none
DNS Einträge: Domänen-Clients übermitteln Ihre IP aus dem VPN in die Forward-Lookup-Zone des DNS RRS feed

  • Allgemeine Diskussion

  • Hallo,

    wir haben ein Problem mit der DNS-Auflösung. Folgendes Szenario ist bei den Clients der Fall. Die Clients sind Domänenmitglieder der Domäne TEST. Im Firmennetzwerk registrieren Sie sich in der Forward-Zone DNS-TEST und in der Reverse-Zone 10.168.192-in.addr.arpa. Die Adressen werden per DHCP zugeteilt.

    Wenn sich die Clients außerhalb des Netzwerkes befinden, stellen Sie über VPN eine Verbindung zum Firmennetzwerk her. Die VPN Verbindung wird über Sophos hergestellt, worüber die Clients eine IP-Adresse aus dem Bereich 192.168.77.x zur Verfüngung gestellt bekommen. Genau diese Adressen werden nun auf unseren firmeninterne DNS-Servern in die Forward-Zone DNS-TEST eingetragen. Da an der Sophos die LeaseTime sehr klein ist, kommt es vor, dass Clients aus dem 192.168.77.x Bereich öfters mit der identischen IP im DNS-Forward eingetragen sind.

    Wie kann ich verhindern, dass sich Clients, die über VPN mit einer anderen IP Adresse kommen in der Forward-Zone eintragen?

    P.S.: Die Clients benötigen eine über den VPN-Weg eine andere IP-Adresse, als wenn Sie direkt mit dem Netzwerk verbunden sind. An der Sophos kann wohl keine längere Leasezeit eingestellt werden.

    Vielleicht hat einer ja eine Idee bzw. einen Weg der zur Lösung meines Problems führen kann.

    Thx Björn

    Donnerstag, 27. Februar 2014 12:20

Alle Antworten

  • Die Hauptfrage dafür ist erstmal: Wer regestriert im DNS den Name, der Client selber, oder die Sophos? Wenn ersteres der Fall ist, dann musst du die Sophos so konfigurieren das sie das eben nicht tut.

    Wenn es der Client selber ist, dann musst du einfach in der VPN Verbindung auf dem Client, unter Erweiter\DNS den Haken bei "Adressen dieser Verbindung in DNS registrieren" entfernen.


    freundliche Grüße Thomas

    Donnerstag, 27. Februar 2014 13:11
  • Hallo,
    leider komme ich heute erst dazu Euch zu antworten. Mit dem entfernen des Hakens wird der VPN Client schon mal nicht mehr in unsere Forward-Zone DNS-TEST und in der Reverse-Zone 10.168.192-in.addr.arpa geschrieben. Ich möchte aber durchaus die Clients die sich über VPN einwählen einer Forward-Zone, zum Beispiel VPN, und einer Reversezone aus deren Bereich zuordnen.

    Der Sophos Adapter "übernimmt" aber leider immer die primäre DNS Adresse des Clients und versucht sich dann damit in die DNS zuschreiben. Ich werde also bei den Sophos-Einstellungen mal nachschauen müssen, ob ich hier die Übernahme des primären DNS-Suffix verhindern kann.

    Wenn ich was genaueres herausbekommen habe werde ich mich melden.

    Gruß Björn

    Mittwoch, 5. März 2014 14:02
  • Dann gib doch einfach in das unter Feld "Diese DNS Suffixe anhängen" deinen gewünschten ein, bsp. vpn.test.local. Das wird dann korrekt regestriert.

    freundliche Grüße Thomas

    Mittwoch, 5. März 2014 14:30
  • Hallo nochmal.

    Da dieses Suffix auf vielen Laptops hinzugefügt werden muss, möchte ich dies "zentral" einstellen. Als Ansatzpunkt sehe ich hier die Astaro. Ich werde mich melden, sobald ich weitere Informationen habe.

    Thomas: Diese Möglichkeit hatte ich auch erst in Betracht gezogen. Funktioniert auch. Leider muss dies auf x Laptops dann eingestellt werden.

    Gruß Björn

    Montag, 10. März 2014 11:17
  • Hallo,

    ich denke mal, Du hast eine Testumgebung?
    Ich kenne mich mit Sophos nicht aus. Aber werden die Einstellungen nicht irgend wo (bspw Registry) gespeichert?

    Montag, 10. März 2014 11:43