Hallo zusammen,
leider habe ich über die Suche hier noch nicht das richtige gefunden.
Wir betreiben ein VPN zwischen zwei Firmenstandorten mit unterschiedlichen Subnetzen. Nun soll auch die gegenseitige Namensauflösung über DNS eingerichtet werden. Wir haben folgende Domains: firma1.local und firma2.local
Die beiden Router (ein 1621 und ein 1722) sind jeweils DNS-Server in ihrem eigenen Subnetz.
Wir haben jeweils DNS-Weiterleitungen eingerichtet (in der Form *.firma1.local GEGENSTELLE2 und umgekehrt), allerdings hat das noch nicht zum Erfolg geführt.
Was muss alles eingerichtet werden, um die gegenseitige Namensauflösung zu ermöglichen?
Was muss in der Firewall/VPN-Konfiguration eingeschaltet werden (bzw. darf nicht gefiltert werden), damit das funktioniert?
Vielen Dank im voraus für jeden Hinweis!
LAN-LAN-Kopplung und DNS Namensauflösung 1621 1722
Moderator: Lancom-Systems Moderatoren
LAN-LAN-Kopplung und DNS Namensauflösung 1621 1722
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Hi Hagen2000,
kennt das LANCOM denn auch den in der Gegenstelle gültigen DNS-Server? Wenn die LAN-LAN-Kopplung per dynamic-VPN erfolgt ist, dann wird während der Verhandlung der DNS-Server übermittelt. Wenn aber kein dynmaic VPN genutzt wird, dann mußt du dem LANCOM die IP-Adresse des DNS-Servers mitteilen. Dazu erstellst du in der IP-Parameterliste (Kommunikation -> Protokolle -> IP-Parameter) einen Eintrag für die VPN-Verbindung und trägst dort den DNS-Server der Gegenstelle ein (also die Intranet-IP des entfernten LANCOMs)
Gruß
Backslash
Was muss alles eingerichtet werden, um die gegenseitige Namensauflösung zu ermöglichen?
kennt das LANCOM denn auch den in der Gegenstelle gültigen DNS-Server? Wenn die LAN-LAN-Kopplung per dynamic-VPN erfolgt ist, dann wird während der Verhandlung der DNS-Server übermittelt. Wenn aber kein dynmaic VPN genutzt wird, dann mußt du dem LANCOM die IP-Adresse des DNS-Servers mitteilen. Dazu erstellst du in der IP-Parameterliste (Kommunikation -> Protokolle -> IP-Parameter) einen Eintrag für die VPN-Verbindung und trägst dort den DNS-Server der Gegenstelle ein (also die Intranet-IP des entfernten LANCOMs)
Auf der VPN-Strecke darf DNS nicht gefiltert werdenWas muss in der Firewall/VPN-Konfiguration eingeschaltet werden (bzw. darf nicht gefiltert werden), damit das funktioniert?
Gruß
Backslash
Hallo Backslash,
beide Router registrieren sich bei DynDNS und bauen dann über Ihren "offiziellen Namen" die Verbindung auf. Meinst Du das mit "dynamic-VPN" oder ist damit der spezielle LANCOM-dynamic-VPN-Mechanismus gemeint? Letzteren benutzen wir nicht.
Muss ich die DNS-Weiterleitung zusätzlich zu den von Dir erwähnten IP-Parametern aufsetzen oder ist das überflüssig oder gar falsch?
beide Router registrieren sich bei DynDNS und bauen dann über Ihren "offiziellen Namen" die Verbindung auf. Meinst Du das mit "dynamic-VPN" oder ist damit der spezielle LANCOM-dynamic-VPN-Mechanismus gemeint? Letzteren benutzen wir nicht.
Ich dachte, dass ich das mit der erwähnten DNS-Weiterleitung bewerkstelligt hätte.kennt das LANCOM denn auch den in der Gegenstelle gültigen DNS-Server?
Muss ich die DNS-Weiterleitung zusätzlich zu den von Dir erwähnten IP-Parametern aufsetzen oder ist das überflüssig oder gar falsch?
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Hi Hagen2000
Gruß
Backslash
Letzterer war gemeint...beide Router registrieren sich bei DynDNS und bauen dann über Ihren "offiziellen Namen" die Verbindung auf. Meinst Du das mit "dynamic-VPN" oder ist damit der spezielle LANCOM-dynamic-VPN-Mechanismus gemeint? Letzteren benutzen wir nicht.
mit der DNS-Weiterleitung sagst du dem LANCOM erstmal nur, auf welche Gegenstelle es die Anfragen senden soll, das LANCOM muß aber wissen, welche IP-Adresse der DNS-Server der Gegenstelle hat - und die erfährt es entweder durch Übermittlung in einer DHCP-, PPP- bzw. dynamic-VPN-Verhandlung oder über den Eintrag in der IP-ParameterlisteIch dachte, dass ich das mit der erwähnten DNS-Weiterleitung bewerkstelligt hätte.
Du mußt beides eintragen - du könntest bei der Weiterleitung statt der Gegenstelle auch direkt die IP-Adresse des zuständigen DNS-Servers angeben, dann kannst du dir den Eintrag in der IP-Parameterliste sparenMuss ich die DNS-Weiterleitung zusätzlich zu den von Dir erwähnten IP-Parametern aufsetzen oder ist das überflüssig oder gar falsch?
Gruß
Backslash
Re: LAN-LAN-Kopplung und DNS Namensauflösung 1621 1722
Nachtrag wegen neuerer LCOS-Versionen für andere User, die ähnliche Probleme haben.
Das hier dokumentierte Verfahren funktioniert für LCOS-Versionen ab ca. 8.00 nicht mehr!
Der Eintrag in der IP-Parameterliste führt zum völligen Ausfall des DNS zwischen beiden Standorten.
Abhilfe schafft folgende Empfehlung der Firma Lancom:
Ist das entfernte Netz bspw., so wird für das Reverse-DNS eine weitere DNS-Weiterleitung der Form an die entsprechende Gegenstelle angelegt!
Dieses Verfahren ist allerdings etwas unelegant, wenn die Subnetzmasken nicht mit Byte-Grenzen übereinstimmen. Entweder erstellt man dann mehrere Regeln oder lebt damit, dass ggf. "zuviele" Anfragen an den gegenüberliegenden DNS-Server weitergeleitet werden (sofern sich das durch Netzüberschneidungen nicht verbietet). Das es sich bei der VPN-Kopplung ja normalerweise immer um private Netzwerkadressen handelt, läuft man zumindest nicht Gefahr, offizielle IP-Adressen zum falschen DNS-Server weiter zu leiten.
Das hier dokumentierte Verfahren funktioniert für LCOS-Versionen ab ca. 8.00 nicht mehr!
Der Eintrag in der IP-Parameterliste führt zum völligen Ausfall des DNS zwischen beiden Standorten.
Abhilfe schafft folgende Empfehlung der Firma Lancom:
Ist das entfernte Netz bspw.
Code: Alles auswählen
192.168.1.0/24Code: Alles auswählen
*.1.168.192.in-addr.arpaDieses Verfahren ist allerdings etwas unelegant, wenn die Subnetzmasken nicht mit Byte-Grenzen übereinstimmen. Entweder erstellt man dann mehrere Regeln oder lebt damit, dass ggf. "zuviele" Anfragen an den gegenüberliegenden DNS-Server weitergeleitet werden (sofern sich das durch Netzüberschneidungen nicht verbietet). Das es sich bei der VPN-Kopplung ja normalerweise immer um private Netzwerkadressen handelt, läuft man zumindest nicht Gefahr, offizielle IP-Adressen zum falschen DNS-Server weiter zu leiten.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen