Liebe Community
Ich habe zwei Standorte via VPN Site-to-Site-Verbindung (LC-1783) verbunden. Das klappt soweit.
Die DHCP- und DNS-Server sind an beiden Standorten aktiviert. Unter IPv4/Bootp/Stationen sind die MAC- und IP-Adressen sowie Stationsnamen der dynamischen Hosts eingetragen. Unter IPv4/DNS/Stations-Namen die der statischen Hosts eingetragen. Unter IPv4/DNS/Weiterleitungen sind die *.domain.tld der Gegenstelle zugeordnet. Testweise hatte ich dort auch schon die IP-Adresse der DNS-Server (LC-1783) eingetragen.
Leider kann ich nicht via FQDN als host.domain.tld auf die Hosts der Gegenseite zugreifen. Der Zugriff funktioniert nur via IP-Adresse.
Eintraege in der Firewall sind nicht vorhanden.
Koennt Ihr mir bitte "etwas auf die Spruenge helfen"?!
Herzliche Gruesse
Eric
DNS-Aufloesung bei VPN Site-to-Site-Verbindung
Moderator: Lancom-Systems Moderatoren
Re: DNS-Aufloesung bei VPN Site-to-Site-Verbindung
Hi saigolae,
Bei Verwendung von dynamic VPN werden die Adressen in der Vorverhandlung ausgetauscht - Leider funktioniert das zum Einen nur für IPv4 und zum Anderenn auch nur für IKEv1.
Für alles andere mußt du die Adresse für den jeweilgen VPN-Tunnel unter Kommunikation -> Protokolle -> IP-Parameter (IPv4) bzw. unter IPv6 -> Allgemein -> IPv6-Parameter (IPv6) eintragen
Oder aber du trägst die Adresse direkt bei der Weiterleitung als Ziel ein:
Da bleibt dir jetzt also nur übrig die Anfragen zu verfolgen. Da wäre zunächst der DNS-Trace, um zu sehen, ob die Anfragen auf der einen Seite korrekt weitergelietet und auf der anderen Seite ankommen und beantwortet werden. Falls die Anfragen zwar weitergeleitet werden, auf der Gegenseite aber nicht ankommen, mußt du den VPN-Packet-Trace bemühen (Achte darauf, daß außer deiner Anfrage nichts anderes läuft, sonst siehst du den Wald vor lauter Bäumen nicht...)
Gruß
Backslash
dazu muß das LANCOM wissen, wer der DNS-Server auf der anderen Seite des VPN-Tunnels ist.Unter IPv4/DNS/Weiterleitungen sind die *.domain.tld der Gegenstelle zugeordnet.
Bei Verwendung von dynamic VPN werden die Adressen in der Vorverhandlung ausgetauscht - Leider funktioniert das zum Einen nur für IPv4 und zum Anderenn auch nur für IKEv1.
Für alles andere mußt du die Adresse für den jeweilgen VPN-Tunnel unter Kommunikation -> Protokolle -> IP-Parameter (IPv4) bzw. unter IPv6 -> Allgemein -> IPv6-Parameter (IPv6) eintragen
Oder aber du trägst die Adresse direkt bei der Weiterleitung als Ziel ein:
das hätte also funktionieren sollen...Testweise hatte ich dort auch schon die IP-Adresse der DNS-Server (LC-1783) eingetragen.
Da bleibt dir jetzt also nur übrig die Anfragen zu verfolgen. Da wäre zunächst der DNS-Trace, um zu sehen, ob die Anfragen auf der einen Seite korrekt weitergelietet und auf der anderen Seite ankommen und beantwortet werden. Falls die Anfragen zwar weitergeleitet werden, auf der Gegenseite aber nicht ankommen, mußt du den VPN-Packet-Trace bemühen (Achte darauf, daß außer deiner Anfrage nichts anderes läuft, sonst siehst du den Wald vor lauter Bäumen nicht...)
Gruß
Backslash
Re: DNS-Aufloesung bei VPN Site-to-Site-Verbindung
Hallo Backslash
Vielen Dank fuer Deine Ausfuehrungen.
Ich habe das Thema etwas schleifen gelassen, da es auch andere spannende Themen gibt. Heute habe ich mich der Sache aber noch einmal angenommen.
Der Rechner (192.168.40.31), von dem aus ich den ping-Befehl gestartet habe, ist via LAN mit dem Router "vdslket" (192.168.40.1) verbunden.
Der Host, in diesem Fall ein Drucker (mfcl2710dn.saigola.net bzw. Alias lp.saigola.net bzw. IP 192.168.2.26), ist via LAN mit dem Router "vdslesa" (192.168.1.1) verbunden.
Beide Router sind wie bereits beschrieben via VPN-Verbindung verbunden.
Schematisch sieht das so aus.
192.168.40.0/24 (VLAN 1) --- LAN --- 192.168.40.1 (Dyn. öff. IP) --- VPN via Internet --- (Dyn. öff. IP) 192.168.1.1 --- LAN --- 192.168.1.0/24 (VLAN 1)
192.168.41.0/24 (VLAN 2) --- LAN --- --- LAN --- 192.168.2.0/24 (VLAN 2)
...
Vor dem ping-Befehl habe ich auf beiden Router ein DNS-Trace gestartet. Die Protokolle wuerde ich Dir gern senden. Geht das?
Der ping-Befehl gibt eine Fehlermeldung "Ping-Anforderung konnte host "mfcl2710dn.saigola.net bzw. lp.saigola.net" nicht finden".
Wenn ich vom gleichen Rechner (192.168.40.31) einen ping-Befehl auf einen anderen Host am Router "vdslesa" jedoch im Netzwerk 192.168.1.0/255.255.255.0 absende, funktioniert die Namensaufloesung.
Es spielt keine Rolle, ob die Firewalls auf beiden Routern ein- oder ausgeschalten sind. Die Erscheinung ist immer die gleiche.
Helfen diese Informationen weiter?
Herzliche Gruesse
Eric
Vielen Dank fuer Deine Ausfuehrungen.
Ich habe das Thema etwas schleifen gelassen, da es auch andere spannende Themen gibt. Heute habe ich mich der Sache aber noch einmal angenommen.
Der Rechner (192.168.40.31), von dem aus ich den ping-Befehl gestartet habe, ist via LAN mit dem Router "vdslket" (192.168.40.1) verbunden.
Der Host, in diesem Fall ein Drucker (mfcl2710dn.saigola.net bzw. Alias lp.saigola.net bzw. IP 192.168.2.26), ist via LAN mit dem Router "vdslesa" (192.168.1.1) verbunden.
Beide Router sind wie bereits beschrieben via VPN-Verbindung verbunden.
Schematisch sieht das so aus.
192.168.40.0/24 (VLAN 1) --- LAN --- 192.168.40.1 (Dyn. öff. IP) --- VPN via Internet --- (Dyn. öff. IP) 192.168.1.1 --- LAN --- 192.168.1.0/24 (VLAN 1)
192.168.41.0/24 (VLAN 2) --- LAN --- --- LAN --- 192.168.2.0/24 (VLAN 2)
...
Vor dem ping-Befehl habe ich auf beiden Router ein DNS-Trace gestartet. Die Protokolle wuerde ich Dir gern senden. Geht das?
Der ping-Befehl gibt eine Fehlermeldung "Ping-Anforderung konnte host "mfcl2710dn.saigola.net bzw. lp.saigola.net" nicht finden".
Wenn ich vom gleichen Rechner (192.168.40.31) einen ping-Befehl auf einen anderen Host am Router "vdslesa" jedoch im Netzwerk 192.168.1.0/255.255.255.0 absende, funktioniert die Namensaufloesung.
Es spielt keine Rolle, ob die Firewalls auf beiden Routern ein- oder ausgeschalten sind. Die Erscheinung ist immer die gleiche.
Helfen diese Informationen weiter?
Herzliche Gruesse
Eric