14
VPN: ping auf Name geht nicht, DNS scheint korrekt konfiguriert
Hallo,
Vorerst: Entschuldigt den langen Text, aber ich dachte ich poste schon mal die wichtigsten Configs damit sich jeder ein Bild machen kann.
Also ich baue mir einen IPSec-VPN in mein Heimnetzwerk auf. Alles schön und gut, ich kann mich verbinden, auf IPs pingen, nslookup geht auch und über die IPs kann ich auch auf die Hosts zugreifen. Aus entwicklungstechnischen Gründen muss ich aber auch die Hosts per Name erreichen können und da haperts gewaltig. Hier mal die ipconfigs, tracerts und nslookup:
[HOST im Heimnetzwerk]
[CLIENT auf Arbeit, per VPN-IPSec]
Der DNS-Server ist so konfiguriert, dass der IP 192.168.17.110 explizit der Name "N43" und der IP 192.168.17.112 der Name "N43_IPSec" zugewiesen werden. Ein nslookup sieht auf beiden Seiten folgendermaßen aus:
Ein tracert vom Client auf die IP 192.168.17.110 (Host N43) zeigt:
Ein tracert vom Host auf die IP 192.168.17.112 (Client N43_IPSec) zeigt:
Wobei beim letzten tracert auch direkt der Computername des Clients (CELSIUSH720SR) erkannt wird und nicht der DNS-Name "N43_IPSec". Beide Namen können allerdings nicht gepingt werden.
Die lmhosts-Datei zu manipulieren halte ich für eine denkbar schlechte, statische Lösung.
Ich weiß wirklich nicht mehr weiter und hoffe mir kann hier jemand helfen :'(
Vorerst: Entschuldigt den langen Text, aber ich dachte ich poste schon mal die wichtigsten Configs damit sich jeder ein Bild machen kann.
Also ich baue mir einen IPSec-VPN in mein Heimnetzwerk auf. Alles schön und gut, ich kann mich verbinden, auf IPs pingen, nslookup geht auch und über die IPs kann ich auch auf die Hosts zugreifen. Aus entwicklungstechnischen Gründen muss ich aber auch die Hosts per Name erreichen können und da haperts gewaltig. Hier mal die ipconfigs, tracerts und nslookup:
[HOST im Heimnetzwerk]
DHCP aktiviert. . . : Nein
IPv4-Adresse. . . . : 192.168.17.110
Subnetzmaske. . . . : 255.255.255.0
Standardgateway . . : 192.168.17.1
DNS-Server. . . . . : 192.168.17.1
NetBIOS über TCP/IP : Aktiviert
[CLIENT auf Arbeit, per VPN-IPSec]
DHCP aktiviert. . . : Ja
IPv4-Adresse. . . . : 192.168.17.112
Subnetzmaske. . . . : 255.255.255.0
Standardgateway . . :
DHCP-Server . . . . : 192.168.17.113
DNS-Server. . . . . : 192.168.17.1
NetBIOS über TCP/IP : Aktiviert
Der DNS-Server ist so konfiguriert, dass der IP 192.168.17.110 explizit der Name "N43" und der IP 192.168.17.112 der Name "N43_IPSec" zugewiesen werden. Ein nslookup sieht auf beiden Seiten folgendermaßen aus:
Standardserver: Vigor.router
Address: 192.168.17.1
> N43
Nicht autorisierende Antwort:
Name: N43
Address: 192.168.17.110
> N43_IPSec
Nicht autorisierende Antwort:
Name: N43_IPSec
Address: 192.168.17.112
Ein tracert vom Client auf die IP 192.168.17.110 (Host N43) zeigt:
>tracert 192.168.17.110
Routenverfolgung zu N43 [192.168.17.110] über maximal 30 Abschnitte:
1 27ms 27ms 27ms Vigor.router [192.168.17.1]
2 27ms 27ms 28ms N43 [192.168.17.110]
Ablaufvervolgung beendet.
Ein tracert vom Host auf die IP 192.168.17.112 (Client N43_IPSec) zeigt:
>tracert 192.168.17.112
Routenverfolgung zu CELSIUSH720SR [192.168.17.112] über maximal 30 Abschnitte:
1 1ms <1ms <1ms Vigor.router [192.168.17.1]
2 28ms 27ms 27ms CELSIUSH720SR [192.168.17.112]
Ablaufvervolgung beendet.
Wobei beim letzten tracert auch direkt der Computername des Clients (CELSIUSH720SR) erkannt wird und nicht der DNS-Name "N43_IPSec". Beide Namen können allerdings nicht gepingt werden.
Die lmhosts-Datei zu manipulieren halte ich für eine denkbar schlechte, statische Lösung.
Ich weiß wirklich nicht mehr weiter und hoffe mir kann hier jemand helfen :'(
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289686
Url: https://administrator.de/contentid/289686
Printed on: April 19, 2024 at 06:04 o'clock
14 Comments
Latest comment
Hallo,
eventuell fehlt eine Route am Router ins VPN Netz?
Gruß
eventuell fehlt eine Route am Router ins VPN Netz?
Gruß
Hi michi,
der VPN-Tunnel geht auf das selbe Subnetz in dem sich auch der Host befindet. Selbst die traceroute geht von beiden Seiten mit nur einem Hop sauber durch und kann auch sofort die Namen erfragen.
Oder steh ich grad auf dem Schlauch und du meinst nicht das Subnetz?
der VPN-Tunnel geht auf das selbe Subnetz in dem sich auch der Host befindet. Selbst die traceroute geht von beiden Seiten mit nur einem Hop sauber durch und kann auch sofort die Namen erfragen.
Oder steh ich grad auf dem Schlauch und du meinst nicht das Subnetz?
Update: Unmittelbar nach dem tracert-Befehl auf die IP (z.B.: 192.168.17.110) kann im Explorer der Name aufgelöst werden und z.B. mit "\\N43" auf den Host zugegriffen werden. Ein Ping auf N43 geht allerdings immer noch nicht.
Andersherum genau dasselbe: Nach einem tracert-Befehl auf die IP 192.168.17.112 kann im Explorer der Name "\\CELSIUSH720SR" aufgelöst werden und man erreicht den Client. Ein Ping auf den Namen geht auch hier weiterhin nicht.
Andersherum genau dasselbe: Nach einem tracert-Befehl auf die IP 192.168.17.112 kann im Explorer der Name "\\CELSIUSH720SR" aufgelöst werden und man erreicht den Client. Ein Ping auf den Namen geht auch hier weiterhin nicht.
Zitat von @N4pst3r:
Update: Unmittelbar nach dem tracert-Befehl auf die IP (z.B.: 192.168.17.110) kann im Explorer der Name aufgelöst werden und z.B. mit "\\N43" auf den Host zugegriffen werden. Ein Ping auf N43 geht allerdings immer noch nicht.
Update: Unmittelbar nach dem tracert-Befehl auf die IP (z.B.: 192.168.17.110) kann im Explorer der Name aufgelöst werden und z.B. mit "\\N43" auf den Host zugegriffen werden. Ein Ping auf N43 geht allerdings immer noch nicht.
Moin
Hast du evtl. an einer Stelle eine Firewall die einen Ping unterdrückt?
Das tracert dürfte über UDP laufen während der Ping über ICMP läuft, könnte zumindest eine mögliche Fehlerursache sein.
VG
Hi ashnod,
pings auf die IP gehen ja auch sauber durch nur der Host-Name kann beim Ping nicht gefunden werden:
Wie gesagt komme ich im Explorer über "\\N43" nach einem tracert drauf.
pings auf die IP gehen ja auch sauber durch nur der Host-Name kann beim Ping nicht gefunden werden:
Ping-Anforderung konnte Host "N43" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.
Ja das mit den unterschiedlichen Subnetzen ist mir auch bekannt. Allerdings routet mein Router alles super durch wenn sich Client und Host im selben Subnetz befinden. Eine statische Route zwischen zwei unterschiedlichen Netzen habe ich auch schon probiert allerdings funkt dann gar nichts mehr.
Da aber die ganze Kommunikation im selben Netz klappt, außer eben die Namensauflösung beim Ping, denke ich, dass mein NAT das schon regelt.
Oder ich hab wirklich nen grundlegenden Fehler und muss die ganze VPN-Struktur über den Haufen werfen aber dann habe ich ja ein ganz anderes Problem.
Da aber die ganze Kommunikation im selben Netz klappt, außer eben die Namensauflösung beim Ping, denke ich, dass mein NAT das schon regelt.
Oder ich hab wirklich nen grundlegenden Fehler und muss die ganze VPN-Struktur über den Haufen werfen aber dann habe ich ja ein ganz anderes Problem.
Hallo,
Gruß,
Peter
Zitat von @N4pst3r:
pings auf die IP gehen ja auch sauber durch nur der Host-Name kann beim Ping nicht gefunden werden:
Hostname oder FQDN sind nicht das gleiche. Geht den ein ping an ein FQDN sauber durch. Hostnamen sind NETBIOS Namen? Läuft dazu WINS bei dir? Oder nutz du hier noch komplett XP / Win 3.11?pings auf die IP gehen ja auch sauber durch nur der Host-Name kann beim Ping nicht gefunden werden:
Gruß,
Peter
Zitat von @N4pst3r:
Wobei beim letzten tracert auch direkt der Computername des Clients (CELSIUSH720SR) erkannt wird und nicht der DNS-Name "N43_IPSec".
Wobei beim letzten tracert auch direkt der Computername des Clients (CELSIUSH720SR) erkannt wird und nicht der DNS-Name "N43_IPSec".
Ganz einfach. da ist die "reverse-Auflösung" Deines DNS falsch konfiguriert, wenn Du N43IP_SEC haben willst und CELSIUSH720S herauskommt. Das ist so normal und üblich, wenn Du mehrere Nahmen auf dieselbe IP-Adresse legst.
Beide Namen können allerdings nicht gepingt werden.
Das ist allerdins eher ein problem der lokalen Windows-Firewall, sagt meine Kristallkugel. Du pingst vermutlich aus einen anderen IP-Netz, wenn Du per VPN reingehst und da macht die Windows-Firewall dicht. Du kannst das ganz leicht mir Wireshark auf dem Zielsystem überprüfen.
Alternativ hast Du in Deine Routern/Firewalls eingestellt, daß ICMP aus §fremden" Netzen geblockt wird, was auch dazu führt, daß ping nicht funktioniert.
lks
Hi Peter,
nein ein Ping an den FQDN geht auch nicht durch. Beim Ping kann nur die IP erreicht werden während andere Aktionen auch den Namen auflösen können.
Ja der Hostname ist der NetBIOS-Name und WINS läuft bei mir nicht.
nein ein Ping an den FQDN geht auch nicht durch. Beim Ping kann nur die IP erreicht werden während andere Aktionen auch den Namen auflösen können.
Ja der Hostname ist der NetBIOS-Name und WINS läuft bei mir nicht.
Hi Lochkartenstanzer,
ja gut die traceroute fragt ja auch explizit den Hostnamen des Ziels ab und nicht den DNS. Kurz danach ist ja auch ein Erreichen des Ziels per Hostnamen im Explorer möglich.
Die Firewall habe ich schon testweise komplett abgeschaltet ohne Besserung. der VPN-Tunnel geht wie gesagt auf das selbe Subnetz, was soweit auch wunderbar klappt (ich denke dank NAT). Das Netz ist auf beiden Seiten "privat" eingestellt und Pings auf die IP gehen auch problemlos durch und das ist ja auch ein ICMP-Packet. Lediglich der Name kann beim Ping nicht gefunden und angepingt werden. Weder vom Client noch vom Host.
ja gut die traceroute fragt ja auch explizit den Hostnamen des Ziels ab und nicht den DNS. Kurz danach ist ja auch ein Erreichen des Ziels per Hostnamen im Explorer möglich.
Die Firewall habe ich schon testweise komplett abgeschaltet ohne Besserung. der VPN-Tunnel geht wie gesagt auf das selbe Subnetz, was soweit auch wunderbar klappt (ich denke dank NAT). Das Netz ist auf beiden Seiten "privat" eingestellt und Pings auf die IP gehen auch problemlos durch und das ist ja auch ein ICMP-Packet. Lediglich der Name kann beim Ping nicht gefunden und angepingt werden. Weder vom Client noch vom Host.
Du solltest wirklich dein VPN Netz nicht im selben Subnetz haben wie dein privates Netz zu Hause. Das birgt so viele Probleme und davon wird ja auch offiziell abgeraten.
Hi michi,
okay ich habe das VPN-Netz nun auf 172.17.17.0/24 umgestellt und eine statische Route gezogen. Aber es ändert sich nichts. Ping auf IP-Adresse geht von beiden Seiten, eine traceroute kann die Hostnamen erfragen, ein Ping auf den FQDN geht nicht und ein Ping auf den Hostnamen geht auch nicht. Also alles wie gehabt, nur dass das VPN-Netz nun auf 172.17.17.0 hört (bzw. der Client auf 172.17.17.112).
okay ich habe das VPN-Netz nun auf 172.17.17.0/24 umgestellt und eine statische Route gezogen. Aber es ändert sich nichts. Ping auf IP-Adresse geht von beiden Seiten, eine traceroute kann die Hostnamen erfragen, ein Ping auf den FQDN geht nicht und ein Ping auf den Hostnamen geht auch nicht. Also alles wie gehabt, nur dass das VPN-Netz nun auf 172.17.17.0 hört (bzw. der Client auf 172.17.17.112).
Zitat von @N4pst3r:
Hi michi,
okay ich habe das VPN-Netz nun auf 172.17.17.0/24 umgestellt und eine statische Route gezogen.
Das ist schon mal gut und auf jeden Fall besser als alles im selben Netz zu haben.Hi michi,
okay ich habe das VPN-Netz nun auf 172.17.17.0/24 umgestellt und eine statische Route gezogen.
Hm... Ich würde jetzt mal einen Wireshark anwerfen und mal genau nachschauen welche Pakete durchgehen bzw. nicht durchgehen.
Gruß
