split tunneling mit lokalem DNS

Fragen zum LANCOM Advanced VPN Client

Moderator: Lancom-Systems Moderatoren

Antworten
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

split tunneling mit lokalem DNS

Beitrag von otellodb »

Wir verwenden den Advanced Client mit Split Tunneling.
Wir möchten aber erreichen, dass die DNS Abfragen weiterhin auf dem lokalen DNS Server landen.
Das VPN Gateway gibt per ikev2 standardmäßig den dortigen DNS Server zurück, was ja bei einem kompletten VPN auch sinnvoll ist.

Nun habe ich in den IPSEC Adresszuweisungen, die über IKE config Mode laufen, direkt den lokalen DNS Server zusätzlich eingetragen.
Leider interessiert sich der Client dafür nicht. Nach wie vor landen die DNS Anfragen der Browser (Firefox, Chrome) beim entfernten DNS Server.

Was machen wir denn da falsch, oder wie löst man das sinnvoll.
Wir hatten natürlich schon die IDE im VPN Gateway den lokalen DNS Server als IKE Parameter zu hinterlegen, aber bei wechselnden Einsatzorten mit verschiedenen lokalen DNS Servern macht das natürlich keinen Sinn.

WIe löst Ihr denn das?

otellodb
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: split tunneling mit lokalem DNS

Beitrag von GrandDixence »

Die gewünschte Funktion heisst "IKEv2 Split-DNS" und wird erst ab LCOS 10.32 oder neuer unterstützt. Für mehr Informationen zu IKEv2 Split-DNS siehe die "Feature Notes LCOS 10.32" und das "Addendum LCOS 10.32" im Abschnitt "Dokumentation und Links":
https://www.lancom-systems.de/produkte/ ... s-release/

oder:
https://www.lancom-systems.de/docs/LCOS ... t-dns.html
Zuletzt geändert von GrandDixence am 02 Dez 2022, 19:15, insgesamt 1-mal geändert.
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: split tunneling mit lokalem DNS

Beitrag von otellodb »

Das Split_DNS ist mir schon klar.

Soweit ich verstanden habe ist Split-DNS aber serverseitig gesteuert.

Woher soll denn der Server wissen, ob ich mit meinem account nun split-tunneling oder komplettes Tunneling machen möchte.
Brauche ich dann immer 2 accounts getrennt nach Nutzungsweise für jeden Benutzer ?

Wenn ich das tunneling am Client einstelle, muss es doch auch möglich sein dort zu entscheiden wie ich DNS machen möchte.

otellodb
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: split tunneling mit lokalem DNS

Beitrag von GrandDixence »

Bei RAS-Einwahlverbindungen kommt IKE-Config-Mode zum Einsatz. IKE-Config-Mode arbeitet ähnlich wie DHCP. Der Server gibt die (VPN-)Konfiguration vor und der (VPN-)Client hat diese Konfiguration gefälligst 1:1 zu übernehmen. Siehe auch:
aktuelle-lancom-router-serie-f41/dhcp-o ... 17705.html

Der Benutzer sollte sowieso keine händische Konfigurationsänderungen im VPN-Client durchführen. Das führt doch nur zu ÄRGER => Haarausfall und graue Haare...
Zuletzt geändert von GrandDixence am 20 Nov 2019, 22:24, insgesamt 1-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: split tunneling mit lokalem DNS

Beitrag von GrandDixence »

Bei RAS-Einwahlverbindungen werden beim Aufbau und der Trennung des VPN-Tunnels Anpassungen der Routingtabelle des Client-Betriebssystem und der DNS-Serverliste des DNS-Clients durch den VPN-Client veranlasst.

https://de.wikipedia.org/wiki/Routingtabelle

alles-zum-lancom-advanced-vpn-client-f3 ... 17371.html

https://praxistipps.chip.de/was-ist-ein-dns-client_9819

https://docs.microsoft.com/en-us/previo ... 2(v=ws.10)

https://www.msxfaq.de/windows/directacc ... 10_vpn.htm

Diese durch den VPN-Client veranlassten Modifikationen der Routingtabelle und DNS-Serverliste führen bei allen VPN-Clients aller Hersteller zu mehr oder weniger häufigen Netzwerkverbindungsproblemen. Deshalb empfiehlt sich bei RAS-Einwahlverbindungen für Firmennetzwerke der Einsatz von "Split Tunneling" mit "IKEv2 Split-DNS".

Split Tunneling mit "IKEv2 Split-DNS" reduziert die beim Aufbau und der Trennung des VPN-Tunnels ausgelösten Modifikationen der Client-seitigen Routingtabelle und DNS-Serverliste auf ein absolutes Minimum, was die Wahrscheinlichkeit von Netzwerkverbindungsproblemen kurz nach dem Aufbau oder der Trennung des VPN-Tunnels verringert.

https://de.wikipedia.org/wiki/Split_Tunneling

https://www.lancom-systems.de/docs/LCOS ... t-dns.html

Bei "Split Tunneling" ist aus Sicherheitsgründen die Security Association (SA) korrekt zu konfigurieren: Beim Einsatz von "Split Tunneling" dürfen durch den VPN-Tunnel nur noch IP-Datenpakete vom VPN-Client zum (internen) Firmennetzwerk und umgekehrt. Beim Einsatz von "Split Tunneling" sollte aus Sicherheitsgründen keine IPv4-Regel mit 0.0.0.0/0 eingesetzt werden (zum Beispiel: RAS-WITH-CONFIG-PAYLOAD)! Siehe auch:

fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922
Zuletzt geändert von GrandDixence am 02 Dez 2022, 19:13, insgesamt 1-mal geändert.
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: split tunneling mit lokalem DNS

Beitrag von otellodb »

Vielen Dank für die Erläuterungen.
Jetzt habe ich das mit den Netzwerkregeln endlich einmal richtig kapiert.

otellodb
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: split tunneling mit lokalem DNS

Beitrag von ittk »

Eine 0.0.0.0/0 Route bewirkt ein Full- bzw. All-Tunneling. Alles Andere, was nur für bestimmte, definierte Netzbereiche im IPsec (SAs) zugelassen ist, nennt man Split-Tunneling... Sonst wuerde die Bezeichnung auch keinerlei Sinn ergeben....

otellodb hat geschrieben: 21 Nov 2019, 09:20 Vielen Dank für die Erläuterungen.
Jetzt habe ich das mit den Netzwerkregeln endlich einmal richtig kapiert.

otellodb
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Antworten