DNS-Aufloesung bei VPN Site-to-Site-Verbindung

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
saigolae
Beiträge: 46
Registriert: 17 Dez 2014, 13:37

DNS-Aufloesung bei VPN Site-to-Site-Verbindung

Beitrag von saigolae »

Liebe Community

Ich habe zwei Standorte via VPN Site-to-Site-Verbindung (LC-1783) verbunden. Das klappt soweit.

Die DHCP- und DNS-Server sind an beiden Standorten aktiviert. Unter IPv4/Bootp/Stationen sind die MAC- und IP-Adressen sowie Stationsnamen der dynamischen Hosts eingetragen. Unter IPv4/DNS/Stations-Namen die der statischen Hosts eingetragen. Unter IPv4/DNS/Weiterleitungen sind die *.domain.tld der Gegenstelle zugeordnet. Testweise hatte ich dort auch schon die IP-Adresse der DNS-Server (LC-1783) eingetragen.

Leider kann ich nicht via FQDN als host.domain.tld auf die Hosts der Gegenseite zugreifen. Der Zugriff funktioniert nur via IP-Adresse.

Eintraege in der Firewall sind nicht vorhanden.

Koennt Ihr mir bitte "etwas auf die Spruenge helfen"?!

Herzliche Gruesse

Eric
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS-Aufloesung bei VPN Site-to-Site-Verbindung

Beitrag von backslash »

Hi saigolae,
Unter IPv4/DNS/Weiterleitungen sind die *.domain.tld der Gegenstelle zugeordnet.
dazu muß das LANCOM wissen, wer der DNS-Server auf der anderen Seite des VPN-Tunnels ist.
Bei Verwendung von dynamic VPN werden die Adressen in der Vorverhandlung ausgetauscht - Leider funktioniert das zum Einen nur für IPv4 und zum Anderenn auch nur für IKEv1.
Für alles andere mußt du die Adresse für den jeweilgen VPN-Tunnel unter Kommunikation -> Protokolle -> IP-Parameter (IPv4) bzw. unter IPv6 -> Allgemein -> IPv6-Parameter (IPv6) eintragen

Oder aber du trägst die Adresse direkt bei der Weiterleitung als Ziel ein:
Testweise hatte ich dort auch schon die IP-Adresse der DNS-Server (LC-1783) eingetragen.
das hätte also funktionieren sollen...

Da bleibt dir jetzt also nur übrig die Anfragen zu verfolgen. Da wäre zunächst der DNS-Trace, um zu sehen, ob die Anfragen auf der einen Seite korrekt weitergelietet und auf der anderen Seite ankommen und beantwortet werden. Falls die Anfragen zwar weitergeleitet werden, auf der Gegenseite aber nicht ankommen, mußt du den VPN-Packet-Trace bemühen (Achte darauf, daß außer deiner Anfrage nichts anderes läuft, sonst siehst du den Wald vor lauter Bäumen nicht...)

Gruß
Backslash
Benutzeravatar
saigolae
Beiträge: 46
Registriert: 17 Dez 2014, 13:37

Re: DNS-Aufloesung bei VPN Site-to-Site-Verbindung

Beitrag von saigolae »

Hallo Backslash

Vielen Dank fuer Deine Ausfuehrungen.

Ich habe das Thema etwas schleifen gelassen, da es auch andere spannende Themen gibt. Heute habe ich mich der Sache aber noch einmal angenommen.

Der Rechner (192.168.40.31), von dem aus ich den ping-Befehl gestartet habe, ist via LAN mit dem Router "vdslket" (192.168.40.1) verbunden.
Der Host, in diesem Fall ein Drucker (mfcl2710dn.saigola.net bzw. Alias lp.saigola.net bzw. IP 192.168.2.26), ist via LAN mit dem Router "vdslesa" (192.168.1.1) verbunden.
Beide Router sind wie bereits beschrieben via VPN-Verbindung verbunden.

Schematisch sieht das so aus.

192.168.40.0/24 (VLAN 1) --- LAN --- 192.168.40.1 (Dyn. öff. IP) --- VPN via Internet --- (Dyn. öff. IP) 192.168.1.1 --- LAN --- 192.168.1.0/24 (VLAN 1)
192.168.41.0/24 (VLAN 2) --- LAN --- --- LAN --- 192.168.2.0/24 (VLAN 2)
...

Vor dem ping-Befehl habe ich auf beiden Router ein DNS-Trace gestartet. Die Protokolle wuerde ich Dir gern senden. Geht das?

Der ping-Befehl gibt eine Fehlermeldung "Ping-Anforderung konnte host "mfcl2710dn.saigola.net bzw. lp.saigola.net" nicht finden".

Wenn ich vom gleichen Rechner (192.168.40.31) einen ping-Befehl auf einen anderen Host am Router "vdslesa" jedoch im Netzwerk 192.168.1.0/255.255.255.0 absende, funktioniert die Namensaufloesung.

Es spielt keine Rolle, ob die Firewalls auf beiden Routern ein- oder ausgeschalten sind. Die Erscheinung ist immer die gleiche.

Helfen diese Informationen weiter?

Herzliche Gruesse

Eric
Antworten