ukulele-7
May 26, 2021
view5625
view10
0
Goto Top

DNS-Auflösung durch falschen Server, eventuell Suffix Problem

GermansolvedQuestionDNSNetworks
Guten Morgen,

ich habe einen Benutzer im Homeoffice dessen PC sich zunächst mal "ungewöhnlich" verhält. Das Problem trat schon bei der Einrichtung auf, ich habe die Kiste vorsichtshalber hier im Netz platt gemacht und neu installiert und danach lief es über Wochen. Heute morgen plötzlich nicht mehr.

Problem:
Pinge ich mit aktiver VPN-Verbindung ins interne Netz antwortet mir der externe Webserver. Die IP wird also vom falschen DNS-Server aufgelöst, auch nach einen flushdns. Es gibt ca. 20 vergleichbare Homeoffice-APs die das Problem nicht an den Tag legen, wenn dann ist es mit einem leeren DNS-Cache immer getan.

Überlegung #1:
Der Client meldet sich über den Sophos VPN Client am Sophos Router an, der User macht dann RDP auf den internen Server. Die lokale Domain des Clients ist intern.firma.de, extern ist die Sophos über firma.de erreichbar. Wenn der externe DNS (Hoster des Webspace) eine Anfrage auf eine beliebige Adresse mit .firma.de bekommt antwortet er grundsätzlich. Das muss man nicht toll finden aber in dem Moment wurde die Anfrage ja schon an den falschen DNS abgesetzt.

Ich kann genau einen DNS Suffix von der Sophos pushen lassen und das ist derzeit firma.de (kann ich leider auch nicht eben mal testweise ändern). Der Rechner zeigt aber auch intern.firma.de als DNS Suffix an, hier mal ipconfig:
Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : bla
   Prim„res DNS-Suffix . . . . . . . : intern.firma.de
   DNS-Suffixsuchliste . . . . . . . : intern.firma.de
                                       speedport.ip
                                       firma.de

Ethernet-Adapter LAN:

   Verbindungsspezifisches DNS-Suffix: speedport.ip
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : <benutzer_ipv6>(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 192.168.2.214(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 26. Mai 2021 08:44:09
   Lease l„uft ab. . . . . . . . . . : Mittwoch, 16. Juni 2021 09:19:43
   Standardgateway . . . . . . . . . : fe80::1%13
                                       192.168.2.1
   DHCP-Server . . . . . . . . . . . : 192.168.2.1
   DHCPv6-IAID . . . . . . . . . . . : 117221908
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-49-2E-9B-FC-AA-14-29-A8-C0
   DNS-Server  . . . . . . . . . . . : fe80::1%13
                                       192.168.2.1
                                       fe80::1%13

Unbekannter Adapter VPN:

   Verbindungsspezifisches DNS-Suffix: firma.de
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : <vpnclient_ipv4>(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Mittwoch, 26. Mai 2021 09:00:07
   Lease l„uft ab. . . . . . . . . . : Donnerstag, 26. Mai 2022 09:20:07
   Standardgateway . . . . . . . . . : 
   DHCP-Server . . . . . . . . . . . : <vpndhcp_ipv4>
   DHCPv6-IAID . . . . . . . . . . . : 83951428
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-49-2E-9B-FC-AA-14-29-A8-C0
   DNS-Server  . . . . . . . . . . . : <firmendns#1_ipv4>
                                       <firmendns#2_ipv4>
Und der Vollständigkeit halber hier der Ping:
Ping wird ausgefhrt fr rds.intern.firma.de. [<webserver_ipv6>] mit 32 Bytes Daten:
Antwort von <webserver_ipv6> Zeit=16ms
Ist das also dem Suffix geschuldet? Dagegen spräche, das es an vielen anderen Clients, selbe Config, einwandfrei läuft.

Überlegung #2:
Auffällig ist die penetrante IPv6-Konfiguration durch den Speedport. Ich habe schon testweise das IPv6-Protokoll für die Adapter abgehakt aber ehrlich gesagt bin ich mir nicht sicher ob das im laufenden Betrieb IPv6 unterbindet. Der Webserver antwortet dann jedenfalls mit IPv4. Ich hab nur von IPv6 echt keinen Schimmer, wirkt sich das auf DNS aus?

Übergangslösung:
Wenn ich statt rds.intern.firma.de die IPv4 des RD Session Brokers angebe kommt die Verbindung wie gewohnt zustande. Der Broker verweist dann an einen Session Host, ich bin allerdings nicht sicher ob da wieder eine DNS-Auflösung durch den Client statt findet.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 667080

Url: https://administrator.de/contentid/667080

Printed on: April 19, 2024 at 06:04 o'clock

10 Comments
Latest comment
Goto Top
Member: aqui
aqui May 26, 2021 updated at 09:31:41 (UTC)
Goto Top
Und der Vollständigkeit halber hier der Ping:
Viel interessanter wäre mal ein nslookup bei aktivem VPN. Dort zeigt sich dann welchen DNS Server dieser Client (und die anderen) wirklich nutzt.
Traceroute (tracert bei Winblows) wäre auch mal hilfreichen welchen Hopcount der Client nutzt zum Ziel (intern).
Member: ukulele-7
ukulele-7 May 26, 2021 updated at 10:02:41 (UTC)
Goto Top
nslookup intern.firma.de.
Server:  speedport.ip
Address:  fe80::1

Name:    intern.firma.de
Addresses:  2a00:1158:1000:300::51a
	  134.119.45.26

nslookup firma.de.
Server:  speedport.ip
Address:  fe80::1

Name:    firma.de
Addresses:  2a00:1158:1000:300::51a
	  134.119.45.26

nslookup intern.firma.de (ohne abschließenden Punkt)
Server:  speedport.ip
Address:  fe80::1

Name:    intern.firma.de.intern.firma.de
Addresses:  2a00:1158:1000:300::51a
	  134.119.45.26


tracert rds.intern.firma.de.
Routenverfolgung zu rds.intern.firma.de [<ipv6>]
ber maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  p<ipv6>.dip0.t-ipconnect.de [<ipv6>] 
  2     7 ms     5 ms     5 ms  2003:0:8506:3000::1 
  3    15 ms    23 ms    15 ms  2003:0:f00::d3 
  4    15 ms    15 ms    15 ms  ae0-v100.sr-sol.sxb1.mass.systems [2a01:488:bb00:101::3] 
  5    15 ms    15 ms    15 ms  rincewind.ispgateway.de [2a00:1158:1000:300::51a] 

Ablaufverfolgung beendet.

Also meine IPv4 DNS-Server im VPN Interface werden einfach gepflegt ignoriert.
Member: LordGurke
Solution LordGurke May 26, 2021 at 10:20:38 (UTC)
Goto Top
Dann gib dem VPN-Interface mal manuell die Schnittstellenmetrik "1". Dann werden dessen DNS-Server auch bevorzugt.
Member: ukulele-7
ukulele-7 May 26, 2021 at 10:43:02 (UTC)
Goto Top
Zitat von @LordGurke:

Dann gib dem VPN-Interface mal manuell die Schnittstellenmetrik "1". Dann werden dessen DNS-Server auch bevorzugt.
Beide Interfaces hatten 25 als automatische Metrik, wenn ich VPN auf 20 stelle klappt das wohl. Aber warum klappt es bei über 20 anderen PCs auch ohne? (Ich werde heute Abend erst an einem sitzen können face-smile )
Member: aqui
aqui May 26, 2021 at 14:36:41 (UTC)
Goto Top
Weil die vermutlich bei der Installation die Interface Metriken richtig gesetzt haben !
Member: ukulele-7
ukulele-7 May 26, 2021 at 14:44:49 (UTC)
Goto Top
Zitat von @aqui:

Weil die vermutlich bei der Installation die Interface Metriken richtig gesetzt haben !
Wird das bei der Installation des VPN-Clients durch das Setup gesetzt?
Mitglied: 148121
Solution 148121 May 26, 2021 updated at 14:51:27 (UTC)
Goto Top
Zitat von @ukulele-7:
Also meine IPv4 DNS-Server im VPN Interface werden einfach gepflegt ignoriert.
Weil IPv6 bevorzugt durch Windows behandelt wird und da hast du ja die Adresse des Speedport ( fe80::1%13) in der Liste der DNS Server face-wink. Und da die Domain öffentlich durch den Wildcard DNS Eintrag immer eine korrekte Antwort liefert kommt es das eben primäre die öffentliche IP zurückgeliefert wird.
Verbindungsspezifisches DNS-Suffix: firma.deVerbindungsspezifisches DNS-Suffix: firma.de
Außerdem ist das Domain-Suffix in der VPN-Verbindung hier nur auf "firma.de" gesetzt nicht auf die interne Subdomain "intern.firma.de". Somit ermittelt der Rechner die IP über den Speedport extern und nicht über die DNS Server der VPN-Verbindung.

Gruß w.
Member: ukulele-7
ukulele-7 May 26, 2021 at 15:15:03 (UTC)
Goto Top
Zitat von @148121:

Weil IPv6 bevorzugt durch Windows behandelt wird
Kann ich mir ja noch vorstellen wobei ein deaktivieren der IPv6 Protokolle in beiden Interfaces keine Veränderung gebracht hat. Auch würde es bedeuten das IPv6 nur in diesem einen Setup mit dem Speedport zum Einsatz kommt denn sonst müsste jeder meiner User mit aktivem IPv6 (die Clients haben das grundsätzlich alle aktiv) das Problem haben.

Ich denke also das für die Wahl des DNS Servers die IP-Version des Protokolls des DNS Servers keine Rolle spielt. Das ergibt für mich auch keinen Sinn. Natürlich kann Windows IPv6-Verbindungen bevorzugen aber deswegen einen anderen DNS Server anfragen?

Zitat von @148121:

Außerdem ist das Domain-Suffix in der VPN-Verbindung hier nur auf "firma.de" gesetzt nicht auf die interne Subdomain "intern.firma.de". Somit ermittelt der Rechner die IP über den Speedport extern und nicht über die DNS Server der VPN-Verbindung.
Stimmt, auch das ist aber überall gleich.

Ich werde heute Abend noch bei mir schauen aber mein PC ist sicherlich kein gutes Beispiel und IPv6 habe ich zuhause auch nicht.
Mitglied: 148121
148121 May 26, 2021 updated at 15:23:59 (UTC)
Goto Top
Zitat von @ukulele-7:
Ich denke also das für die Wahl des DNS Servers die IP-Version des Protokolls des DNS Servers keine Rolle spielt.
Doch, die IPv6 DNS Server landen dadurch das IPv6 bevorzugt wird auf der Liste immer ganz oben und bei den Anfragen immer als erstes angefragt, kommt die Antwort dann von diesem schneller als von anderen nimmt Windows auch diese IP sofern die Suffixes auf den Interfaces nicht passen.
Das ergibt für mich auch keinen Sinn. Natürlich kann Windows IPv6-Verbindungen bevorzugen aber deswegen einen anderen DNS Server anfragen?
Ist aber so. Wireshark anwerfen und du siehst es. Primär würde ich aber die Search-Prefixes prüfen denn eine Subdomain ist ja was anderes als die TLD.
Und wenn du nach blablub.intern.domain.tld suchst und intern.domain.tld nicht in den Suffixes der VPN Verbindung liegt (domain.tld ist nicht gleich intern.firma.de!) löst er halt öffentlich auf.
Member: ukulele-7
ukulele-7 May 27, 2021 at 06:21:21 (UTC)
Goto Top
Mein Rechner zuhause hat ebenfalls die selbe Metrik auf allen Interfaces, allerdings ist der nicht in der Domain. Interessanter weise wird mir gar keine DNS-Suffixsuchliste mit ipconfig /all ausgegeben, es hat also ausschließlich das VPN Interface das Suffix domain.de und damit wird intern.domain.de auch darüber aufgelöst (ausschließlich IPv4). Ich werde jetzt mal bei meinen Kollegen nach einer vergleichbaren DNS/IPv6-Konstellation suchen, kann dauern...

Sophos kann nach wie vor wohl nur ein DNS Suffix ausliefern:
https://community.sophos.com/sophos-xg-firewall/f/discussions/126745/sop ...
Für den Homeoffice-AP wäre das auch kein Problem dem könnte ich einfach intern.domain.de geben da läuft nichts lokal alles nur RDP. Allerdings habe ich Exchange auch ins VPN verbannt, was gut klappt. Aber dadurch nutze ich auch VPN auf Mobilgeräten und die müssen natürlich autodiscover und mail.domain.de im VPN auflösen, da möchte ich nicht dran drehen.

Ich habe jetzt als Lösung erstmal einen Alias rds.domain.de im DNS angelegt und werde die RDP-Verbindung dahingehend anpassen (sobald ich wieder Zugriff auf das Gerät habe), das sollte das Problem am elegantesten lösen.
GermansolvedQuestionDNSNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 2 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 CommentgleixnerdCheck of ZFW Firewallgleixnerd