DNS über VPN

[BROSKI]

Hallo zusammen!

Ich versuche aktuell einen Remote-Arbeitsplatz einzurichten, welcher sich via VPN mit dem Firmennetzwerk verbindet und dort auf eine Freigabe auf dem Peer-to-Peer-Server (für unsere Firmensoftware) zugreift.
Der VPN läuft über den FRITZ!Fernzugang. Im Firmennetzwerk steht eine FRITZ!Box 7590. Der VPN läuft problemlos und ich habe auch Zugriff auf besagte Freigabe, jedoch NUR über die IP des Servers (statisch). Sprich:

"\\Servername\Freigabe" funktioniert lokal, aber nicht via VPN
"\\192.168.xxx.xxx\Freigabe" funktioniert auch mit VPN

Wie DNS im Detail bei solchen Szenarien funktioniert, übersteigt leider mein IT-Knowhow.
Interessanterweise will der Explorer "\\S" zu "\\Servername" vervollständigen, allerdings heißt es nach der Enter-Taste "Auf \\Servername konnte nicht zugegriffen werden. Vergewissern Sie sich, dass der Name richtig geschrieben wurde. etc...".

Nun meckert die Software bei aktiver VPN Verbindung, weil sie den Server nicht findet. Lokal funktioniert alles einwandfrei. Als Workaround habe ich bereits versucht an der config herumzuspielen, allerdings ohne Erfolg. Ich baue also darauf, die DNS Auflösung auch über VPN zum Laufen zu bringen, das sollte hoffentlich mein Problem lösen.

Für jede Hilfe bin ich dankbar! Beste Grüße.

 

[rg88]

trag den Server hostname doch einfach in der hosts datei auf deinem Rechner ein?

 

[madmax2010]

Peer-to-Peer-Server

?! Peer to Peer oder Zentral? P2P Netze kommen ohne zentrale Komponente aus.

Ich versuche aktuell einen Remote-Arbeitsplatz einzurichten,

hast du da mal mit eurer IT geredet? Kostenfreier support fuer profitorientierte und soo...

Wie auch immer:
Es scheint ja DNS in der Richtung zu sein Servername <TTL> IN A 192.168.x.x
hast du 'n Linux da? dann koenntst du mit dig <servername> schauen welcher DNS Server gerade exakt verwendet wird und was er dazu antwortet. Das klingt, als ob du im lokalen 192.168.xxx.0/24 einen resolver hast, der das aufloesen kann und der hat nicht mehr erreichbar ist, weil du die selbe IP Range (ob sinnvoll oder nicht usst du wissen) durch VPN schickst.
Sinnvoller waere es, wenn der resolver i gleichen Netz wie der nicht zu erreichende server steht.
Hat die firma internes DNS auf irgend eine Weise?

Ergänzung (26. Januar 2022)

ah schau an, dig geht auch unter Windows
https://www.nicomerz.ch/post/dig-die-bessere-alternative-zu-nslookup-auch-unter-windows/

 

[rg88]

hast du da mal mit eurer IT geredet? Kostenfreier support fuer profitorientierte und soo...

die nutzen Fritz fernzugang als VPN Kann mir kaum vorstellen, dass da eine professionelle IT-Abteilung im Spiel ist

 

[madmax2010]

ok, dann war das unfair. Sorry @BROSKI - Will nur leute dazu triggern, dass sie die vom AG gestellte personelle Infrastruktur auch nutzen

Die Rueckgabe von dig schaut grob so aus:

dig computerbase.de

; <<>> DiG 9.16.25 <<>> computerbase.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43249
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;computerbase.de.        IN    A

;; ANSWER SECTION:
computerbase.de.    671    IN    A    212.83.33.137

;; Query time: 16 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Wed Jan 26 23:37:04 CET 2022
;; MSG SIZE  rcvd: 60

Die relevante zeile ist 18


Kann auch sein, dass dir ein anderer DNS Server bei Verbinden eingetragen wird.
vergleich mal ipcofig vorher / nacher

 

[rg88]

Ist doch irrer Aufwand alles. Es geht doch um einen Hostnamen, da ist das mit der hosts Datei doch in Sekunden dauerhaft behoben

ok, dann war das unfair. Sorry @BROSKI - Will nur leute dazu triggern, dass sie die vom AG gestellte personelle Infrastruktur auch nutzen

Jo, hätte ich eigentlich auch gemacht. Aber als ich Fritz-Fernzugang gelesen habe, war mir klar, warum die Frage im Forum gestellt wird und nicht bei der IT

 

[madmax2010]

Wenn es bei den Kollgegen funktioniert (angenommen, dass sie existieren) Ist da was kaputt konfiguriert, was man vielleicht finden will. ABer vielleicht betrifft es ja auch noch mehr Kollegen. Ich mag es dinge 1x tot zu debuggen und dann sauber zu fixxen. Dann muss man nur 1x drueber nachdenken und nicht 6 Monate 1x pro Woche. Dann hat man auch mehr zeit hier Leute zu nerven / zu helfen.

Naja. TE kann ja schauen ob ein Quickfix gewollt ist, oder debugging und Fehlersuche. Morgen wirds beides tun (es sei denn, da ist ein IP Konflikt)

Aber hast schon recht. Eventuell denke ich zu viel ueber was waere wenn nach und solllte schauen, dass ich endlich mal auf Level 16 Komme. Viva la Resistance!

 

[xexex]

Ist doch irrer Aufwand alles. Es geht doch um einen Hostnamen, da ist das mit der hosts Datei doch in Sekunden dauerhaft behoben

Spätestens dann wenn mal neue Server hinzu kommen ist das dann nicht mehr dauerhaft, sowas ist eine "Sollbruchstelle".

Ansonsten spare ich mir aber eine Antwort, weil ich kaum glaube, dass eine FB dem VPN-Client einen DNS Server aus dem lokalen Netz bei der Einwahl zuweisen kann, die Frage wäre dann wohl nicht entstanden.

 

[paccoderpster]

Meine Vermutung ist, dass der Remote-Arbeitsplatz beim falschen DNS anfragt. Der kennt natürlich deinen Server im Firmennetz nicht und kennt auch keinen, der ihn kennt. Keine Ahnung wie Fritz!Fernzugang da genau funktioniert.

Gib mal bitte am PC im Firmennetz und am Remote-PC mit und ohne aktive VPN-Verbindung "nslookup servername" in eine CMD ein und poste die Ausgabe.

IPv4-Adressen die mit 10, 172.16 bis 31 oder 192.168.0 bis 255 beginnen brauchst du nicht zu verschleiern. Das sind private Adressen, die einem als externer nichts nutzen.

 

[BROSKI]

trag den Server hostname doch einfach in der hosts datei auf deinem Rechner ein?

Danke, das hat die Sache gelöst. @madmax2010 @xexex @paccoderpster auch euch vielen Dank!

Wie schon von euch vermutet, ist hier nichts mit Profihardware geschweige denn IT-Abteilung. Mittelständisches Unternehmen mit Büro im Wohnhaus. IT-Angelegenheiten macht der Sohn (le me) weil's günstiger ist.

Ich habe festgestellt, dass die VPN-Lösung mega zäh ist und echt keinen Spaß macht. Da reicht die Dorf-Bandbreite wohl nicht. Jetzt werde ich nochmal einen extra lokalen Rechner kaufen, der dann ferngesteuert wird. Sollte hoffentlich performanter sein. Das gehört möglicherweise nicht mehr in diese Forenkategorie, aber dennoch: Welche Software würdet ihr dafür empfehlen? Spricht was gegen Windows Remote Desktop?

 

[madmax2010]

Ich habe festgestellt, dass die VPN-Lösung mega zäh ist

oooder cpu des VPN servers macht dicht
was wird da genutzt?

Spricht was gegen Windows Remote Desktop?

wenn es 100% sicher nur durch das VPN erreichbar ist, der rechner 2-3x Pro woche geupdated wird und gute Passwoerte gesetzt werden ist das schon OK.
Wenn der nackig im Internet sein soll, ists nur eine Frage der Zeit, bis der PC ins allgemeine Eigentum ueber geht

 

[BROSKI]

was wird da genutzt?

Nun bin ich nach kurzer Recherche immer noch nicht ganz sicher, was du mit VPN Server meinst, daher:
Remote-PC: i7-11370H
Server im Heimnetz: i3-6100

wenn es 100% sicher nur durch das VPN erreichbar ist

Ja, das ist der Plan. Dann werd ich's mal darüber probieren. Vielen Dank nochmal

 

[madmax2010]

welche vpn software wird denn genutzt

 

[rg88]

Der VPN läuft über den FRITZ!Fernzugang.

sollte doch das sein, oder?

welche vpn software wird denn genutzt

 

[Raijin]

Ich habe festgestellt, dass die VPN-Lösung mega zäh ist und echt keinen Spaß macht.

Ein VPN kann maximal so schnell sein wie die Internetanbindung. Da aber im Gegensatz zum reinen Konsum von Webseiten, sei es ein Forum, youtube oder dergleichen der Upload bei einer VPN-Verbindung in der Regel deutlich intensiver genutzt wird - zB um Daten IN das Firmennetzwerk auf ein NAS/FileServer hochzuladen, kommt bei VPN eine asymmetrische Leitung deutlich stärker zum Tragen.

Das bezieht sich nicht nur auf den heimischen Anschluss, sondern auch den Anschluss in der Firma, weil jeder Download zu Hause über das VPN ein Upload in der Firma bedeutet und andersherum.

Hinzu kommt natürlich noch - und darauf zielte @madmax2010 Frage ab - auf welcher Hardware der VPN-Server läuft. VPN benötigt eine gewisse Rechenleistung. Heimrouter mit integriertem VPN-Server wie zB Fritzboxxen haben relativ schwache CPUs und dementsprechend können sie nur mäßige VPN-Performance bieten, unabhängig davon ob die Internetleitung(en) schneller könnten oder nicht.

Es gilt daher, zu prüfen wie schnell das VPN grundsätzlich sein könnte und wie schnell es tatsächlich ist. Dazu stellt man wie oben beschrieben die Daten der Internetanschlüsse gegenüber und misst dann zB mit einem Dateitransfer vom/zum NAS bzw. Fileserver oder gar mit einem richtigen Messwerkzeug wie zB iPerf nach ob die theoretische Leistung ausgeschöpft wird. Ist das nicht der Fall, ist die VPN-Hardware zu schwach.

Beispiel:

Home @ 50 Mbit/s Download und 10 Mbit/s Upload (VDSL50)
Firma @ 100 Mbit/s Download und 40 Mbit/s Upload (VDSL100)

Home (10Mbit-up) ----VPN----> (100Mbit-down) Firma => Max 10 Mbit/s Home > Firma
Firma (40Mbit-up) ----VPN ---> (50Mbit-down) Home => Max 40 Mbit/s Firma > Home

Misst man nun nach und kann zu Hause von der Firma nur mit zB 20 Mbit/s runterladen, ist der VPN-Server in der Firma zu langsam. Da vom Fritz!Fernzugang die Rede ist, wird offenbar der VPN-Server in einer Fritzbox genutzt und je nachdem welches Modell zum Einsatz kommt und welche Anschlussgeschwindigkeiten jeweils zum Einsatz kommen, kann es sein, dass die Fritzbox einfach nicht mehr schafft und die zur Verfügung stehende Bandbreite nicht auslasten kann. Ist dem so, sollte der VPN-Server auf geeignetere Hardware umgezogen werden. Da reicht oftmals tatsächlich sogar ein Mini-PC mit einem beliebigen i3, o.ä., weil eine PC-CPU deutlich mehr Dampf unter der Haube hat als jeder SoC im Router. Das wäre aber dennoch vorher abzuklären.

IT-Angelegenheiten macht der Sohn (le me) weil's günstiger ist.

Sei mir nicht böse, aber es mag günstiger sein, ist aber je nach Branche äußerst riskant. Sind gar sensible Kundendaten im Spiel, muss die Firma sicherstellen, dass sie vor Fremdzugriffen geschützt sind. Das kann am Ende sonst richtig ungemütlich werden, wenn ein Datenleck entsteht, weil der Sohnemann, der sein KnowHow womöglich nur von LAN-Parties und Youtube hat, nicht wusste was er da tut. Ich kann nur davor warnen, sowas zu tun. Und nur um das mal einzuordnen: Ich bin Dauergast hier mit recht umfangreichem Netzwerkwissen, aber ich bin KEIN IT-Admin und den Schuh ziehe ich mir auch nicht an, weil ich weiß, dass mir dazu in einigen Bereichen einfach Kenntnisse fehlen, zB alles was sich um Windows-Server dreht.

Mein Rat ist daher, ein Systemhaus zu kontaktieren und eine Beratung zu vereinbaren. Oder man sucht sich einen Freelancer-IT-Admin, der alle x-Tage vorbeikommt und sonst bei Bedarf einbestellt wird. Das ist zwar teurer als Sohnemanns DIY, aber dafür ist es auch kein potentiell unsicheres Fimennetzwerk, das von Laien "betreut" wird. Nimm das bitte nicht persönlich, aber durch solche Ideen - Sohnemann macht das schon - sind schon Firmen in gehörige Schieflage geraten bis hin zur Pleite, wenn plötzlich Post vom Anwalt reinflattert, weil sensible Kundendaten im www gelandet sind...

 

[BROSKI]

@Raijin vielen Dank für die verständliche Erklärung! Vom Support unseres Softwarehauses kam der Rat, den Client unbedingt vor Ort zu installieren, weil die Datenmengen, unabhängig von der Performance des VPN-Servers, für unsere Internetanschlüsse (beides VDSL50) zu groß sind. Ich schätze, ein Fernzugriff wird deutlich weniger datenintensiv sein, allein schon wenn ich mir die Größe der CAD-Pläne etc. in der Datenbank ansehe.

Sei mir nicht böse, aber es mag günstiger sein, ist aber je nach Branche äußerst riskant.

Ich bin dir nicht böse sondern sehe das auch so wie du. All das hier Besprochene ist auch keine Dauerlösung, sondern soll nur solange funktionieren, bis wir das gesamte Büro demnächst vom Elternhaus zum Firmenstandort verlegen. Ab dann bin ich IT-technisch auch raus, nicht nur weil das meine Fähigkeiten übersteigt, sondern insbesondere weil die Existenz meiner Eltern da dran hängt.