4
DNS-Auflösung über VPN für Clients im Remotenetzwerk
Wie konfiguriere ich einen Windows-VPN-Client richtig, so dass er Rechnernamen über das VPN im Remotenetzwerk auflösen kann? Schon ein Artikel diesbezüglich vorhanden?
Habe folgendes konfiguriert, funktioniert meistens, DNS-Auflösung dauert aber lange, und manchmal geht es auch nicht:
Server: Win2008, DHCP, DNS mit Zone domainXY.local, Routing und RAS über PPTP
Client: XP/Vista/Win7, hinter NAT-Firewall/Router (z.B. FritzBox), PPTP-Verbindung ist mit verbindungsspezifischem Domänensuffix domainXY.local konfiguriert, bekommt vom DHCP korrekt seine IP, registriert sich auch korrekt in der Zone domainXY.local bzw der DHCP macht das für ihn.
Rein IP+SMB+etc. mäßig funktioniert alles, nur dauert die Auflösung von Clients im Remotenetzwerk meistens sehr lange, und manchmal gehts gar nicht.
Fragen:
1. Muß der Benutzer am Client beim Zugriff über Explorer/SMB auf z.B. ein Share nun zwingend den FQDN angeben, oder kann man sich auch darauf verlassen, dass Windows bei den Auflösungsversuchen brav automatisch das verbindungsspezifische Suffix domainXY.local anhängt und ausprobiert?
2. Da es im lokalen Netz des Clients keinen DNS mit der Zone domainXY.local gibt, sondern nur einen Router mit einem DNS-Proxy möchte man ja verhindern, dass letzterer überhaupt gefragt wird. Ist es mit dem konfigurieren des verbindungsspezifischen Suffix auf der PPTP-Verbindung getan? Läuft die Auflösung bei Angabe des FQDN nun über den DNS im Remotenetzwerk? Oder gibt es noch etwas anderes, was man tun kann?
3. Oder gibt es für eine saubere DNS-Auflösung der Rechner im Remotenetzwerk nur die Lösung mit einem lokalen DNS, z.B. mit einer Sekundären Zone für domainXY.local?
Server: Win2008, DHCP, DNS mit Zone domainXY.local, Routing und RAS über PPTP
Client: XP/Vista/Win7, hinter NAT-Firewall/Router (z.B. FritzBox), PPTP-Verbindung ist mit verbindungsspezifischem Domänensuffix domainXY.local konfiguriert, bekommt vom DHCP korrekt seine IP, registriert sich auch korrekt in der Zone domainXY.local bzw der DHCP macht das für ihn.
Rein IP+SMB+etc. mäßig funktioniert alles, nur dauert die Auflösung von Clients im Remotenetzwerk meistens sehr lange, und manchmal gehts gar nicht.
Fragen:
1. Muß der Benutzer am Client beim Zugriff über Explorer/SMB auf z.B. ein Share nun zwingend den FQDN angeben, oder kann man sich auch darauf verlassen, dass Windows bei den Auflösungsversuchen brav automatisch das verbindungsspezifische Suffix domainXY.local anhängt und ausprobiert?
2. Da es im lokalen Netz des Clients keinen DNS mit der Zone domainXY.local gibt, sondern nur einen Router mit einem DNS-Proxy möchte man ja verhindern, dass letzterer überhaupt gefragt wird. Ist es mit dem konfigurieren des verbindungsspezifischen Suffix auf der PPTP-Verbindung getan? Läuft die Auflösung bei Angabe des FQDN nun über den DNS im Remotenetzwerk? Oder gibt es noch etwas anderes, was man tun kann?
3. Oder gibt es für eine saubere DNS-Auflösung der Rechner im Remotenetzwerk nur die Lösung mit einem lokalen DNS, z.B. mit einer Sekundären Zone für domainXY.local?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 132787
Url: https://administrator.de/contentid/132787
Printed on: April 20, 2024 at 01:04 o'clock
4 Comments
Latest comment
ad 1.)
Primär zählt als Ziel für ihn die konfigurierte DNS IP. Wenn dieser DNS die Domain domainxy.local auflösen kann funktioniert es.
ad 2.)
Nein, damit ist es natürlich nicht getan ! Wichtig ist wiederum die DNS IP bzw. die DNS Reihenfolge der Server. Mit ipconfig -all oder nslookup kannst du das prüfen.
ad 3.)
Das wäre ein Lösung. Du kannst aber auch schlicht und einfach bei den Remote Clients die Ziele im Netzwerk statisch eintragen mit einer IP und Namen in die Datei lmhosts oder hosts. Wie das geht kannst du hier nachlesen:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Da meist nur ein Server mit Shares das Ziel ist ist das zu verkraften.
Andere Möglichkeit ist unter der PPTP Verbindung bei TCP/IP das VPN Netzwerk immer als Gateway anzuklicken. Dann geht jeglicher Verkehr bei aktivierter PPTP Session in den Tunnel. Dann musst du aber dafür sorgen das am Ziel ein Internet Zugriff möglich ist.
Primär zählt als Ziel für ihn die konfigurierte DNS IP. Wenn dieser DNS die Domain domainxy.local auflösen kann funktioniert es.
ad 2.)
Nein, damit ist es natürlich nicht getan ! Wichtig ist wiederum die DNS IP bzw. die DNS Reihenfolge der Server. Mit ipconfig -all oder nslookup kannst du das prüfen.
ad 3.)
Das wäre ein Lösung. Du kannst aber auch schlicht und einfach bei den Remote Clients die Ziele im Netzwerk statisch eintragen mit einer IP und Namen in die Datei lmhosts oder hosts. Wie das geht kannst du hier nachlesen:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Da meist nur ein Server mit Shares das Ziel ist ist das zu verkraften.
Andere Möglichkeit ist unter der PPTP Verbindung bei TCP/IP das VPN Netzwerk immer als Gateway anzuklicken. Dann geht jeglicher Verkehr bei aktivierter PPTP Session in den Tunnel. Dann musst du aber dafür sorgen das am Ziel ein Internet Zugriff möglich ist.
Prinzipiell sehe ich das genau so wie Du, das Problem ist die Reihenfolge der DNS-Server. Und da sich der Client den primären DNS-Server vom Router holt, in der Regel die IP des Routers selbst, wird dieser zuerst gefragt.
hosts manuell zu konfigurieren ist keine Option. Es geht um beliebige Clients, und potentiell mehrere Shares, u.U. auch mal mit wechselnden IPs.
Auf die Idee mit dem Häkchen 'Gateway für das Remotenetzwek verwenden' wie es ab Vista heißt, o.ä. bin ich auch schon gekommen. Internet über das Remotenetzwerk ist möglich...
Was mich Wurmt: eigentlich sollte es ja gar nicht funktionieren. Vor allem nicht, weil momentan in der Testkonfiguration o.g. Häkchen überhaupt nicht gesetzt ist. Bleibt nicht mal die Möglichkeit, dass der Name über broadcast aufgelöst wird... dieser geht ja immer auf die broadcastadresse des eigenen Netzes, nicht auf die des Remotnetzwerkes... oder? oder auch zusätzlich auf die broadcastadresse des Remotenetzwerkes? (arg, ich glaub jetzt muss wireshark dran glauben... ich hasse es...)
Jemand noch eine Idee? Oder einen weiteren sauberen Konfigurationsvorschlag? In einem anderen Forum war die Sprache von einer Möglichkeit mit einer gepatchten FirtzBox, FreezeBox, die man zur 'split-dns'-Auflösung konfiguriert... Wahrsch. auch mit einer WRT-Box möglich... Jemand Erfahrung?
hosts manuell zu konfigurieren ist keine Option. Es geht um beliebige Clients, und potentiell mehrere Shares, u.U. auch mal mit wechselnden IPs.
Auf die Idee mit dem Häkchen 'Gateway für das Remotenetzwek verwenden' wie es ab Vista heißt, o.ä. bin ich auch schon gekommen. Internet über das Remotenetzwerk ist möglich...
Was mich Wurmt: eigentlich sollte es ja gar nicht funktionieren. Vor allem nicht, weil momentan in der Testkonfiguration o.g. Häkchen überhaupt nicht gesetzt ist. Bleibt nicht mal die Möglichkeit, dass der Name über broadcast aufgelöst wird... dieser geht ja immer auf die broadcastadresse des eigenen Netzes, nicht auf die des Remotnetzwerkes... oder? oder auch zusätzlich auf die broadcastadresse des Remotenetzwerkes? (arg, ich glaub jetzt muss wireshark dran glauben... ich hasse es...)
Jemand noch eine Idee? Oder einen weiteren sauberen Konfigurationsvorschlag? In einem anderen Forum war die Sprache von einer Möglichkeit mit einer gepatchten FirtzBox, FreezeBox, die man zur 'split-dns'-Auflösung konfiguriert... Wahrsch. auch mit einer WRT-Box möglich... Jemand Erfahrung?
Ja, im Ansatz siehst du das richtig ! Nur wenn er den Router fragt, dann kann dieser ja wohl kaum IP Adressen für lokale Clients leifern, denn der Router ist nur ein dummer DNS proxy, der alles was er nicht im Cache Speicher hat zum lokal beantworten an den DNS des Providers forwardet.
Das dieser natürlich dann auch niemals lokale Namen auflösen kann sollte klar sein....
Über Broadcast wird kein DNS gemacht...nicht das du da was falsch verstehst. Grob gesagt ist der Mechanismus so das alle CIFS Clients mit Shares diese zyklisch im Netz ausposaunen. Alle Clients cachen dann diese Information und könne sie bei Bedarf nutzen bzw. fragen den Master Browser im Netz. Wie das genau geht und zu troubleshooten ist sthet z.B. hier:
http://www.heise.de/kiosk/archiv/ct/2009/19/178_kiosk
Das dieser natürlich dann auch niemals lokale Namen auflösen kann sollte klar sein....
Über Broadcast wird kein DNS gemacht...nicht das du da was falsch verstehst. Grob gesagt ist der Mechanismus so das alle CIFS Clients mit Shares diese zyklisch im Netz ausposaunen. Alle Clients cachen dann diese Information und könne sie bei Bedarf nutzen bzw. fragen den Master Browser im Netz. Wie das genau geht und zu troubleshooten ist sthet z.B. hier:
http://www.heise.de/kiosk/archiv/ct/2009/19/178_kiosk
Lieb das Du dich um diesen doch eher unbeantwortet Thread kümmerst. Es ist auch gut und wichtig, wenn mal ein anderer eine Problematik quer denkt. Oder auch einfach mal sicherstellt, dass auch gewisse Hintergrundinformatiionen vorhanden sind. Trotzdem:
Du ließt aber schon was ich schreibe, oder?
Dass mir der Unterschied zwischen DNS und broadcast-Namensauflösung, DNS-Proxy und -Server klar ist, kann man obigem entnehmen...
Was mich ja zu der Erkenntnis führt, dass es eigentlich überhaupt nicht ohne DNS-Server mit sekundärer Zone im lokalen Netz funktionieren dürfte, da auch broadcast-Auflösung eigentlich ausscheidet. Und trotzdem tuts... aber langsam.
Etheral oder Wireshark kann man übrigens abhaken, der kann sich nicht hinter den entschlüsselten PPTP-Verkehr klemmen. Man sieht nicht was übers VPN läuft. Man sieht nur, dass der lokale Router einmal mit "unbekannter host" geantwortet hat. Und trotzdem wird selbst ein ping auf einen Kurzname zu einem FQDN aufgelöst... Rätselhaft
Du ließt aber schon was ich schreibe, oder?
Dass mir der Unterschied zwischen DNS und broadcast-Namensauflösung, DNS-Proxy und -Server klar ist, kann man obigem entnehmen...Was mich ja zu der Erkenntnis führt, dass es eigentlich überhaupt nicht ohne DNS-Server mit sekundärer Zone im lokalen Netz funktionieren dürfte, da auch broadcast-Auflösung eigentlich ausscheidet. Und trotzdem tuts... aber langsam.
Etheral oder Wireshark kann man übrigens abhaken, der kann sich nicht hinter den entschlüsselten PPTP-Verkehr klemmen. Man sieht nicht was übers VPN läuft. Man sieht nur, dass der lokale Router einmal mit "unbekannter host" geantwortet hat. Und trotzdem wird selbst ein ping auf einen Kurzname zu einem FQDN aufgelöst... Rätselhaft
