5
Keine DNS per VPN mit WLAN
Folgendes Szenario bzw. Problem:
wir haben hier einen SBS2003 mit Exchange. Davor eine Debian-Firewall mit OpenVPN. Das Gesmatkonstrukt läuft eigentlich auch ganz gut und machte bislang keine Faxen.
Dazu haben wir noch viele Notebooks, die halt entsprechend per openvpn auf das Firmennetzwerk zugreifen. Vier dieser Notebooks sind derzeit an einem Ort, wo auch WLAN zur Verfügung steht. Nun das Problem... zwei dieser vier Notebooks haben irgendwie Probleme mit dem DNS-Server; die anderen beiden funktionieren tadellos! Die zwei, die nicht gehen, können sich zwar mit openvpn ins VPN einwählen... dort auch ganz normal per \\111.222.333.444 auf die Server kommen, jedoch nicht über \\servername.
Wenn ich einen PING auf den Servernamen ausführe, bekomme ich den Ping unseres Webservers (im Rechenzentrum), der anscheinend irgendwie als Relay für das VPN dient (ich hab das VPN nicht eingerichtet und bin dafür eigentlich auch nicht verantwortlich, also kA wie genau das da abläuft).
Ein PING auf irgendwelche Hostnamen wie zB "ping jgadsbsuzsddfs" führt immer einen Ping auf den Webserver aus.
Problem ist hier halt, dass der Zugriff auf die Netzlaufwerke, die per net use \\servername\fregabe gemapped sind nicht geht. Das hab ich zwar nun "unschön" gelöst indem ich das mapping auf \\server-ip\freigabe umgemünzt habe gelöst aber das Wahre ist diese Lösung ja nicht. Auch hab ich einen zwieten Lösungsweg gefunden, indem ich den fileserver in die host-datei eintrage (back to the roots), aber das ist ja schon mal garnicht die master-lösung. weiterhin besteht das Problem, dass man den Exchange nicht erreichen kann, da dieser auch über den Namen und nicht über die IP eingerichtet ist - das kann man im Outlook auch nicht ändern ohne jetzt das Profil zu löschen etc und das geht nicht da das Notebook leider viele km weit weg steht.
Eins der Notebooks hatte ich dann heute spät Abends vor mir und hab es mal alles durchgetestet. Leider nur mit mäßigem Erfolg. Was ich aber feststelen konnte: wenn ich das Notebook über ein LAN-Kabel betreibe und dort per VPN verbinde, geht alles wunderbar! Stecke ich das Kabel jedoch aus, verbinde WLAN und dann VPN, taucht das oben skizzierte Problem mit den fehlenden DNS wieder auf. Nach mehrfachen hin- und her-testen passierte immer das selbe. Also mit Kabel geht's, mit WLAN nicht.
In beiden Netzwerkkarten (LAN und WLAN) ist in den Einstellungen kein DNS-Server eingetragen, d.h. halt, dieser wird automatisch bezogen. Alle anderen Einstellungen sind ebenfalls die selben. (trage ich die IP des DNS-Servers in die Karte ein, funktioniert gar nix mehr in sachen DNS, also nimmt er ihn nicht an.)
Ist jemanden ein solches Phänomen schon mal untergekommen? Evtl. gibt es ja eine banale Lösung die mich anlacht aber ich schau einfach zu weit um sie zu sehen...?!
Für Hilfe jeglicher Art wäre ich sehr dankbar. Leider geht das Notebook ab morgen früh wieder weg und ich komme erst am DO wieder dran aber Infos sammeln wäre vorab sicher nicht das blödeste.
Danke und Grüße, Luk
wir haben hier einen SBS2003 mit Exchange. Davor eine Debian-Firewall mit OpenVPN. Das Gesmatkonstrukt läuft eigentlich auch ganz gut und machte bislang keine Faxen.
Dazu haben wir noch viele Notebooks, die halt entsprechend per openvpn auf das Firmennetzwerk zugreifen. Vier dieser Notebooks sind derzeit an einem Ort, wo auch WLAN zur Verfügung steht. Nun das Problem... zwei dieser vier Notebooks haben irgendwie Probleme mit dem DNS-Server; die anderen beiden funktionieren tadellos! Die zwei, die nicht gehen, können sich zwar mit openvpn ins VPN einwählen... dort auch ganz normal per \\111.222.333.444 auf die Server kommen, jedoch nicht über \\servername.
Wenn ich einen PING auf den Servernamen ausführe, bekomme ich den Ping unseres Webservers (im Rechenzentrum), der anscheinend irgendwie als Relay für das VPN dient (ich hab das VPN nicht eingerichtet und bin dafür eigentlich auch nicht verantwortlich, also kA wie genau das da abläuft).
Ein PING auf irgendwelche Hostnamen wie zB "ping jgadsbsuzsddfs" führt immer einen Ping auf den Webserver aus.
Problem ist hier halt, dass der Zugriff auf die Netzlaufwerke, die per net use \\servername\fregabe gemapped sind nicht geht. Das hab ich zwar nun "unschön" gelöst indem ich das mapping auf \\server-ip\freigabe umgemünzt habe gelöst aber das Wahre ist diese Lösung ja nicht. Auch hab ich einen zwieten Lösungsweg gefunden, indem ich den fileserver in die host-datei eintrage (back to the roots), aber das ist ja schon mal garnicht die master-lösung. weiterhin besteht das Problem, dass man den Exchange nicht erreichen kann, da dieser auch über den Namen und nicht über die IP eingerichtet ist - das kann man im Outlook auch nicht ändern ohne jetzt das Profil zu löschen etc und das geht nicht da das Notebook leider viele km weit weg steht.
Eins der Notebooks hatte ich dann heute spät Abends vor mir und hab es mal alles durchgetestet. Leider nur mit mäßigem Erfolg. Was ich aber feststelen konnte: wenn ich das Notebook über ein LAN-Kabel betreibe und dort per VPN verbinde, geht alles wunderbar! Stecke ich das Kabel jedoch aus, verbinde WLAN und dann VPN, taucht das oben skizzierte Problem mit den fehlenden DNS wieder auf. Nach mehrfachen hin- und her-testen passierte immer das selbe. Also mit Kabel geht's, mit WLAN nicht.
In beiden Netzwerkkarten (LAN und WLAN) ist in den Einstellungen kein DNS-Server eingetragen, d.h. halt, dieser wird automatisch bezogen. Alle anderen Einstellungen sind ebenfalls die selben. (trage ich die IP des DNS-Servers in die Karte ein, funktioniert gar nix mehr in sachen DNS, also nimmt er ihn nicht an.)
Ist jemanden ein solches Phänomen schon mal untergekommen? Evtl. gibt es ja eine banale Lösung die mich anlacht aber ich schau einfach zu weit um sie zu sehen...?!
Für Hilfe jeglicher Art wäre ich sehr dankbar. Leider geht das Notebook ab morgen früh wieder weg und ich komme erst am DO wieder dran aber Infos sammeln wäre vorab sicher nicht das blödeste.
Danke und Grüße, Luk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 129000
Url: https://administrator.de/contentid/129000
Printed on: April 25, 2024 at 17:04 o'clock
5 Comments
Latest comment
Ein PING auf irgendwelche Hostnamen wie zB "ping jgadsbsuzsddfs" führt immer einen Ping auf den Webserver aus.
Lass mich raten: Eure AD-Domain heißt genauso wie eure Web-Domain und eurer Webserver ist mit einem Wildcard-Eintrag eingetragen.
Außerdem sind die Laptops Domänenmitglieder.
Das würde so ein Verhalten erklären.
Ist bei den Clients eingetragen, dass sie als DNS-Server den internen benutzen sollen?
http://openvpn.net/index.php/open-source/documentation/howto.html - "Pushing DHCP options to clients"
Grüße
Max
Hallo Max, vielen Dank für diene Antwort.
den ersten Part hast du vollkommen richtig erraten. AD-Domain=Web-Domain, Notebooks sind in der Domäne.
den zweiten Part.. folgendes ist in der server.conf vom openvpn eingetragen:
push "dhcp-option DNS 192.168.6.1"
push "dhcp-option WINS 192.168.6.1"
ist also eingetragen, ja.
Das komische ist halt für mich, dass es bislang immer funktioniert hat und nun plötzlich 2 (+XX) Fälle auftreten, wo es halt nicht mehr geht. Und das kuriose ist ja, dass es per LAN geht, per WLAN jedoch nicht?! Hatte eins der Notebooks gestern ja zu hause... wlan+vpn, verbindung steht aber keine richtige dns. lan+vpn, funktioniert einwandfrei.
hm....
gruß, luk
edit ----
hier ganz aktuell das vpn-log von vorhin:
wobei notebook107 das entsprechende notebook ist, das nicht funktioniert. 217.225.143.102 ist die IP des Hotels, wo es sich gerade befindet. 5min vorher hat sich ein anderes notebook eingewählt, exakt das selbe log, und dort funktioniert es.
den ersten Part hast du vollkommen richtig erraten. AD-Domain=Web-Domain, Notebooks sind in der Domäne.
den zweiten Part.. folgendes ist in der server.conf vom openvpn eingetragen:
push "dhcp-option DNS 192.168.6.1"
push "dhcp-option WINS 192.168.6.1"
ist also eingetragen, ja.
Das komische ist halt für mich, dass es bislang immer funktioniert hat und nun plötzlich 2 (+XX) Fälle auftreten, wo es halt nicht mehr geht. Und das kuriose ist ja, dass es per LAN geht, per WLAN jedoch nicht?! Hatte eins der Notebooks gestern ja zu hause... wlan+vpn, verbindung steht aber keine richtige dns. lan+vpn, funktioniert einwandfrei.
hm....
gruß, luk
edit ----
hier ganz aktuell das vpn-log von vorhin:
Tue Nov 10 09:36:11 2009 notebook107/217.225.143.102:1429 MULTI: Learn: 192.168.2.46 -> notebook107/217.225.143.102:1429
Tue Nov 10 09:36:11 2009 notebook107/217.225.143.102:1429 MULTI: primary virtual IP for latitude107/217.225.143.102:1429: 192.168.2.46
Tue Nov 10 09:36:12 2009 notebook107/217.225.143.102:1429 PUSH: Received control message: 'PUSH_REQUEST'
Tue Nov 10 09:36:12 2009 notebook107/217.225.143.102:1429 SENT CONTROL [notebook107]: 'PUSH_REPLY,route 192.168.6.0 255.255.255.0,dhcp-option DNS 192.168.6.1,dhcp-option WINS 192.168.6.1,route 192.168.2.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.2.46 192.168.2.45' (status=1) wobei notebook107 das entsprechende notebook ist, das nicht funktioniert. 217.225.143.102 ist die IP des Hotels, wo es sich gerade befindet. 5min vorher hat sich ein anderes notebook eingewählt, exakt das selbe log, und dort funktioniert es.
So, ich habe nun ein client-log von einem Notebook, wo es geht und von einem Notebook, wo es nicht geht. Prinzipiell sehen beide Logs gleich aus, beide bekommen die DHCP und WINS IPs gepushed, der einzige unterschied ist ziemlich wiet am Anfang:
das steht ziemlich weit oben ca 12 mal. Abstand ist ca 50 Sekunden. Aber danach kommt:
d.h. also, dass er trotzdem den Host zur IP aufgelöst bekommt. Ansonsten ist alles im Log gleich (ausser das durchgehen der verschiedenen Adapter aber das ist ja klar.)
In beiden Logs steht auch wie oben erwähnt, dass alles gepushed wird:
also auch kein Fehler, dass hie rirgendwas nicht funktionieren würde mit dem DHCP
Tue Nov 10 12:51:02 2009 RESOLVE: Cannot resolve host address: hostname.no-ip.biz: [NO_DATA] The requested name is valid but does not have an IP address.das steht ziemlich weit oben ca 12 mal. Abstand ist ca 50 Sekunden. Aber danach kommt:
Tue Nov 10 12:51:57 2009 UDPv4 link remote: xx.xxx.123.123:1194d.h. also, dass er trotzdem den Host zur IP aufgelöst bekommt. Ansonsten ist alles im Log gleich (ausser das durchgehen der verschiedenen Adapter aber das ist ja klar.)
In beiden Logs steht auch wie oben erwähnt, dass alles gepushed wird:
Tue Nov 10 12:52:05 2009 SENT CONTROL [openvpnserver.domain.de]: 'PUSH_REQUEST' (status=1)
Tue Nov 10 12:52:05 2009 PUSH: Received control message: 'PUSH_REPLY,route 192.168.6.0 255.255.255.0,dhcp-option DNS 192.168.6.1,dhcp-option WINS 192.168.6.1,route 192.168.2.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.2.46 192.168.2.45'
Tue Nov 10 12:52:05 2009 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:5: topology (2.0.9)also auch kein Fehler, dass hie rirgendwas nicht funktionieren würde mit dem DHCP
Hi Luk,
ich weiß nicht ob Du das beschriebene Problem bereits gelöst hast. Falls nicht, dann hätte ich da was für dich. Es hat nichts mit der OpenVPN Konfiguration zu tun. Die zwei Notebooks auf denen es nicht funktioniert sind wahrscheinlich Win XP Notebooks, richtig?
Unter XP gibt es das Problem, daß WLAN Settings standardmäßig Vorrang vor denen von drahtgebundenen Adaptern haben (und der virtuelle VPN Adapter wird in diesem Fall als drahtgebunden betrachtet).
Das führt in deinem Fall dazu, daß Du zwar das VPN einwandfrei aufbauen kannst, aber sobald Du eine DNS Anfrage startest wird diese an den DNS Server geschickt der am WLAN Adapter eingetragen ist. Das ist i.d.R. der des ISPs und der der weiß natürlich nichts von den internen Maschinen am anderen Ende des Tunnels. Da die AD Domän aber den gleichen Name hat wie die Web-Domäne werden diese Anfragen immer auf den Web-Server aufgelöst.
Des Rätsels Lösung liegt in der Reihenfolge der Adapter. Diese kann unter XP folgendermaßen verändert werden:
Öffne: Start -> Einstellungen -> Netzwerkverbindungen
Menü: Erweitert -> Erweiterte Einstellungen
Auf dem Reiter "Netzwerkkarten und Bindungen" gibt es die Liste "Verbindungen". Hier die "Drahtlose Netzwerkverbundung" ganz nach unten schieben. Alles schließen und schon sollte es funktionieren.
Testen läßt sich das ziemlich einfach, indem Du ein nslookup auf den Namen eines internen Servers machst. Bei der XP Standardreihenfolge der Adapter wird hier der DNS Server des WLAN Adapters angezeigt. Nach der Änderung der Reihenfolge wird der DNS Server des VPNs angezeigt.
Bis dann Thomas
ich weiß nicht ob Du das beschriebene Problem bereits gelöst hast. Falls nicht, dann hätte ich da was für dich. Es hat nichts mit der OpenVPN Konfiguration zu tun. Die zwei Notebooks auf denen es nicht funktioniert sind wahrscheinlich Win XP Notebooks, richtig?
Unter XP gibt es das Problem, daß WLAN Settings standardmäßig Vorrang vor denen von drahtgebundenen Adaptern haben (und der virtuelle VPN Adapter wird in diesem Fall als drahtgebunden betrachtet).
Das führt in deinem Fall dazu, daß Du zwar das VPN einwandfrei aufbauen kannst, aber sobald Du eine DNS Anfrage startest wird diese an den DNS Server geschickt der am WLAN Adapter eingetragen ist. Das ist i.d.R. der des ISPs und der der weiß natürlich nichts von den internen Maschinen am anderen Ende des Tunnels. Da die AD Domän aber den gleichen Name hat wie die Web-Domäne werden diese Anfragen immer auf den Web-Server aufgelöst.
Des Rätsels Lösung liegt in der Reihenfolge der Adapter. Diese kann unter XP folgendermaßen verändert werden:
Öffne: Start -> Einstellungen -> Netzwerkverbindungen
Menü: Erweitert -> Erweiterte Einstellungen
Auf dem Reiter "Netzwerkkarten und Bindungen" gibt es die Liste "Verbindungen". Hier die "Drahtlose Netzwerkverbundung" ganz nach unten schieben. Alles schließen und schon sollte es funktionieren.
Testen läßt sich das ziemlich einfach, indem Du ein nslookup auf den Namen eines internen Servers machst. Bei der XP Standardreihenfolge der Adapter wird hier der DNS Server des WLAN Adapters angezeigt. Nach der Änderung der Reihenfolge wird der DNS Server des VPNs angezeigt.
Bis dann Thomas
Hola hotosy,
danke für die Antwort, aber ich habe das Problem in der Tat bereits gelöst. Kleine aber doch rehct nervige Änderung, die du da beschreibst. Genau das war die Lösung bei mir.
Dennoch vielen Dank!
danke für die Antwort, aber ich habe das Problem in der Tat bereits gelöst. Kleine aber doch rehct nervige Änderung, die du da beschreibst. Genau das war die Lösung bei mir.
Dennoch vielen Dank!
