IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 25.09.2017, 13:41

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 11.09.2017, 16:25 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 01.08.2013
Beiträge: 10
Hallo,

ich verbinde eine Außenstelle mit Windows-Client über eine Netz-zu-Netz-Verbindung mit der Zentrale, in der ein Windows-DNS-Server steht.

Außenstelle: IPCOP1, IP 192.168.188.254, Netz 192.168.188.0/24 (IPCop ist DHCP- und DNS-Server)
Zentrale: IPCOP2, IP 192.168.31.254, Netz 192.168.31.0/24, LAN-Domäne firma.lan mit DNS-Server 192.168.31.1 (IPCOP ist weder DHCP- noch DNS-Server)

Verwendet man an Clients in der Außenstelle den lokalen IPCop (192.168.188.254) als DNS-Server, hat man keine Namensaufösung in der LAN-Domäne firma.lan. Verwendet man den DNS-Server der Zentrale (192.168.31.1) hat man die Namensauflösung in der Domäne aber bei Ausfall der VPN-Verbindung keinen Internetzugriff. Die Lösungsidee ist:

IPCOP1 ist DNS-Server. Dieser leitet aber alle DNS-anfragen zu firma.lan über den Tunnel an 192.168.31.1 weiter (bringt gleichzeitig auch noch einen Performance-Gewinn). Nach ausführlicher Suche im Forum habe ich in der Datei /var/ipcop/dhcp/dnsmasq.local den Eintrag

server=/firma.lan/192.168.31.1

ergänzt und den DHCP-Dienst neu gestartet. Leider werden Anfragen an firma.de gar nicht aufgelöst (Timeout). Kann jemand helfen? Fehlt evtl. eine Firewall-Regel?

_________________
Johannes


Nach oben
   
BeitragVerfasst: 12.09.2017, 07:42 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 787
jbalke hat geschrieben:
IPCOP1 ist DNS-Server. Dieser leitet aber alle DNS-anfragen zu firma.lan über den Tunnel an 192.168.31.1 weiter (bringt gleichzeitig auch noch einen Performance-Gewinn). Nach ausführlicher Suche im Forum habe ich in der Datei /var/ipcop/dhcp/dnsmasq.local den Eintrag

server=/firma.lan/192.168.31.1

ergänzt und den DHCP-Dienst neu gestartet. Leider werden Anfragen an firma.de gar nicht aufgelöst (Timeout). Kann jemand helfen? Fehlt evtl. eine Firewall-Regel?


Hast du denn Firewallregeln für den Tunnel extra erstellt ?
Ehmm.. der Server ist aber erreichbar ?
[Syntax ist korrekt ?]

Die eigentliche Lösung sollte aber der "nächste" DNS-Server sein!
Also... wenn der erste in der Liste nicht antwortet, dann gibt es den zweiten DNS-Server... antwortt der auch nicht, eben der nächste!

Setzt aber unterschwellig voraus , dass der antwortende DNS-Server "sich auskennt"
Aus dem Bauch: DNS Nummer 1 und Nummer2 durch den Tunnel, Nummer 3 direkt...


Fred


Nach oben
   
BeitragVerfasst: 12.09.2017, 08:54 
Offline
Apprentice
Themenstarter
Apprentice

Registriert: 01.08.2013
Beiträge: 10
Es gibt keine Firewallregeln für den Tunnel (nur Portweiterleitungen für den Zugriff von außen). Die Verbindungen funktionieren seit Jahren einwandfrei. Es werden halt nur alle DNS-Anfragen durch den Tunnel gesendet.
Die Syntax habe ich von der ManPage von DNSMASQ und andere Optionen (z.B. address=...) werden korrekt ausgewertet. Evtl. kann der IPCop1 nicht auf das grüne Netz vonm IPCOP2 zugreifen? Daher die Frage nach der Firewall.

jbalke hat geschrieben:
Die eigentliche Lösung sollte aber der "nächste" DNS-Server sein!
Also... wenn der erste in der Liste nicht antwortet, dann gibt es den zweiten DNS-Server... antwortt der auch nicht, eben der nächste!


Das löst das Problem nicht, denn bei Ausfall des Tunnels würde auf den DNS-Server umgestellt, "der sich nicht auskennt", aber es würde nie (außer nach Reboot) zurückgestellt, wenn der Tunnel wieder verfügbar ist. Daher die bedingte DNS-Weiterleitung.

_________________
Johannes


Nach oben
   
BeitragVerfasst: 16.09.2017, 09:43 
Offline
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 787
Hallo,
ist schon etliche Jahre her, daß ich so etwas am Laufen hatte! Die Unternehmensstruktur gibt es schon lange so nicht mehr,
also auch keine Backups und Konfigurationsdokumentationen mehr.

Einige Probleme hatte ich damals über ein "wachscript" gelöst ;-) Wie Routing über mehrere Tunnel hintereinander, die durch tun-Neustart verloren gingen bei VPN-Abbrüchen.

Aller 100 sec (oder so) ein Ping, wenn keine Antwort: Aufruf des Setze_Routen Scripts.sh (aber auch für DNS usw. geeignet) sozusagen auf Verdacht, hat über Jahre perfekt funktioniert, wichtige (fixe) Namen wurden in /etc/hosts hinterlegt (wie Mailserver oder so ..)

IIRR ging das mit DNS-Forward auch mal, war aber mühsam. Vor ca. 10..11 Jahren eingerichtet, aufgeschrieben und (da dokumentiert) wieder vergessen! Allerdings dnsmasq auf einem Ubuntu-Server !
Bedingt durch Leitungen, Traffic und andere Strukturen liefen bei uns immer mehr als ein IPCop (mit jeweils eigenem DSL-Zugang). z.B. mit lokalen (openVPN) Einwahlpunkten.
Eben mehrere selbständige Organisationen unter einem Dach mit gemeinsamem Personal - aber eigener Datenhaltung.

Teilweise mehrere "Außendienstler" in einem Büro - dafür gibt es dann auch die
nobind
float
Optionen - auf der Konsole zusätzlich eintragbar. Na ja... automatischen Verbinden beim Hochfahren der Rechner nach vorgegebener
remote - > Tabelle

Also mehrere Remotezeilen in der Client.conf .
Ein REBOOT ist per Hotline/Telefon einfacher vermittelbar als detaillierte Anweisungen :)
Vielleicht nicht hilfreich als conf-Ansatz für DNSMASQ aber dadurch lief der Betrieb über Jahre einigermassen stabil, einschliesslich der über UMTS angebundenen Außenstellen.

Fred


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de