DNS-Abfrage ueber L2TP-VPN auf Mac OS X Server 10.6.4

[Rene Brinkmann]

Hallo,

vielleicht kennt einer von Euch die Antwort auf das folgende Problem:

Von VPN-Client-Rechnern ist die Abfrage des DNS-Server via VPN-Server
nicht möglich.

Hintergrund:
Ein Mac OS X Server 10.6.4 (dort L2TP-VPN, Web-, DNS-, SSH-Server, IP
192.168.1.2) und verschiedene Clients mit OS X 10.6.4 (u.a. Notebooks).
Sofern man sich mit den Notebooks im lokalen Netz befindet
(Adressbereich 192.168.1.x.) funktioniert die Adressauflösung durch den
DNS-Server sowohl auf dem Server als auch auf Clients mit nslookup
problemlos:

--- snip ---
bash-3.2$ nslookup server.local 192.168.1.2
Server: 192.168.1.2
Address: 192.168.1.2#53

Name: server.local
Address: 192.168.0.2

--- snap ---

Verbindet man sich nun von unterwegs via VPN mit dem VPN-Server
funktioniert die DNS-Auflösung über den dortigen DNS-Server nicht,
nslookup meldet einen timeout

Auf dem Mac OS X Server ist der Server unter 'Einstellungen' gelistet
und wird gemäß VPN-Server-Protokoll auch den Clients bekannt gemacht.
Er erscheint dann bei den Clients in den VPN-Netzwerk-Einstellungen
unter 'Weitere Optionen' / 'DNS' grau hinterlegt.

Die VPN-Client-Rechner (IP 10.0.0.x) müßten also wissen, an wen sie
VPN-DNS-Abfragen richten können. Ein 'nslookup server.local
192.168.1.2' bleibt jedoch dann erfolglos. Der Web- und SSH-Server sind
dann auch nur per IP erreichbar. Ein Portscan via VPN zeigt auf dem
Server einen offenen Port 53.

Auf den DNS-Server ist eingetragen, daß 'rekursive Anfragen' von
'localnets' beantwortet werden, auf dem VPN-Server werden die
Netzwerkrouten 192.168.1.0 und 10.0.0.0 gelistet.

---

Gemäß Google haben scheinbar schon mehrere Leute dies Prolem gehabt,
aber die dortigen Lösungen (z.B. in den VPN-Server-Einstellungen den
DNS-Server dreimal eintragen) haben bei mir nicht funktioniert. Was die
Netzwerkrouten anbelangt steht in der Server-Doku, daß DNS-Abfragen
immer geroutet werden.

Weiß jemand dafür die Lösung?

Viele Grüße,
René

[Thomas Kaiser]

Rene Brinkmann schrieb am 01.10.2010 in <news:i8499r$35p$1...@news2007.bicos.de>

> Auf dem Mac OS X Server ist der Server unter 'Einstellungen' gelistet
> und wird gemäß VPN-Server-Protokoll auch den Clients bekannt gemacht.
> Er erscheint dann bei den Clients in den VPN-Netzwerk-Einstellungen
> unter 'Weitere Optionen' / 'DNS' grau hinterlegt.

Was sagt

scutil --dns

> Die VPN-Client-Rechner (IP 10.0.0.x) müßten also wissen, an wen sie
> VPN-DNS-Abfragen richten können. Ein 'nslookup server.local
> 192.168.1.2' bleibt jedoch dann erfolglos.

Hmm... agiert nslookup nicht am System vorbei? Was sagt denn ein

dscacheutil -q host -a name www.apple.com

auf dem Client?

> Der Web- und SSH-Server sind dann auch nur per IP erreichbar. Ein
> Portscan via VPN zeigt auf dem Server einen offenen Port 53.

Und hast Du mal einen Trace mitlaufen lassen und da reingeguckt?

Gruss,

Thomas

[Hermann Schaefer]

Thomas Kaiser schrieb:

> Hmm... agiert nslookup nicht am System vorbei?

Es nimmt den "Standard-DNS-Server". Aber man kann mit

server <ip-adresse>

explizit einen angeben. nslookup fragt immer direkt, ja. Daher für lokale
Fehlersuche nicht immer geeignet, eher um zu prüfen, ob DNS-Server funktionieren.

user@mac:~ $ scutil --dns
DNS configuration

resolver #1
search domain[0] : was-auch-immer.de
nameserver[0] : 192.168.169.254
nameserver[1] : 192.168.169.253
order : 200000

user@mac:~ $ nslookup
> www.apple.com
Server: 192.168.169.254
Address: 192.168.169.254#53

Non-authoritative answer:
www.apple.com canonical name = www.isg-apple.com.akadns.net.
[...]
Name: e3191.c.akamaiedge.net
Address: 95.100.157.15
> server 8.8.4.4
Default server: 8.8.4.4
Address: 8.8.4.4#53
> www.apple.com
Server: 8.8.4.4
Address: 8.8.4.4#53

Non-authoritative answer:
www.apple.com canonical name = www.isg-apple.com.akadns.net.
[...]
Address: 95.100.157.15

[manyoe...@gmail.com]