Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN für iOS: mitgegebener DNS-Server wird nicht angefragt

Hallo zusammen,

wir haben folgendes Problem:

- XGS 2100 Firewall

- iPhones mit ios 16.5.1

- SSL-VPN (Split-Tunnel) eingerichtet auf XGS. Hier Domäne "test.xyz" angegeben.

- auf Test-iOS-Gerät VPN-Profil mit OpenVPN App importiert und VPN verbunden

- VPN funktioniert, es werden alle definierten Routen gezogen (sieht man in den Logs der OpenVPN App), auch die beiden definierten DNS-Server, ABER: die DNS-Server werden selbst dann nicht für die Namensauflösung verwendet, wenn man einen Host in der o.g. Domäne "test.xyz" auflösen möchte. Es werden immer nur die DNS-Server der Hauptverbindung genutzt (obwohl ja eigentlich in der gezogenen Config klar definiert ist, dass für Hostnamen mit der Endung ".test.xyz" die angegebenen internen genutzt werden sollen!).

Wie kann man es auf der XGS oder in iOS hinbekommen, dass split-DNS funktioniert? Im Modus vollständiger Tunnel/ VPN-Tunnel als Default Gateway hat es funktioniert, aber wir wollen eigentlich einen Split-Tunnel mit interner DNS-Auflösung nur für die interne Domäne und öffentlicher DNS-Auflösung für alles andere.

Das Problem muss außerdem iOS-spezfisch sein, bei Windows Notebooks und auch bei Android Smartphones werden die internen Namen vom korrekten DNS-Server (dem internen) aufgelöst (sodass Apps die auf intern aufzulösenden FQDNs basieren bei einer bestehenden VPN-Verbindung wie gewünscht funktionieren).



This thread was automatically locked due to age.
Parents Reply Children
  • Hi,

    vielen Dank für die Antwort - es hat sich mittlerweile erledigt, es hatte die entsprechende Domäne in der globalen SSL-VPN Konfig gefehlt (dort war nur eine hinterlegt, wir brauchen aber zwei). Unter SSL VPN Global Settings --> Domain Name kann man ja mit Komma abgetrennt mehrere Domänen für die Namensauflösung hinterlegen. Es erklärt zwar nicht warum es z.B. bei Windows auch vorher schon funktioniert hat, aber das Problem ist jetzt auf jeden Fall gelöst und es funktioniert jetzt auch mit iOS. Wir haben gerade auch von TCP auf UDP als Protokoll für den SSL-VPN umgestellt, obwohl das ja eigentlich auch nicht mit reinspielen sollte(?). Naja auf jeden Fall geht es jetzt.