Bestimmte Domains nur über VPN Tunnel auflösen/anfragen

Hallo zusammen,

unser Netzwerk wird durch eine Sophos SG135 UTM abgesichert.

Als DNS Server dient ein SBS 2011 welcher gleichzeitig AD und Exchange Host ist.

Die UTM macht Mail-Proxy.

Wir müssen seit kurzem auf Ressourcen (Owa und Netzwerkfreigaben) eines Kooperationspartners zugreifen. Hierfür haben wir einen IPSec Site-to-Site VPN Tunnel zum Partner aufgebaut. die Ressourcen lassen sich über Hostnames owa.exdomain.de usw. erreichen. Da der Partner sehr viele VPNs im Einsatz hat, konnte unser interne IP-Adressbereich nicht genutzt werden sondern unsere internen IPs werden über SNAT in eine IP gewandelt, auf die die Firewall der Gegenseite reagiert und den Tunnel aufbaut, Rechte gewährt usw.

Der Tunnel steht, Ping funktioniert auch über IP-Adressen kann ich auf die Ressourcen zugreifen. Wir müssen jedoch zwingend aus dem internen Netz per Hostname auf die Ressourcen zugreifen können. Bspw. weil wir E-Mails von exdomain.de erhalten mit Links zu internen Ressourcen im Format \\exdomain.de\filexy

Zu allem Überfluss sind die Ressourcen auch öffentlich über das Internet erreichbar. Der Server der Gegenseite erkennt, ob die Anfrage über VPN oder aus dem öffentlichen Netz kommt und weist entsprechende Rechte zu.

Ich möchte erreichen, dass Anfragen an *.exdomain.de immer über den Tunnel geleitet werden.

Mein Lösungsansatz wäre im DNS-Server auf dem SBS eine ForwardZone einzurichten exdomain.de mit den Hosts owa und übrige Ressourcen. Nur würde dies dazu führen, dass wir keine E-Mails mehr an @exdomain.de senden können, da wir bspw. RDNS nutzen bzw. der Mailserverver versucht exdomain.de gegen den Tunnel aufzulösen.

Ich habe den beschriebenen Lösungsansatz bereits probiert und erhalte Mail-Fehlermeldungen: all relevant MX records point to non-existent hosts

Wie und vorallem wo (in der UTM oder auf dem SBS DNS) kann man Problem gelöst werden?

 

Danke für jede Unterstützung.

Christian

 

  • Wenn der SBS die SG als DNS proxy nutzt, könnten dort einzelne hosts manuell mit Adressen versehen werden, ohne die ganze Zohne zu beeinflussen.

    Auch könnte "DNS-request-routing" verwendet werden und DNS-Anfragen für "exdomain.de" an einen bestimmten internen Server weitergeleitet werden.

  • Hallo tf,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Agreed with Dirk that this is a classic case of a requirement for split DNS.  It seems like you're 99% there and that you only need to duplicate your correspondent's public MX record(s).  I would do that in your SBS and use the overall approach described in DNS best practice.

    MfG - Bob (Bitte auf Deutsch weiterhin.)