Kein lokales DNS bei aktivem VPN

[MacMapple]

Hallo und guten Abend,
ich grüble aktuell über folgendem Problem:
Ich setze Mavericks ein und habe eine VPN Verbindung zu einem externen Synology-NAS eingerichtet, so weit so gut.
Hierzu habe ich keine spezielle VPN-Apps verwendet, sondern ganz normal über Netzwerk -> VPN (L2TP).
Und obwohl ich NICHT "Gesamten Verkehr über die VPN-Verbindung senden" aktiviert habe, ist der lokale DNS wirkungslos solange die VPN Verbindung steht.

Wenn ich bei "WLAN" -> "Weitere Optionen" -> DNS reinschaue ist der lokale DNS dort eingetragen, beim VPN unter -> "Weitere Optionen" -> DNS der entfernte, also alles so wie es sein müsste.

Bei einem PING auf lokale Clients kommt nichts, alle entfernten Clients antworten einwandfrei.
Bei nslookup werden erst die lokalen Clients aufgelöst, wenn ich mit "server 192.168.20.1" den lokalen DNS eintrage.

Als pragmatische Lösung konnte ich die entsprechenden Einträge und Routen über /etc/ppp/ip-up zwar als Trigger zurechtbasteln, aber irgendwie finde ich das nicht so toll.

Hat jemand eine Idee, wie man das mit Bordmitteln hinbekommt ohne das man da etwas scripten muss?
Vielen Dank schon mal vorweg.

Achso, ich vergaß:
der lokale DNS (und DHCP) ist eine Fritz!Box und der entfernte kommt aus dem Netz der Synology und wird dynamisch bei der VPN Verbindung mitgeliefert.

 

[Insulaner]

Folgendes Scenario könnte evtl. zu Deinen Beobachtungen führen:

Du hast ein Netz 192.168.x.0/24 (Maske 255.255.255.0)
Auf der Synology-Seite ist ein Netz 192.1568.y.0/16 (Maske 255.255.0.0, x=/=y) eingetragen
Wenn das so ist, dann würde Dein Netz von der Synology-Seite aus nicht als entferntes Netz,
sondern als Teilnetz des Synology-LAN betrachtet werden.

Naja, ich bin mir nicht sicher, wer da bei VPN Vorrang hat, aber vielleicht lande ich ja nen Treffer...

 

[MacMapple]

Vielen Dank für den Hinweis, die Subnet-Masks hatte ich gar nicht auf dem Schirm.
Ich habe daher mal nachgeschaut.
Die lokale Netze (es sollen später mal diverse Clients sein) sind alles Class-C Netze 255.255.255.0
Die Netmask der PPP Einwahl ist 255.0.0.0, siehe Screenshots.

Im VPN-Server auf der Synology kann man da auch gar nichts großartiges einstellen, siehe Screenshot 3

Dann ist mir in diesen Zusammenhang noch dieses blöde "fritz.box" Domainname Ding aufgefallen.
Sobald ich mit VPN eingewählt bin und http://fritz.box ansurfe lande ich auf der entfernten FritzBox.
Hatte eingangs ganz vergessen zu erwähnen, dass auf beiden Seiten die Domainnamen aufgrund der fest verdrahteten fritz.box Domains die Search-Domains auf beiden Seiten gleich sind. Vermutlich ist das auch das Kernproblem, da durch Verbindung der beiden gleichnamigen Domains keine Eindeutigkeit mehr besteht und die entfernte "fritz.box"- Domain die lokale "fritz.box" Domain überlagert.

Das Thema hatte ich auch gar nicht in im Auge. Soweit ich mich erinnern kann, war das Ändern dieser fritz.box Domains nicht so einfach möglich. Theoretisch könnte ich das auf der Synology Seite machen, da diese Seite unter meiner Verwaltung steht. Die späteren VPN-Clients hingegen nicht.

 

[Insulaner]

Hallo,

die Subnetzmaske ist nur dann relevant, wenn die Adressbereiche sich überlappen würden.

Beispiel:

192.168.1.2 255.255.255.0 ---> Adressbereich 192.168.1.0 - 192.168.1.255
192.168.2.2 255.255.0.0 ---> Adressbereich 192.168.0.0 - 192.168.255.255

Hier siehst Du, dass das obere Subnetz in dem unternen adressierten Bereich enthalten ist.

Deine Screeenshots zeigen einmal das 10.20.30.1 Netz mit der Subnetzmaske 255.0.0.0
Und ein 192.168.20.10 Netz mit einer Subnetzmaske von 255.255.255.0

Bedeutet:
10.20.30.1 mit 255.0.0.0 adressiert den Netzbereich 10.0.0.0 - 10.255.255.255
192.168.20.10 mit 255.255.255.0 adressier den Netzbreich 192.168.20.0 - 192.168.20.255

Also liegt hier kein Konflikt vor.
Das Problem ist also woanders zu suchen.

Leider kenne ich mich mit den Fritzbox-VPN-Geschichten nicht im Detail aus, aber Deine
Vermutung, dass das Problem daran liegen kann, dass die verwendeten Domain-Namen
identisch sind, klingt plausibel.
Habe auch einen Link gefunden, der das gleiche Problem wie Du beschreibst hat und
den Domain-Namen deshalb ändern will. Scheint erfolglos gewesen zu sein.
Such mal "fritzbox domain namen ändern" bei g++g*l.

Viel Glück.

Solltest Du das Problem irgendo gelöst findne, wäre vielleicht ein Hinweis hier nett.
Würde mich nämlich auch interessieren.

 

[MacMapple]

Es scheint sich auf die Namensgleichheit der fritz.box Domains zu verdichten.
Allerdings möchte ich möglichst wenig an den bestehenden Infrastrkturen auf beiden Seiten verändern,
beonders weil das Umbenennen von fritz.box alles andere als einfach ist bzw. dieses wiederum zu weiteren unerwünschten Seiteneffekten führen kann. Da ich aber nicht noch mehr Baustellen aufmachen möchte, nehme ich davon erstmal Abstand.
Derzeit verfolge ich die Lösung, in der ich auf der Synology das DNS-Server Paket installiert habe. Dort versuche ich nun einen DNS hochzuziehen, der ein Forwarder an die Fritz-Box ist. Dieser DNS soll dann den VPN Usern als entfernter DNS mit anderslautenden Namen mitgegeben werden.
Bin damit aber noch nicht fertig, es "zickt" noch.
Daher ist das hier erstmal nur ein akt. Statusbericht zwischendurch.

 

[Insulaner]

Wenn Du den DNS der FB auf der anderen Seite nutzen möchtest, dann musst Du
eigentlich nur die IP der FB als DNS-Server auf dem DHCP-Gerät (Synology-Seite)
eintragen. Allerdings ist das dann schon etwas "unüblich".
Vielleicht ist es einfacher mit der .hosts-Datei zu arbeiten. Also dort die "zwei drei"
Hosts eintragen und gut ist.
Oder ich verstehe jetzt nicht, wo das Problem liegt.

 

[MacMapple]

Ich möchte keine lokalen .hosts, /etc/hosts oder dergleichen einpflegen müssen, dazu sind die kommenden und gehenden Clients im Netzwrk zu dynamisch bzw. die Nutzer zu unbeleckt bzw. die Clients für mich nicht erreichbar. Es muss schon zentral gesteuert werden.
Derzeit fahren die Jungs mit der IP-Adresse, ist ein Workaround der (noch) akzeptabel ist. Aber mir gehts da echt ums Prinzip, ich möchte es "verstehen".

 

[Wuchtbrumme]

Ich verstehe auch nur partiell, worum es geht und was der TE eigentlich vorhat, aber wirklich famos ist, wie die wichtigen Informationen quasi ausgespart werden. Strukturiert herangehen an die Situation könnte man z.B. mit einer Bestandsaufnahme der Clientkonfiguration; dazu das VPN ausschalten und in der Konsole (im richtigen Netz) ifconfig -a,, netstat -rn und cat /etc/hosts (ist zwar depracated, da steht aber trotzdem drin, was gültig ist) sowie ein nslookup www.vobis.de (in der Hoffnung, dass vobis.de kein lokales Netz ist). Dann VPN herstellen und dasselbe nochmal.

.fritz.box ist ein kleines Konfigurationsfeature der FB, damit alle Rechner schön angesprochen können. Man muss das nicht ändern; man kann wie Du schon sagst, woanders (Synology) eine extra Domain anlegen (z.B. privat.intern). Den Forwarder bekommst Du, indem Du im DNS der Synology den DNS-Dienst der FB als Weiterleitungsserver konfigurierst. Man fragt also die Synology ab und alles, was der nicht findet, leitet der an die FB weiter, die ihrerseits halt z.B. den google-DNS befragt...

 

[MacMapple]

Ich verstehe auch nur partiell, worum es geht und was der TE eigentlich vorhat, aber wirklich famos ist, wie die wichtigen Informationen quasi ausgespart werden.

Ich bitte um Verzeihung, dass ich mein Anliegen nicht sofort für jedermann verständlich ausformuliert habe. Ich gab mir zwar alle erdenkliche Mühe und machte mir im Vorfeld ausführliche Gedanken, aber offenbar ist es mir dann doch nicht gelungen. Ich werde daher wohl an einer alternative Ausformulierung arbeiten müssen.

Das mit .fritz.box (damit alle Rechner schön angesprochen können) ist mir durchaus bewusst, das Problem enstand/entsteht, wenn sich zwei LANs über VPN verbinden und sich so die beiden (bis dahin autarken) .fritz.box Domains vermengen.
Einfachstes Beispiel: Wenn ich mich über VPN ins entfernte Netz eingewählt und dann im Browser http://fritz.box angesurft habe, bin ich auf der entfernten FritzBox gelandet und nicht mehr auf meiner eigenen. Weiterhin sind alle Geräte im eigenen LAN nicht mehr erreichber, bzw. nur noch über IP. Bei bestehendem VPN überlagert der DNS der entfernten FritzBox den DNS der lokalen FritzBox.

 

[Wuchtbrumme]

Einfachstes Beispiel: Wenn ich mich über VPN ins entfernte Netz eingewählt und dann im Browser http://fritz.box angesurft habe, bin ich auf der entfernten FritzBox gelandet und nicht mehr auf meiner eigenen. Weiterhin sind alle Geräte im eigenen LAN nicht mehr erreichber, bzw. nur noch über IP. Bei bestehendem VPN überlagert der DNS der entfernten FritzBox den DNS der lokalen FritzBox.

genau, deswegen würde ich den FB-DNS fast abschalten bzw. einfach nicht benutzen (aus Gründen der Unabhängigkeit und Energiesparen bin ich selbst wieder davon weg).

 

[MacMapple]

Herausforderung ist hierbei, dass:
die Synology erst später in eine bereits in die bestehende IT-Landschaft gepflanzt wurde... und weiterhin... das eine Einwahl über VPN zur Synology realisiert werden sollte.
Ein Umbauen des LANs im Synology-LAN ist schwierig, da es dort z.B. noch Fritz Telefonanlage und weitere Devices gibt. DHCP usw. soll dort bleiben.... eingentlich soll alles so bleiben wie es ist.
Quasi: "Wasch' mich, aber mach mich nicht nass" :rolleyes:

Das Umkonfigurieren der entfernten fritz.box Infrastrukturen ist schon gar nicht denkbar, da diese nicht unter der eigenen Administration liegen, leider.
Es ist vergleichbar mit einem BYOD, aber halt nur über VPN. Die externen Einwählern sind persönlich bekannt und die sind durch die Bank keine ITler, sondern einfache Anwender. Von denen eine Änderung ihrer LAN-Konfig zu erwarten ist undenkbar.

Hier eine Skizze der gesuchten Situation:

 

[Wuchtbrumme]

puh, wenn ich das richtig verstehe, möchtest Du am remote-Standort über eine normale Namensauflösung per DNS die Domain remote.vpn auflösen können. Mir fallen da spontan folgende Wege ein. 1. DNS-Forwarding über die remote FB. Erfordert nur eine Konfiguration auf der remote FB, einfach private IP der lokalen FB als primären DNS-Server eintragen. Hat den Nachteil, dass die Namensauflösung nicht klappt, wenn das VPN nicht steht, belastet alle Leitungen und kommt wenn ich o.g. richtig verstehe nicht in Frage. 2. Domain und statische public IPs kaufen... 3. DNS-Server im remote Netz mit denselben IP-Adressen einrichten.

 

[MacMapple]

Danke für diese Mitteilung.
Das bestätigt meine Vermutung, dass es doch nicht "mal eben so" klappen wird.
Ich dachte erst, ich sehe den Wald vor lauter Bäumen nicht.
Ich werde einfach empfehlen, anstatt sprechender Namen die IP-Adressen zu verwenden.