    Ich versuche einen exchangeserver per VPN-Verbindung mt einem iOS-Gerät zuerreichen, damit der Weg von außen nach innen dicht gemacht werden kann. iOS-Geräte können nur per IPSec eine verbindung bei bedarf (dial on demand) mit einer domain und (leider) nicht mit einer ip-Adresse herstellen.

    Das liest sich unter https://www.derman.com/blogs/Setting-Up-iOS-OnDemand-VPN anders.

  • 0 in reply to K.N.

    K.N. said:

    mod11
    Ich versuche einen exchangeserver per VPN-Verbindung mt einem iOS-Gerät zuerreichen, damit der Weg von außen nach innen dicht gemacht werden kann. iOS-Geräte können nur per IPSec eine verbindung bei bedarf (dial on demand) mit einer domain und (leider) nicht mit einer ip-Adresse herstellen.

    Das liest sich unter https://www.derman.com/blogs/Setting-Up-iOS-OnDemand-VPN anders.


    Bei Android kann man auch IP oder den DNS Namen angeben. Eine dauerhafte VPN Verbindung (also sobald Internet Zugang besteht) ist aber nur mit der IP möglich. Vielleicht ist das bei iOS auch so?!
    Aber es hat jetzt nicht wirklich was mit dem Problem zu tun, oder? Von daher spielt das hierbei eigentlich keine Rolle.

  • 0 in reply to Jas Man

    Ich weiss nicht woran das wirklich liegt. iOS hin oder her. mit MacOS und IPSec istes ja das gleiche. Auch der espdump von K.N. bringt überhaupt garnichts. die IP vom Tunnel taucht nicht auf. Auch nicht beim Filter auf host anstlle vom port, bei der Abfrage von der domain. Bei der Abfrage (als gegenprobe) ist der Verkehr klar und deutlich zu erkennen.

  • 0 in reply to mod11

    Hast Du denn mal nach dem Domain Suchsuffix geschaut? Ich gehe immer noch davon aus, dass es daran liegt.

  • 0 in reply to Jas Man

    gesucht schon, gefunden nichts.

    Unter Advanced ist der Domainname eingetrage. Als einziger DNS ist das LAN der Ssophos und das war es schon. Mehr ist da auch nichts einstellbar. Die Automatische FW regel für VPN geht auf any zum VPN-Username vom Internen Netzwerk und umgekehrt.

  • 0 in reply to mod11

    Welche IP bekommst Du auf dem iOS Gerät bei bestehender VPN Verbindung angezeigt, wenn Du z.B. http://wieistmeineip.de aufrufst? Die der Internet-Verbindung des iOS Geräts oder der UTM? Sprich geht der normale HTTP Traffic über die VPN Verbindung oder direkt raus?
    Bekommst Du OWA angezeigt wenn Du https://FQDN_EXCHANGE/owa im Safari eingibst? Klappt auch/oder https://IP_EXCHANGE/owa ?

    Noch mal zum Aufbau: Du testest grad mit einem iOS Gerät, welches an einem Internet-Anschluss hängt, an dem nicht die UTM hängt? Und die UTM ist von außen direkt erreichbar, oder hängt da noch was dazwischen?

  • 0 in reply to Jas Man

    Fehler gefunden.

    Der Domain Suchsuffix war der Fehler. Da war ein schreibfehler vorhanden. 1#DNS muss die IP von LAN sein und nicht die IP vom WAN. Dann klappt es auch mit dem Nachbarn. Um Deine Frage noch zu beantworten. Wenn Du  https://FQDN_EXCHANGE/owa ein gebenen hast, hatte DIr Safari gezeigt, dass die Seite nicht gefunden wurde. Bei https://IP_EXCHANGE/owa hast Du die OWA-Seite vom Exchange erhlten.


    Danke für Deine Hilfe

Cookie Information Banner