Namensauflösung bei aktiver VPN-Verbindung
- Ersteller MickH74
- Erstellt am
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
@Digitalzombie :
Kein Thema, niemand kann alles wissen - außer mir versteht sich
Der primäre und sekundäre DNS werden nicht per se nacheinander befragt, sondern es ist ein recht komplizierter Prozess mit steigenden Timeouts, parallelen Anfragen und dergleichen. Sinngemäß läuft das so:
1. Primären DNS fragen. Wenn primär zu langsam oder gar nicht antwortet sekundären DNS fragen
2. Wenn sekundärer zu langsam/gar nicht antwortet, wieder zu 1. mit höheren timeouts
Das dreht sich ne Weile im Kreis und kann ggfs sogar dazu führen, dass beide DNS gleichzeitig gefragt werden. So oder so gewinnt aber immer die erste Antwort, egal ob da nu eine IP drinsteht oder "kenn ich nicht".
Ich such später mal nen Link dazu raus. Gibt tief in den MS-Seiten verborgen eine Beschreibung des Vorgangs.
@MickH74 :
Das ist wohl die beste Lösung. Sofern man keine dubiosen Seiten ansurft, wird in der Firma auch niemand etwas sagen. computerbase.de wirst du also in der Pause auch am Firmengerät nutzen dürfen, behaupte ich mal so. Seiten aus der Grauzone werden entweder sowieso vom FirmenDNS gefiltert oder ggfs durch die Firewall geblockt, wenn der Internetverkehr durch das VPN geht.
Ob die Firma tatsächlich DNS-Requests loggt und diese Logs auch auswertet, wissen wir natürlich nicht. Auch wissen wir nicht ob wirklich der gesamte Internetverkehr über das VPN geht. Das findet man heraus, indem man zB "tracert 1.1.1.1" macht und guckt ob der erste Hop der eigene Router ist oder das VPN-Gateway der Firma. Oder du zeigst uns einen Screenshot von "route print". Schwärzen brauchst du da nix, steht nix gefährliches drin.
Kein Thema, niemand kann alles wissen - außer mir versteht sich
Der primäre und sekundäre DNS werden nicht per se nacheinander befragt, sondern es ist ein recht komplizierter Prozess mit steigenden Timeouts, parallelen Anfragen und dergleichen. Sinngemäß läuft das so:
1. Primären DNS fragen. Wenn primär zu langsam oder gar nicht antwortet sekundären DNS fragen
2. Wenn sekundärer zu langsam/gar nicht antwortet, wieder zu 1. mit höheren timeouts
Das dreht sich ne Weile im Kreis und kann ggfs sogar dazu führen, dass beide DNS gleichzeitig gefragt werden. So oder so gewinnt aber immer die erste Antwort, egal ob da nu eine IP drinsteht oder "kenn ich nicht".
Ich such später mal nen Link dazu raus. Gibt tief in den MS-Seiten verborgen eine Beschreibung des Vorgangs.
@MickH74 :
Das ist wohl die beste Lösung. Sofern man keine dubiosen Seiten ansurft, wird in der Firma auch niemand etwas sagen. computerbase.de wirst du also in der Pause auch am Firmengerät nutzen dürfen, behaupte ich mal so. Seiten aus der Grauzone werden entweder sowieso vom FirmenDNS gefiltert oder ggfs durch die Firewall geblockt, wenn der Internetverkehr durch das VPN geht.
Ob die Firma tatsächlich DNS-Requests loggt und diese Logs auch auswertet, wissen wir natürlich nicht. Auch wissen wir nicht ob wirklich der gesamte Internetverkehr über das VPN geht. Das findet man heraus, indem man zB "tracert 1.1.1.1" macht und guckt ob der erste Hop der eigene Router ist oder das VPN-Gateway der Firma. Oder du zeigst uns einen Screenshot von "route print". Schwärzen brauchst du da nix, steht nix gefährliches drin.
Tom_Callaghan
Lt. Commander
- Registriert
- Aug. 2011
- Beiträge
- 1.314
Lass das mit dem Privat PC im Firmennetzwerk, jede IT gibt doch Laptops oder Nucs raus fürs Homeoffice,
D
Digitalzombie
Gast
Raijin schrieb:
Bin schon dabei
Gibt schon ein paar sehr kuriose Lösungsansätze im Netz und Microsoft muss man die Infos echt aus der Nase ziehen. Also die nächste Zeit bissi Lektüre lesen. Nur ein weiteres Thema auf einer langen langen Liste
DNS Voodoo!!! Ich wussts schon immer, nu fühl ich mich nur weiter bestätigt
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Nur der Vollständigkeit halber, weil mittlerweile ja OffTopic :
What is the default behavior of a Windows 7 or Windows 8 DNS client when two DNS servers are configured on the NIC?
The behavior is the following (tested on Windows 7 and Windows 8 clients with a single NIC):
https://support.microsoft.com/en-au/help/2834226/net-dns-dns-client-resolution-timeouts
@MickH74 : Zur Not gibt es ja auch noch sowas wie eine Docking Station. Das ist jetzt nur ein Beispiel und muss natürlich anschlussmäßig zum Laptop passen (hier zB USB Typ C). Evtl. hat die IT aber sogar Docking Stations parat. Ansonsten natürlich nicht auf eigene Kosten selbst kaufen, sondern Bedarfsmeldung stellen und von der Firma bestellen lassen.
What is the default behavior of a Windows 7 or Windows 8 DNS client when two DNS servers are configured on the NIC?
The behavior is the following (tested on Windows 7 and Windows 8 clients with a single NIC):
| Time (seconds since start) | Action |
| 0 | Client queries the first DNS server of the list |
| 1 | If no response is received after 1 second, client queries the second DNS server of the list |
| 2 | If no response is received after 1 more second, client queries again the second DNS server of the list |
| 4 | If no response is received after 2 more seconds, client queries all the servers in the list at the same time |
| 8 | If no response is received after 4 more seconds, client queries all the servers in the list at the same time |
| 10 | If no response is received after 2 more seconds, client stops querying |
https://support.microsoft.com/en-au/help/2834226/net-dns-dns-client-resolution-timeouts
@MickH74 : Zur Not gibt es ja auch noch sowas wie eine Docking Station. Das ist jetzt nur ein Beispiel und muss natürlich anschlussmäßig zum Laptop passen (hier zB USB Typ C). Evtl. hat die IT aber sogar Docking Stations parat. Ansonsten natürlich nicht auf eigene Kosten selbst kaufen, sondern Bedarfsmeldung stellen und von der Firma bestellen lassen.
Zuletzt bearbeitet:
charmin
Fleet Admiral
- Registriert
- Mai 2004
- Beiträge
- 10.056
MickH74 schrieb:
Das hängt ein bisschen davon ab wie gut dein Firmenlaptop gehärtet ist, allerdings bist du da als Anwender von deiner IT abhängig und kannst dir eigentlich nichts vorwerfen lassen wenn du die Firmenhardware wie vorgesehen verwendest (und natürlich nicht privat darüber surfst, Mails abrufst, etc.). Der Gastzugang wäre auf jeden Fall die eleganteste Lösung, wobei deine IT kaum erwarten wird das das jeder der Mitarbeiter hat oder konfigureren kann.
Zum eigentlichen Problem, kann es sein das in deinem Gastzugang Protokolle beschränkt sind?
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Hm.. Wenn die VPN-Verbindung erfolgreich hergestellt wurde, hat das Gastnetzwerk nichts mehr damit zu tun. Die Fritzbox kann gar nicht wissen was/wie/wo da über die VPN-Verbindung läuft, weil sie nur einen Haufen verschlüsselter Pakete zwischen Laptop und dem VPN-Server in der Firma durchreicht. Das ist ja gerade der Trick bei VPN, dass man gekapselt über diesen VPN-Tunnel arbeitet.MickH74 schrieb:
Man kann sich ein VPN so vorstellen, dass man einen Gartenschlauch durch Nachbars Wohnung legt, um zum Garten auf der anderen Seite des Hauses zu kommen. Ob durch den Schlauch nu aber Wasser fließt, Cola, Bier oder Erdöl, kann der Nachbar nicht sehen, weil er nur den Schlauch sieht. So sieht die Fritzbox eben nur die eine VPN-Verbindung, kann über deren Inhalt aber nichts wissen - auch nicht im Gastnetzwerk.
Wenn es im Gastnetzwerk nicht funktioniert, kann es also prinzipiell nicht an der RDP-Verbindung liegen, weil diese durch den besagten VPN-Gartenschlauch geht. Es ist daher davon auszugehen, dass die VPN-Verbindung als solche im Gast-Netzwerk nicht funktioniert und eben doch irgendwie geblockt oder zumindest eingeschränkt wird. Sozusagen so als wenn der Nachbar den Gartenschlauch zudrückt oder aus dem anderen Fenster raushängen lässt.
*edit
Wenn du den Firmen-Laptop im normalen, nicht-Gast-WLAN einsetzt, solltest du die Verbindung in Windows wenigstens als "öffentlich" einstellen. Damit richtet Windows zumindest ein Mindestmaß an Sicherheit ein und blockiert zB Zugriffe auf Dateifreigaben und dergleichen.
Bei der SSL VPN über die Sophos Firewall bekommst die DNS Server reingedrückt sobald du die VPN aufbaust.
Generell würde ich aber Arbeit und Privat trennen... sprich die VPN Verbindung nur aufbauen wenn ich aktiv am arbeiten bin und sie dann wieder deaktivieren.
Wenn du trotz aufgebauter VPN die Hosts/Geräte intern weiter über den Namen erreichen willst, ist die beste Lösung, diese einfach in der etc hosts in deinem Rechner einzutragen.
Geht am schnellsten...
Generell würde ich aber Arbeit und Privat trennen... sprich die VPN Verbindung nur aufbauen wenn ich aktiv am arbeiten bin und sie dann wieder deaktivieren.
Wenn du trotz aufgebauter VPN die Hosts/Geräte intern weiter über den Namen erreichen willst, ist die beste Lösung, diese einfach in der etc hosts in deinem Rechner einzutragen.
Geht am schnellsten...
Ähnliche Themen
