Split-DNS - kein DNS am Client

Fragen zum LANCOM Advanced VPN Client

Moderator: Lancom-Systems Moderatoren

Antworten
Carsten_M.
Beiträge: 3
Registriert: 08 Feb 2023, 22:21

Split-DNS - kein DNS am Client

Beitrag von Carsten_M. »

Hallo Gemeinsam!

Nachdem ich wieder reichlich Zeit zugebracht habe, auch damit, mich hier durchs Forum zu lesen, muss ich nun doch mal selbst eine Frage stellen.

Ich versuche VPN-Verbindungen per Advanced VPN Client mit Split-Tunneling und Split-DNS herzustellen.
- Ich habe in der IKEv2-Verbindungsliste einen Eintrag mit manueller IPv4-Regelerzeugung mit lokal/24 auf entfernt/32.
- IKE-CFG: Server
- IPv4-Adress-Pool mit einem kleinen lokalen Adressbereich, ersten und zweiten lokalen DNS
- ein Split-DNS-Profil, welches auf die lokale Domain weist, DNS-Weiterleitung senden: Ein, lokale Domäne senden: Ein
- bei Routing einen Eintrag auf lokal/24
Der Client ist komplett default.

Die Verbindung funktioniert bestens. Wenn ich mir das Trace ansehe, dann wird eine IP aus dem Adress-Pool, DNS 1 und 2, das Subnet und die DNS-Domain übergeben.
Ich habe auch am Client Traffic am Tunnel vorbei, wie gewünscht. Alle externen Ziele lassen sich am Tunnel vorbei erreichen.
Aber die lokale Domain wird nicht in die DNS-Tabelle eingetragen! Die lokalen Ressourcen sind alle per IP erreichbar, aber nicht über ihren DNS-Namen.

Ich hatte auch bei aller Spielerei mal den Zustand, dass die DNS-Einträge gesetzt wurden, aber das Routing nicht. Dann waren zwar die lokalen Ressourcen über ihren DNS-Namen erreichbar, aber aller Traffic ging durch den Tunnel bzw. waren externe Ziele gar nicht erreichbar.

Könntet Ihr mir bitte auf die Sprünge helfen, wo es bei mir klemmt, damit Split-Tunneling UND Split-DNS funktionieren. :M

Besten Dank vorab, Carsten
Carsten_M.
Beiträge: 3
Registriert: 08 Feb 2023, 22:21

Re: Split-DNS - kein DNS am Client

Beitrag von Carsten_M. »

So, kleines Update nach weiterem Basteln:

Wenn ich bei Advanced VPN Clients den Split-DNS Eintrag in der IKEv2-Verbindungsliste entferne, funktioniert's! :?
Laut Trace wird keine DNS-Domäne mehr übergeben. Aber am Client werden die Ziele eingetragen!
Der Traffic der nicht durch den Tunnel gehen soll, geht dran vorbei und die lokalen Ressourcen lassen sich über Ihren DNS-Namen auflösen.

Zweiter Test mit dem nativen iPhone Client tut genau andersherum!
Hier werden die DNS-Namen nur mit Split-DNS-Eintrag aufgelöst! Also im Grunde genauso, wie man (ich) das erwarten würde.

Kann mir das Verhalten jemand erklären? :G)

Danke und Grüße, Carsten
GrandDixence
Beiträge: 1112
Registriert: 19 Aug 2014, 22:41

Re: Split-DNS - kein DNS am Client

Beitrag von GrandDixence »

Hier fehlt es am Verständnis, was die jeweilige Split-Funktionalität genau macht und für welchen Einsatzzweck sie vorgesehen ist:

a) Split-Tunneling -> Nur IP-Datenpakete vom/zum Firmennetzwerk werden durch den VPN-Tunnel transportiert.
b) Split-DNS -> Die Namensauflösung (DNS) von Firmennetzwerkinternen Domänen und IP-Adressen erfolgt über den internen DNS-Server des Firmennetzwerks. Die gesamte übrige Namensauflösung (DNS) erfolgt über die DNS-Servern vom Internetanschlussanbieter (ISP). Zum Beispiel:

myserver.intern.myfirma.de -> Namensauflösung über den internen DNS-Server des Firmennetzwerks
www.lancom-forum.de -> Namensauflösung über den DNS-Server des ISP.

Im Beispiel wurde "intern.myfirma.de" im Split-DNS-Profil konfiguriert.

Der Einsatz von Split-Tunneling in Kombination mit Split-DNS ist die empfohlene Art der Realisierung eines VPN-Tunnels für den Fernzugriff auf ein Firmennetzwerk. Siehe dazu:
alles-zum-lancom-advanced-vpn-client-f3 ... 17814.html

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Die Auswirkungen von Split-Tunneling (in der Routingtabelle) sollte unter Windows 10 mit:

# route -4 print

ersichtlich sein.
https://www.shellhacks.com/windows-show ... ute-print/

Die Auswirkung von Split-DNS (auf die DNS-Resolverkonfiguration) sollte unter Windows 10 mit:

# ipconfig /all

ersichtlich sein. Vor dem Testen von Split-DNS den DNS-Zwischenspeicher von Windows 10 mit:

# ipconfig /flushdns

leeren!
https://praxistipps.chip.de/ipconfig-cm ... aert_47544
Zuletzt geändert von GrandDixence am 09 Feb 2023, 21:22, insgesamt 1-mal geändert.
Carsten_M.
Beiträge: 3
Registriert: 08 Feb 2023, 22:21

Re: Split-DNS - kein DNS am Client

Beitrag von Carsten_M. »

Hallo GrandDixence,

vielen Dank für Deine Antwort. Dass es mir ein wenig an Lancom-Verständnis mangelt, geb ich gern zu :wink:
Ich habe mich vorab durch sämtliche Beiträge gelesen, auch durch den verlinkten.

Beide von Dir genannten Punkte möchte ich erreichen.
Ich hätte nun geschlussfolgert, dass ich sowohl für das Split-Tunneling als auch für Split-DNS einen entsprechenden Eintrag für die Clients benötige.
Bei den Advanced VPN Clients wirkt es jedoch genau andersherum. Bei iPhone wirkt es so, wie vermutet.

Ich habe auf den Clients die Einträge ständig überprüft.
Die Routen werden korrekt eingetragen. Die DNS-Einträge werden nur gesetzt, wenn ich KEINEN Split-DNS-Eintrag in der Verbindungsliste habe. :?

Dahinter steige ich noch nicht.
Antworten