DNS - Internes Netzwerk zu SSL VPN (gelöst)

Question

Guten Tag zusammen, 
 ich habe ein Problem mit meiner DNS-Aufl&ouml;sung von meinem internen Netzwerk zu den SSL VPN Clients. 
 Das ganze l&auml;uft &uuml;ber eine UTM 9 SG230 - 9.4... 
 
 Was funktioniert: 
 VPN Client --> PING IP --> interne Server/Clients 
 VPN Client --> PING NAME --> interne Server/Clients 
 VPN Client --> shares/rdp/etc --> interne Server/Clients 
 Interne Server/Clients --> PING IP --> VPN POOL IP des Clients 
 
 Wenn ich den Namen des VPN Clients anpinge, bekomme ich seine letzte interne IP-Adresse und nicht seine aktuelle VPN Adresse (10.242.2.X)...es geht auch alles weitere nicht...share/rdp/msra/etc...auch nicht wenn ich direkt die VPN IP eingebe und nicht den Namen. 
 Ich glaube nicht, dass es an meinen Einstellungen in der UTM liegt, da es ja in die andere Richtung zu 100% funktioniert, sondern eher noch etwas an meinem AD-DNS-Server eingestellt werden muss...oder ? 
 Zuerst hatte ich in meinem AD-DNS-Server an die DNS-Weiterleitungen gedacht (Und auch Testweise die interne IP der UTM eingestellt)aber da mein AD-DNS die Client IP-Adresse ja aufl&ouml;sen kann (mit der "alten" internen IP) denkt er, dass der Client einfach Offline ist und leitet auch nichts weiter...wenn ich mich hier irre, korrigiert mich bitte. 
 Das UTM Handbuch sowie diverse google Suchen haben mich leider nicht weiter gebracht :-( Vielleicht ja jemand von euch noch eine Idee!

Jas Man · Accepted Answer

Hi Dennis, 
 ich vermute Du hast hier zwei voneinander unabh&auml;nige Probleme: einmal das DNS- und einmal ein Zugriffs-Problem. 
 DNS-Problem Der VPN Client muss die IP Adresse des AD DNS Servers erhalten damit er wei&szlig; wo er sich mit der VPN IP registrieren, und DNS Anfragen hinsenden soll. Entsprechend muss die UTM den Zugriff aus dem UTM VPN Subnetz zum Server Subnetz f&uuml;r AD DNS erlauben. Falls bei Dir der AD DHCP Server die DNS Eintr&auml;ge registriert, m&uuml;ssen die UTM VPN Clients ihre IP Adresse vom AD DHCP Server bekommen und nicht von der UTM. Ich glaub das l&auml;sst sich nicht umsetzen, bin mir da aber nicht sicher. Alternativ kannst Du im AD DNS erlauben, das sich die Clients direkt registrieren d&uuml;rfen. 
 Zugriffs-Problem Wenn Du selbst per IP nicht auf die VPN Clients kommst, dann blockt hier vermutlich die UTM Firewall. Der Ping zwischen den Subnetzen wird je nach Einstellung in der Firewall generell erlaubt oder geblockt. Daher sagt der Ping Test erstmal nicht so viel aus. Hast Du bei der VPN Konfiguration das H&auml;kchen gesetzt, dass er die Regeln f&uuml;r die Firewall automatisch erstellt? Dann existiert nur eine Regel f&uuml;r den Zugriff vom VPN Netz zum LAN. F&uuml;r die umgekehrte Richtung legt die UTM keine Regel automatisch an. Falls Du den Haken nicht gesetzt, und alle Regeln selbst erstellt hast, passt hier vermutlich auch irgend etwas nicht. In beiden F&auml;llen solltest Du im Firewall Monitor sehen k&ouml;nnen ob der Zugriff aus dem LAN zum VPN Subnetz geblockt wird. Ich empfehle den Haken f&uuml;r die automatische Firewall Konfiguration in der VPN Konfiguration nicht zu setzen, und die Regeln alle manuell zu erstellen, so wie Du sie brauchst. Alles andere ist zwar bequem, aber entspricht nicht dem Sicherheits-Gedanken. 
 Gru&szlig; 
 Jas Man

Jas Man · Answer

Hi Dennis, 
 die AD-Authentifizierung der UTM d&uuml;rfte hier keine Rolle spielen, da die AD Clients ihre DNS Eintr&auml;ge mit ihrem Dom&auml;nen-Computerkonto eintragen bzw. aktualisieren. Das siehst Du wenn Du dir die Sicherheits-Einstellungen von so nem DNS Eintrag mal anschaust. Owner m&uuml;sste Computerkonto$ sein. 
 Hab so spontan auch keine Idee warum der Client sich nicht registrieren kann. K&ouml;nnte es vielleicht sein, dass man das Subnetz des VPNs zu einer AD-Site hinzuf&uuml;gen muss damit es vom AD als sicher angesehen wird? 
 Ansonsten schalte den Debug Log vom AD DNS Server mal an. Dort sollte man weitere Details sehen k&ouml;nnen. 
 Gru&szlig; 
 Jas

DNS - Internes Netzwerk zu SSL VPN (gelöst)

Submitted a Tech Support Case lately from the Support Portal?