DNS Weiterleitung durch VPN tut nicht mehr

[tbc233]

Hallo,
Ich suche jetzt schon seit einem halben Tag nach der Ursache von folgendem Problem:

Filiale ist an Zentrale mit VPN (IKEv2) angebunden. Filiale hat einen 1790EF, Zentrale einen 1900EF.
Hosts in Filiale müssen Namensauflösung auf internedomain.group machen können, der Nameserver befindet sich in der Zentrale. Da die Hosts in der Filiale alle den Lancom als DNS zugewiesen bekommen, habe ich hier unter DNS -> Weiterleitungen Einträge drin für

internedomain.group -> IP-des-Nameservers in Zentrale
*.internedomain.group -> IP-des-Nameservers in Zentrale

Das Ganze hat bis heute früh seit über einem Jahr funktioniert

Heute früh konnten dann die PCs in der Filiale keine Hosts mehr unter der Domain auflösen. VPN Strecke ist aber in Ordnung, ping, rdp, alles abseits der Namensauflösung funktioniert.
Ich kann auch auf einem PC ein nslookup machen und dabei auf den DNS Server in der Zentrale losgehen - funktioniert, ich krieg eine Antwort.

Also hab ich mal am Lancom einen "trace + dns" laufen lassen. Ich kann sehen, dass er die Pakete korrekt weiterleitet

Code: Alles auswählen

STD SRV for _ldap._tcp.0-RZ._sites.dc._msdcs.internedomain.group
DnsGetDest: Match found: forwarding _ldap._tcp.0-rz._sites.dc._msdcs.internedomain.group to 192.168.1.10
Not found in local DNS database => forward to next server

Aber er scheint dann keine Antwort zu bekommen.
In anderen Filialen gibt es damit keine Probleme.

Was ich schon gemacht habe:
- Router Neustarts
- Update auf 10.80.0666RU6

Während ich das so schreibe kommt mir noch ein Gedanke:
Was diese Filiale von anderen (wo es funktioniert) unterscheidet, ist dass ich hier ein zweites ARF Netz habe. Dieses kommuniziert erwünschtermaßen NICHT mit der Zentrale. Kann es sein, dass der Lancom aus irgendeinem Grund nun probiert, mit seiner IP aus dem zweiten lokalen Netz auf den DNS Server in der Zentrale los zu gehen und daher keine Antwort bekommt? Die VPN Strecke habe ich eigentlich mit einer Netzwerkregel versehen, die nur das erste Netz einbezieht.

Danke im Voraus für jeden Input.

[Dr.Einstein]

Schickt er denn die DNS Anfrage überhaupt los? Das müsstest du im VPN-Packettrace sehen können. Wenn du die Vermutung hast, dass der Router die falsche Quell IP nutzt, dann kannst du diese festklopfen:

Code: Alles auswählen

/Setup/DNS/Loopback-Addresses

Inhalt müsste dann "192.168.1.10@VPNRoutingTag", Absendeadresse dann entsprechend dein benamten IP-Netzwerk sein.

[tbc233]

Hallo Dr. Einstein,

Danke wie so oft für Deinen Input. Ich hab in der Zwischenzeit mal am DNS Server in der Zentrale eingehende Pakete mitgeschnitten, direkt per pktmon. Ergebnis:

- Frage ich von einem PC in der Fililae manuel mit nslookup etwas ab, sehe ich das Paket (war jetzt keine Überraschung, schließlich bekomme ich so ja auch eine gültige Antwort)

- Lasse ich den Lancom über die DNS Weiterleitung etwas abfragen, kommt da nicht mal ein Paket an, ich seh auch keins mit der Adresse aus dem "falschen" ARF Netz. Kommt schlicht gar nichts.

Werde den Tipp mit der Loopbackadresse nachher probieren.

[tbc233]

Das wars. Eintrag des DNS Servers (auf @routingtag hab ich verzichtet, da keine Routingtags im einsatz) mitsamt dem Netzwerknamen INTRANET und die Namensauflösung funktioniert wieder wie geplant.

Ich danke Dir vielmals!

[Dr.Einstein]

Und, was ist die Ursache? Von alleine passiert sowas nicht. Hast du das 2. Netzwerk hinzugefügt? Oder die Benamungen angepasst?

[tbc233]

Ich habe das zweite Netzwerk hinzugefügt, allerdings schon vor drei Monaten. Gab keinerlei Probleme danach. Ansonsten gab es keinerlei Änderungen die letzten Monate.
Ich kann es leider jetzt nicht mehr nachvollziehen, aber wäre es denkbar dass das Problem erst jetzt schlagend wurde, weil jemand vor Ort den Lancom mal abgesteckt hat (oder ein Stromausfall war) und der Effekt durch das Durchbooten jetzt mit dem neuen Netz kam?

[Dr.Einstein]

Ja, das passt, wird die Ursache sein. Danke für die Info.