Korrekte Konfiguration der DNS-Weiterleitung über VPN

[FritzEDV]

Hallo Forum!

Ich habe derzeit Probleme, funktionierende DNS-Weiterleitungen zu erstellen.

Folgende Situation:

Hier im Büro steht ein 1781VA, welcher VPN Verbindungen zu mehreren Standorten unterhält. Die Gegenstellen der Standorte sind ebenfalls alles Lancom Router (Modelle 1781, 1793, 884 etc.). Die Standorte haben alle eigene Domänen sowie AD-Controller. Nun möchte ich DNS Anfragen an die jeweilige korrekte Gegenstelle weiterleiten und vom dortigen DNS Server auflösen lassen.

In dem Lancom hier vor Ort habe ich dazu entsprechende Weiterleitungen angelegt:

Zwischenablage01.jpg

Ein nslookup läuft allerdings ins Leere. Der Lancom hier vor Ort scheint nicht (rechtzeitig) zu antworten.

Code: Alles auswählen

> dc01.standort_a.local
Server:  lancom.zentrale.local
Address:  192.168.1.254

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an lancom.zentrale.local.

Ein Ping an lancom.zentrale.local funktioniert allerdings. Was übersehe ich hier?

[backslash]

Hi FritzEDV,

prinzipiell sollte das so funktionieren... Um das Problem zu finden, muß du dich mit den Trces des LANCOMs befassen. Hier wäre als erstes der DNS-Trace zu nennen. Der zeigt an, was der DNS-Forwarer so macht. Wenn in dem Trace keine Antworten zu sehen sind, dann mußtz du schauen, ob die DNS-Anfrage überhaupt durchs VPN geht. Dazu wäre dann der VPN-Packet-Trace da ...

Wenn du z.B. mehrere LAN-Netze hast, die nicht alle durch den VPN-Tunnel dürfen, dann könnte da eine Ursache liegen. Der DNS-Forwarder trägt bei der Weiterleitung in das DNS-Paket die IP-Adresse des Geräts ein. Bei mehreren LANs ist da natürlich die Frage: welche?... Der Forwader könnte also eine Adresse aussuchen, die nicht durch den Tunnel darf. In dem Fall mußt du die Absender-Adresse vorgeben. Dazu trägst du unter IPv4 -> DNS -> Loopback-Adresseen für das Weiterleitungsziel (hier also 192.168.2.1) die zu verwendende "Absende-Adresse" ein. Da wird aber keine Adresse eingetragen, sondern der Name des LAN-Netzes, dessen Adresse verwendet werden soll. Den kannst du im Drop-Down-Menü auswählen.

Gruß
Backslash

[GrandDixence]

1.) Die Verwendung von *.local steht häufig im Konflikt mit mDNS. Die Namensauflösung für ping lief wahrscheinlich über mDNS oder über den Zwischenspeicher (Cache) des DNS-Clients. Zwischenspeicher des Windows-DNS-Client mit: # ipconfig /flushdns leeren. Siehe:
https://en.wikipedia.org/wiki/.local

2.) LANCOM-Router nach jeder DNS-Konfigurationsänderung mit einem Kaltstart neu starten (Stromstecker ziehen!).

[FritzEDV]

Danke für eure Rückmeldung!

Wenn du z.B. mehrere LAN-Netze hast, die nicht alle durch den VPN-Tunnel dürfen, dann könnte da eine Ursache liegen. Der DNS-Forwarder trägt bei der Weiterleitung in das DNS-Paket die IP-Adresse des Geräts ein. Bei mehreren LANs ist da natürlich die Frage: welche?... Der Forwader könnte also eine Adresse aussuchen, die nicht durch den Tunnel darf. In dem Fall mußt du die Absender-Adresse vorgeben. Dazu trägst du unter IPv4 -> DNS -> Loopback-Adresseen für das Weiterleitungsziel (hier also 192.168.2.1) die zu verwendende "Absende-Adresse" ein. Da wird aber keine Adresse eingetragen, sondern der Name des LAN-Netzes, dessen Adresse verwendet werden soll. Den kannst du im Drop-Down-Menü auswählen.

Da lag der Hund begraben. Wir haben natürlich mehrere interne Netze (Allg. Intranet, IP-Telefonie, DMZ, etc). Gibts eine Möglichkeit, ein "Default Netz" anzugeben? Für jede der 22 Außenstellen eine entsprechende Loopback Adresse anzulegen ist etwas Wartungsintensiv/Fehleranfällig.

[backslash]

Hi FritzEDV,

Gibts eine Möglichkeit, ein "Default Netz" anzugeben? Für jede der 22 Außenstellen eine entsprechende Loopback Adresse anzulegen ist etwas Wartungsintensiv/Fehleranfällig

Die Frage ist, ob das wirklich für alle Aussenstellen nötig ist, denn wenn alle ARF-Netze durch den Tunnel dürfen, dann ist ja egal, von welchem der sich Forwarder die Adresse bezieht.
Sinnvoller könnte da schon eher sein, die VPN-Verbindungen nicht "unnumbered" laufen zu lassen, d.h. ihnen über die IP-Parameterliste (Kommunikation -> Protokolle -> IP-Parameter) eine IP-Adresse zu verpassen (die natürlich durch den Tunnel gehen darf - z.B. die des ARF-Netzes, die der Forwarder auswählen soll). Im gleichen Atemzug kannst du dort dann auch gleich den zu verwendenden DNS-Server eintragen und in der DNS-Weiterleitungs-Tabelle statt der IP-Adresse den Namen der VPN-Verbindung als Weiterleitungsziel angeben:

Code: Alles auswählen

:/Setup/WAN/IP-List
> l

Peer              IP-Address       IP-Netmask       Masq.-IP-Addr.   Gateway          DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup
==================--------------------------------------------------------------------------------------------------------------------------------------
VPN_STABDORT_A    192.168.1.1      255.255.255.255  0.0.0.0          0.0.0.0          192.168.2.1      0.0.0.0          0.0.0.0          0.0.0.0  
VPN_STABDORT_B    192.168.1.1      255.255.255.255  0.0.0.0          0.0.0.0          192.168.3.1      0.0.0.0          0.0.0.0          0.0.0.0  

Code: Alles auswählen

:/Setup/DNS/DNS-Destinations
> l

Domain-name                Rtg-tag  Destination                                                            
====================================------------------------------------------------------
*.standort_a.local         0        VPN_STABDORT_A
*.standort_b.local         0        VPN_STABDORT_B

Das ist übersichtlich und auch kaum Fehleranfällig. Das einzige, was du beachten mußt, ist der Punkt, daß du bei einer Änderung der Parameter die VPN-Verbindung einmal trennen muß, damit sie übernommen werden

Abgesehen davon ist das eingentlich auch die vorgesehene Methode: im LANCOM ist alles benamt und man sollte tunlichst benamten Objekte referenzieren, statt überall einzelne IP-Adressen einzugeben.

Gruß
Backslash