136046
136046
Apr 28, 2021
view3763
view8
0
Goto Top

IOS Active Snyc über VPN - DNS Problem?

GermanQuestioniOSApple
Hallo zusammen,

wir haben ein Problem und noch keine heiße Spur. Vielleicht könnt ihr weiterhelfen.

Wir testen ob unsere iOS Geräte (iPad und iPhone) nur noch über VPN mit unserem Exchange kommunizieren können.

Der Exchange Server ist über den öffentlichen Namen erreichbar und die Synchronisation mit den Geräten ist einwandfrei.
Öffnen wir den VPN Tunnel über OpenVPN, fragt das iPhone/das iPad aber immer noch über den externen Namen/die externe IP an.
Getestet haben wir das mit dem Net Analyzer.

Die lokalen DNS Server werden für die VPN Verbindung mitgegeben. Ebenfalls gibt es intern den passenden DNS Eintrag zum Exchange.
Erste Vermutung war der lokale DNS Cache, welcher wohl durch Aktivierung des Flugmodus geleert wird. Leider brachte das keinen Erfolg.

Testen wir das gleiche mit einem Pixel 4a XL, haben wir keine Probleme:
- Ohne VPN wird der Name zur externen IP aufgelöst
- Mit VPN wird der Name zur internen IP aufgelöst
- Funktion wie gewünscht


Liebe Grüße!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 666187

Url: https://administrator.de/contentid/666187

Printed on: April 19, 2024 at 15:04 o'clock

8 Comments
Latest comment
Goto Top
Member: aqui
aqui Apr 28, 2021 updated at 08:53:22 (UTC)
Goto Top
In der OVPN Server Konfig sollte push "dhcp-option DNS x.y.z.h" stehen wobei der Platzhalter x.y.z.h die IP Adresse des internen DNS Servers ist. Siehe dazu auch hier.
Dieser sollte eine Weiterleitung auf den lokalen Router haben.
Hilfreich wäre einmal ein nslookup mit den HE.net Tools bei aktivem VPN Client:
https://apps.apple.com/de/app/he-net-network-tools/id858241710
Der zeigt dir explizit an welchen DNS Server das Smartphone benutzt !

Nebenbei:
Warum nutzt du nicht den bordeigenen VPN Client z.B. mit L2TP ?? Das wäre viel sinnvoller und würde die überflüssige Installation einer externen VPN App obsolet machen. Die bordeigenen VPN Clients sind erheblich besser ins Smartphone OS integriert als etwas Externes. Vom erheblich besseren VPN Durchsatz mal gar nicht zu reden... Siehe z.B. hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
So gut wie alle Firewalls und besseren Router supporten L2TP VPNs.
Das DNS Problem löst das nebenbei auch im Handumdrehen.
Member: tikayevent
tikayevent Apr 28, 2021 at 09:08:11 (UTC)
Goto Top
@aqui: Bevor man mit L2TP rumbastelt, sollte man in der heutigen Zeit IPSec IKEv2 nehmen, was der integrierte Client auch kann.

Das Problem wird sein, dass der DNS-Eintrag vom Gerät zwischengespeichert wird. Wenn du einfach nur lange genug wartest und sichergestellt ist, dass der DNS-Split-View die für intern korrekte Adresse liefert, wird der Client nach einiger Zeit umspringen. Das kannst du aber nicht erzwingen, außer mit einem Geräteneustart, nur musst du dann schnell genug sein, um die VPN-Verbindung wieder aufzureißen.

Active Sync ist nicht unbedingt dafür ausgelegt. Es soll datensparsam sein und alle unnötigen Sachen, wie DNS-Anfragen, so selten wie möglich machen.
Member: StefanKittel
StefanKittel Apr 28, 2021 at 09:15:02 (UTC)
Goto Top
Moin,

für die Testphase eher problematisch, aber...

Wenn jeder Client nur noch über VPN mit dem Exchange kommunizieren darf, kannst Du auch die LAN IP über den öffentlichen DNS-Server verbreiten.

Dann bekommt jeder Client immer und überall nur die LAN IP. Wenn er dann nicht per VPN verbunden ist bekommt er keine Verbindung.
Was aber egal ist, weil er ohne VPN sowieso keine Verbindung bekommen würde.

Ist so eher unüblich, aber wenn Apple oder der VPN-Anbieter da was gebastelt hat...

Stefan
Member: aqui
aqui Apr 28, 2021 updated at 09:23:26 (UTC)
Goto Top
sollte man in der heutigen Zeit IPSec IKEv2 nehmen, was der integrierte Client auch kann.
Absolut richtig ! Sollte den TO nur nicht gleich völlig überfordern da die L2TP Konfig etwas einfacher von der Hand geht... face-wink
Ein IKEv2 Setup mit den Onboard Clients sieht man z.B. HIER.
aber wenn Apple oder der VPN-Anbieter da was gebastelt hat...
Der VPN "Anbieter" ist der TO ja wohl (hoffentlich) selber mit einem eigenen OpenVPN Server !
Mitglied: 136046
136046 Apr 28, 2021 at 10:06:48 (UTC)
Goto Top
Vielen Dank für die freundlichen und ausführlichen Rückmeldungen!

Der VPN Server ist eine Sophos Firewall. Diese gibt die DNS Server mit. Mithilfe der HE.NET Network Tools App habe ich gesehen das der DNS Servers des WLANs und nicht des VPNs verwendet wird. Pinge ich die Adresse, bekomme ich die externe IP zurück. Trage ich den DNS Server des VPNs in der App ein und pinge die Adresse, bekomme ich logischerweise die gewünschte interne IP zurück.

Habe ich das nun richtig verstanden? Kann ich dieses Verhalten für meine Testphase nicht beeinflussen?
Member: aqui
aqui Apr 28, 2021 at 12:45:00 (UTC)
Goto Top
Wenn der interne DNS Server bei den Androiden richtig übernommen wird, bei iOS aber nicht dann wird das vermutlich intern geblockt. Wäre aber sehr ungewöhnlich.
Du solltest das wasserdicht mal testen indem du mit einem Windows Client mal den Tunnel nutzt und dort ein ipconfig -all bei aktivem Client eingibst !
Der Output zeigt dir dann ob wirklich der per OpenVPN gepushte DNS Server als Primärer DNS Server genutzt wird bei aktivem Client.

Alternativ testest du für die iPhones mal eine Gateway Redirect Lösung mit push "redirect-gateway def1 bypass-dhcp" in der OVPN Konfig !
Das redirected dann alles in den Tunnel und sollte in jedem Falle funktionieren.

Wie bereits gesagt wäre ein L2TP mit den integrierten Onboard Clients in deinem Falle die sinnvollere Lösung:
https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onli ...
Mitglied: 136046
136046 Apr 28, 2021 at 13:16:11 (UTC)
Goto Top
Vielleicht drücke ich mich auch schlecht aus. Ich versuche es nochmal.

Die internen DNS werden auch von den iOS Geräten übernommen. Ich kann Server über die Namen anpingen. Das könnte ich doch sonst gar nicht. Primär wird der DNS Server (Beispiel meine FritzBox im HomeOffice) angefragt.
Daher die Auflösung zur externen und nicht zur internen IP.

Ich werde es wohl nicht mit iOS Geräten testen können und müsste den Weg ganz dicht machen und dann sollte es gehen.
Beenden wir das ganze hier.

Die integrierte Lösung bringt uns nichts. Wir eine sehr große Anzahl an Geräten reinholen und neu konfigurieren.

Sollte ich eine Lösung haben, melde ich mich nochmnal.
Member: aqui
aqui Apr 29, 2021 updated at 08:30:59 (UTC)
Goto Top
Die internen DNS werden auch von den iOS Geräten übernommen.
Ja, da hast du dich dann mehr als nur schlecht ausgedrückt. So gesehen unverständlich und zudem auch noch technisch falsch beschrieben das keiner der hiesigen Community dich bzw. die Problemstellung richtig verstanden hat. face-sad
Du hast dann überhaupt kein VPN Problem sondern ein reines DNS Problem mit der Hostnamenauflösung an sich, was primär rein gar nichts mit dem VPN zu tun hat. Aber egal...
Auch warum eine integrierte Lösung nichts bringt ist vollkommen wirr. Sowas kann man per Mausklick mit einem zentralen Management einrichten ohne überhaupt die Geräte anfassen zu müssen. Bei externen Apps ohne Konfig Management Option ist das erheblich schwerer. Aber auch egal...kann ja jeder frei entscheiden was er macht und wenn's umständlich auch geht... face-wink
Case closed !
How can I mark a post as solved?
GermanQuestioniOSApple
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment