DNS Weiterleitung in VPN-Tunnel

[Bernie137]

Hallo allerseits,

ich habe mehrere VPN Site-2-Site Außenstellen einzurichten, so an die 30... mit Lancom 1800EFW Geräten, Zentrale ist ein 1900EF. Die Filialen werden immer den VPN Tunnel aufbauen. Die Active Directory DNS Server sind in der Zentrale, z.B. 192.168.13.1 und 192.168.13.2
Prinzipiell ist mir ja bekannt, dass man per

Code: Alles auswählen

/Setup/DNS/DNS-Destinations/
Domain-name    Rtg-tag    Destination
*.meine.domain 0          192.168.13.1, 192.168.13.2

eine Weiterleitung für die Active Directory Domain an die DNS Server in der Zentrale machen kann und damit funktioniert das auch anstandslos.

Nun wollte ich es gerne vermeiden, in jedes Filial-Gerät die konkreten DNS IP-Adressen zu hinterlegen und anstatt dessen nur auf den VPN Tunnel zur Zentrale zu zeigen. Was muss ich dann noch einrichten, dass die DNS Auflösung wieder funktioniert?

Der DNS Trace zeigt nur, dass es nicht geht:

Code: Alles auswählen

[DNS] 2024/03/11 15:03:59,905  Devicetime: 2024/03/11 15:03:59,400
DNS Rx (intern): Src-IP 127.0.0.1, RtgTag 0
Transaction ID: 0xe9a5
Flags: 0x0100 (Standard query, No error)
Queries
  dc01.meine.domain: type A, class IN

STD A for dc01.meine.domain
DnsGetDest: Match found: forwarding dc01.meine.domain to DBS-ZENTRALE
Not found in local DNS database => forward to next server

[DNS] 2024/03/11 15:03:59,905  Devicetime: 2024/03/11 15:03:59,400 [info] : 
create new destination map entry for DBS-ZENTRALE with routing tag 0
DestinationMapEntry for DBS-ZENTRALE with routing tag 0 created
IPv4 destination: DBS-ZENTRALE
no IPv4 DNS server available
create new source map entry for 127.0.0.1
DestinationMapEntry for DBS-ZENTRALE with routing tag 0 destroyed

[DNS] 2024/03/11 15:03:59,905  Devicetime: 2024/03/11 15:03:59,401 [info] : 
no dns server available on DBS-ZENTRALE
return Server failure

Laut VPN-Paket Trace geht die DNS Anfrage überhaupt erst gar nicht in den VPN-Tunnel, weil er ja keine DNS Adresse kennt. Die zentrale muss ihm das doch irgendwie mitteilen...

Viele Grüße
Bernie

[Dr.Einstein]

Les dich mal in den IKE-Config-Mode ein. Die Zentrale ist dabei Server, die Filiale Client. So kannst du DNS Server propagieren. Ob vllt auch das DNS Splitting im IKE-Config-Mode für dich reicht, kann ich aktuell nicht sagen, noch nie probiert.

[Bernie137]

Hallo Dr. Einstein,

danke für Deine Antwort. Laut https://www.lancom-systems.de/docs/LCOS ... t-dns.html

Bei Site-to-Site-VPN-Verbindungen wird die dynamische Split-DNS-Zuweisung im IKE-Protokoll nicht unterstützt und muss über statische DNS-Weiterleitungen auf den entsprechenden VPN-Endpunkten konfiguriert werden.

geht das wohl dann nicht

Viele Grüße
Bernie

[backslash]

Hi Bernie137

Split-DNS und Zuweisung von DNS-Servern im IKE-Config-Mode sind zwei verschiedenbe Dinge...

Split-DNS sagt, für welche Domains Weiterleitungen in den Tunnel gehen sollen - das mußt du tatsächlich in jeder Filiale eintragen (*.domain -> VPN-Gegenstelle)
Im IKE-Config-Mode weist die Zentrale (Config-Mode-Server) der Filiale (Config-Mode-Client) die IP-Adressen der DNS-Server zu, die verwendet werden sollen, wenn eine Weiterleitung in den Tunnel erfolgt...

Als IKE-Config-Mode-Client kann ein LANCOM zugewiesene DNS-Serveradresse übernehmen, nicht aber zugewiesene Domain-Weiterleitungen - also am Ende genau das, was du ursprünglich haben wolltest:

Nun wollte ich es gerne vermeiden, in jedes Filial-Gerät die konkreten DNS IP-Adressen zu hinterlegen und anstatt dessen nur auf den VPN Tunnel zur Zentrale zu zeigen

Gruß
Backslash