Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 3254 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Auflösung per VPN SSL

Stephan Evers1

Hallo zusammen,

ich habe mir vor erstellen ein paar Threads hier durchgelesen, aber irgendwo ist der Wurm drin...

ich möchte per SSL VPN eine Adresse auflösen.

Die Adresse habe ich als Objekt auf der Firewall angelegt --> Bsp. test.web.de

Bei allen Clients sind DNS Server eingetragen. Im Windows DNS Server habe ich eine bedingte Weiterleitung auf die Adresse angelegt mit der IP der Sophos UTM.

Ich habe den VPN Pool bei den DNS Einträgen hinzugefügt

In den Remote Access Advance Einstellungen habe ich den DNS Server eingetragen.

Wenn ich jetzt an einen per VPN SSL verbundenen Client ein nslookup mache, fragt er den hinterlegten DNS Server, aber bekomme keine Antwort.

Im LAN klappt's alles.

Clients sind Windows 10.

Firewall ist eine UTM mit 9.707-5.



This thread was automatically locked due to age.
  • +1

    Versuche mal die Sophos IP als DNS Server unter Remote Access Advance Einstellungen den Clients mitzugeben statt dem internen AD/DNS-Server.(den VPN-Einwahl Pool hast du ja bereits als erlaubt seitens Sophos-DNS eingetragen)

    Wenn du das an die internen AD/DNS-Server schicken willst, musst du entsprechend eine Firewall Regel für DNS vom VPN-Pool zu dem internen DNS-Server erzeugen (sofern du keine automatischen Firewall-Regel dahingehend nutzt). Da du normaler Weise ohne NAT mit einer 10.242.2.X-Adresse (Standard-SSL VPN Pool seitens Sophos) auf dem DNS-Server ankommst, kannst du natürlich auch noch an einer internen Firewall am DNS-Server weg geblockt werden (das könntest du mit einem SNAT auf der UTM umgehen bei Bedarf oder am Endserver das VPN-Pool-Netzwerk für eingehende DNS-Anfragen erlauben). Achso damit die Rückroute ins 10.242.2-Netzwerk klappt (VPN Pool) muss natürlich auch der DNS-Server als Standard-GW die UTM nutzen (sonst bräuchtest du dafür eine extra Route).

    Gruß Steve

  • 0 in reply to Steve Weißflog

    Ja das mit der Sophos IP hat geholfen Slight smile

    Was ich jedoch etwas doof finde, dass die Sophos IP im VPN Pool nicht bei den Definitionen aufgelistet ist.

    Also für alle anderen: 10.242.2.1  für das 10.242.2.0/24 VPN Pool Netz

  • 0 in reply to Stephan Evers1

    Würde auch anders gehen indem du nicht die SSL-Pool Adresse der Sophos nimmst (10.242.2.1) sondern die Sophos IP in deinem internen Netz (z.B. 192.168.0.1 enstprechend je nachdem wie dein Netzwerk ist und welche IP die UTM da hat). Du musst dann allerdings zumindest diese Sophos IP (in der Regel das Objekt internal (Adress) auch mit in die SSL-VPN Konfiguration als lokales Netzwerk nehmen, damit Traffic der Clients dorthin über das VPN geht...

    Gruß Steve

  • 0 in reply to Steve Weißflog

    OK, welche Vor und Nachteile gibt's da jeweils? Innerhalb eines Netzwerks zu bleiben, klingt für mich erstmal super (zumindest spare ich mir somit eine Firewallregel)

  • 0 in reply to Stephan Evers1

    Sofern du nur SSL-VPN nutzt ist das egal aber wenn du z.B. auch IPSec/L2TP nutzt wird da auch dann die 10.242.2.1 als DNS Server verteilt aber der VPN-Pool für diese Anbindung ist dafür ein anderer. D.h. die Clients erreichen da nicht die 10.242.2.1 in dem Falle wäre die Sophos IP aus dem internen Netzwerk als DNS Server besser...

Unfiltered HTML