6
FortiGate VPN - register DNS
Hi Zusammen,
habe ein Problem mit der DNS-Registrierung bei folgendes Szenario (Kurzform, der Beitrag an dem ich eben 20 Minuten getippt habe wurde wohl einfach verworfen, weil ich den Browser minimiert habe...):
Client - WinXP
ServerA - W2K3 (DHCP)
ServerB - W2K3 (DNS)
Firewall - FortiGate 200A (eigener DHCP für VPN-Zugriffe)
Was geht
Lokale Clients erhalten vom Win-DHCP eine IP und werden am DNS-Server registiert.
VPN Clients erhalten vom Forti-DHCP eine IP in einem anderem Bereich und die DNS-Server zur Auflösung.
Ping anhand der IP geht in beide Richtungen. DNS-Auflösung geht vom VPN-Client in das lokale Netz.
Was nicht geht
Lokale Rechner können die VPN-Clients nicht anhand des Namens ansprechen (IP geht ja), da die DNS-Einträge nicht aktualisiert werden.
Ursache
Der Win-DHCP-Server regisitriert seine Clients automatisch am DNS-Server.
Beim Fortigate-DHCP geschieht dies nicht. Die DNS-Einträge werden nicht aktualisiert (oder erstellt).
Was ich suche
Ich brauche eine Möglichkeit, VPN-Clients am DNS-Server zu registrieren. Ein "ipconfig /registerdns" klappt nicht.
Lokal ist alles kein Problem, da der Win-DHCP diese Aufgabe übernimmt.
Ich muss aber von einem lokalen Rechner aus die VPN-Clients anhand des Namens auflösen können, da diese bei jeder EInwahl eine andere (zufällige) IP bekommen.
Hilfe
Hat da jemand eine Idee? Gibt es bei der FortiGate auch eine Möglichkeit, dass der DHCP-Server die DNS-Registrierung übernimmt?
habe ein Problem mit der DNS-Registrierung bei folgendes Szenario (Kurzform, der Beitrag an dem ich eben 20 Minuten getippt habe wurde wohl einfach verworfen, weil ich den Browser minimiert habe...):
Client - WinXP
ServerA - W2K3 (DHCP)
ServerB - W2K3 (DNS)
Firewall - FortiGate 200A (eigener DHCP für VPN-Zugriffe)
Was geht
Lokale Clients erhalten vom Win-DHCP eine IP und werden am DNS-Server registiert.
VPN Clients erhalten vom Forti-DHCP eine IP in einem anderem Bereich und die DNS-Server zur Auflösung.
Ping anhand der IP geht in beide Richtungen. DNS-Auflösung geht vom VPN-Client in das lokale Netz.
Was nicht geht
Lokale Rechner können die VPN-Clients nicht anhand des Namens ansprechen (IP geht ja), da die DNS-Einträge nicht aktualisiert werden.
Ursache
Der Win-DHCP-Server regisitriert seine Clients automatisch am DNS-Server.
Beim Fortigate-DHCP geschieht dies nicht. Die DNS-Einträge werden nicht aktualisiert (oder erstellt).
Was ich suche
Ich brauche eine Möglichkeit, VPN-Clients am DNS-Server zu registrieren. Ein "ipconfig /registerdns" klappt nicht.
Lokal ist alles kein Problem, da der Win-DHCP diese Aufgabe übernimmt.
Ich muss aber von einem lokalen Rechner aus die VPN-Clients anhand des Namens auflösen können, da diese bei jeder EInwahl eine andere (zufällige) IP bekommen.
Hilfe
Hat da jemand eine Idee? Gibt es bei der FortiGate auch eine Möglichkeit, dass der DHCP-Server die DNS-Registrierung übernimmt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177587
Url: https://administrator.de/contentid/177587
Printed on: April 18, 2024 at 08:04 o'clock
6 Comments
Latest comment
Sind die VPN-Clients an der Domäne angemeldet, oder loggen die sich offline ein und stellen erst dann eine Verbindung her?
Welcher DNS-Suffix wird an die VPN-Clients verteilt?
Was bekommen die VPN-Clients als DNS-Server mitgeteilt?
Welcher DNS-Suffix wird an die VPN-Clients verteilt?
Was bekommen die VPN-Clients als DNS-Server mitgeteilt?
hmm, das wäre noch zu testen - bisher habe ich nur das netzwerkkabel testweise getauscht (lokal / externer zugriff)
der dns-suffix, der verteilt wird ist "wpe.local" (per dns option 15)
man kann dem lan-adapter auch einen suffix mitgeben - allerdings hats weder mit noch ohne geklappt (ipconfig /registerdns)
der haken beim adapter (dns tab) für "adressen dieser verbindung in dns registrieren" ist natürlich aktiv.
der vpn-client bekommt unsere lokalen nameserver via dns-option 5.
der client hat ja auch keine probleme mit der namensauflösung. es geht um interne rechner (bsp. der server) - dieser benötigt die ip, welcher der vpn-client bei der einwahl erhalten hat.
edit
habe das automatische registrieren am dns durch den win-dhcp mal ausgeschaltet und den client (lokal) mit "ipconfig /registerdns" angemeldet.
das klappt wunderbar. nur wenn er über das vpn kommt, klappt dieser befehl nicht.
es scheint also irgendwie an der firewall o.Ä. zu hängen.
firewall-einstellungen zwischen vpn-lan / lan-vpn stehen auf allow-all und die vpn-clients bekommen eine ip im gleichen subnetz
vpn clients: xxx.xxx.253.xxx
lokale clients: xxx.xxx.3-10.xxx
subnet jeweils 255.255.0.0
update
habe mal im lokalen netz die ip auf eine vpn-ip gestellt (xxx.xxx.253.xxx) - der client registriert sich sofort beim DNS (ipconfig /register dns klappt auch).
es scheint also wirklich an der firewall zu liegen. nur - was kann man da noch mehr einstellen, außer alles erlaueben?
hilfe...
der dns-suffix, der verteilt wird ist "wpe.local" (per dns option 15)
man kann dem lan-adapter auch einen suffix mitgeben - allerdings hats weder mit noch ohne geklappt (ipconfig /registerdns)
der haken beim adapter (dns tab) für "adressen dieser verbindung in dns registrieren" ist natürlich aktiv.
der vpn-client bekommt unsere lokalen nameserver via dns-option 5.
der client hat ja auch keine probleme mit der namensauflösung. es geht um interne rechner (bsp. der server) - dieser benötigt die ip, welcher der vpn-client bei der einwahl erhalten hat.
edit
habe das automatische registrieren am dns durch den win-dhcp mal ausgeschaltet und den client (lokal) mit "ipconfig /registerdns" angemeldet.
das klappt wunderbar. nur wenn er über das vpn kommt, klappt dieser befehl nicht.
es scheint also irgendwie an der firewall o.Ä. zu hängen.
firewall-einstellungen zwischen vpn-lan / lan-vpn stehen auf allow-all und die vpn-clients bekommen eine ip im gleichen subnetz
vpn clients: xxx.xxx.253.xxx
lokale clients: xxx.xxx.3-10.xxx
subnet jeweils 255.255.0.0
update
habe mal im lokalen netz die ip auf eine vpn-ip gestellt (xxx.xxx.253.xxx) - der client registriert sich sofort beim DNS (ipconfig /register dns klappt auch).
es scheint also wirklich an der firewall zu liegen. nur - was kann man da noch mehr einstellen, außer alles erlaueben?
hilfe...
aha, komme der sache näher!
es ist ein simpler haken bei "Adressen dieser Verbindung in DNS registrieren" - und zwar ist das überall drin nur bei den PPP Adapter des VPN nicht.
Macht man ihn rein, klappts automatisch und auch mit "ipconfig /registerdns".
jetzt suche ich nur eine möglichkeit, diesen haken auf allen rechnern zu setzten. am liebsten per GPO.
habe schon was gefunden (GPO für erweiterte TCP/IP) doch ist das nur die vorrausetztung, dass das überhaupt funktioniert. man muss wohl für jeden adapter einzeln den haken trotzdem setzten.
wie kann ich für alle adapter (oder zumindest den "fortissl" PPP adapter diesen haken per GPO setzten? (oder per registry, kix o.Ä.)? dann wäre mein problem gelöst
es ist ein simpler haken bei "Adressen dieser Verbindung in DNS registrieren" - und zwar ist das überall drin nur bei den PPP Adapter des VPN nicht.
Macht man ihn rein, klappts automatisch und auch mit "ipconfig /registerdns".
jetzt suche ich nur eine möglichkeit, diesen haken auf allen rechnern zu setzten. am liebsten per GPO.
habe schon was gefunden (GPO für erweiterte TCP/IP) doch ist das nur die vorrausetztung, dass das überhaupt funktioniert. man muss wohl für jeden adapter einzeln den haken trotzdem setzten.
wie kann ich für alle adapter (oder zumindest den "fortissl" PPP adapter diesen haken per GPO setzten? (oder per registry, kix o.Ä.)? dann wäre mein problem gelöst
Nimm Regshot, dann findest du den entsprechenden Key.
Allerdings kann bei unterschiedlichen Computern der Eintrag wo anders stehen.
Die Funktion den DHCP-Server DNS-Einträge machen zu lassen ist übrigens völlig überflüssig.
Windows Domain-Clients machen das immer von alleine.
Allerdings kann bei unterschiedlichen Computern der Eintrag wo anders stehen.
Die Funktion den DHCP-Server DNS-Einträge machen zu lassen ist übrigens völlig überflüssig.
Windows Domain-Clients machen das immer von alleine.
ja, mit regshot habe ich es schon versucht aber da kam nichts gescheites raus..
er erstellte nur nen key mit einer cryptischen adapter-id, die bei den rechnern vermutlich jedes mal unterschiedlich ist.. (aber nicht getestet).
die dhcp-register-funktion ist überflüssig, richtig - allerdings haben wir noch alte nt/win98 clients die das nicht von selbst machen..
es wäre jedoch super, wenn es ne GPO gäbe um (zur not allen) adaptern diesen dns-register-haken zu geben.. gibts da nichts?
er erstellte nur nen key mit einer cryptischen adapter-id, die bei den rechnern vermutlich jedes mal unterschiedlich ist.. (aber nicht getestet).
die dhcp-register-funktion ist überflüssig, richtig - allerdings haben wir noch alte nt/win98 clients die das nicht von selbst machen..
es wäre jedoch super, wenn es ne GPO gäbe um (zur not allen) adaptern diesen dns-register-haken zu geben.. gibts da nichts?
Kryptisch ist das nicht.
Unter
Da kannst du dir den richtigen nach dem Namen etc. raussuchen und unter
Dann brauchst du nur noch den Wert ändern:
Du könntest auch einfach
Das klappt aber nur so lange, wie niemand den Adapter umbenennt.
Unter
HKLM\System\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} sind alle Netzwerkadapter aufgelistet.Da kannst du dir den richtigen nach dem Namen etc. raussuchen und unter
NetCfgInstanceId ist dann die Adapter-ID.Dann brauchst du nur noch den Wert ändern:
HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<NetCfgInstanceId>\RegistrationEnabled: 0x00000001Du könntest auch einfach
netsh interface ip set dns name=<interface> source=dhcp register=primary ausführen.Das klappt aber nur so lange, wie niemand den Adapter umbenennt.
