vielleicht kennt einer von Euch die Antwort auf das folgende Problem:
Von VPN-Client-Rechnern ist die Abfrage des DNS-Server via VPN-Server
nicht möglich.
Hintergrund:
Ein Mac OS X Server 10.6.4 (dort L2TP-VPN, Web-, DNS-, SSH-Server, IP
192.168.1.2) und verschiedene Clients mit OS X 10.6.4 (u.a. Notebooks).
Sofern man sich mit den Notebooks im lokalen Netz befindet
(Adressbereich 192.168.1.x.) funktioniert die Adressauflösung durch den
DNS-Server sowohl auf dem Server als auch auf Clients mit nslookup
problemlos:
--- snip ---
bash-3.2$ nslookup server.local 192.168.1.2
Server: 192.168.1.2
Address: 192.168.1.2#53
Name: server.local
Address: 192.168.0.2
--- snap ---
Verbindet man sich nun von unterwegs via VPN mit dem VPN-Server
funktioniert die DNS-Auflösung über den dortigen DNS-Server nicht,
nslookup meldet einen timeout
Auf dem Mac OS X Server ist der Server unter 'Einstellungen' gelistet
und wird gemäß VPN-Server-Protokoll auch den Clients bekannt gemacht.
Er erscheint dann bei den Clients in den VPN-Netzwerk-Einstellungen
unter 'Weitere Optionen' / 'DNS' grau hinterlegt.
Die VPN-Client-Rechner (IP 10.0.0.x) müßten also wissen, an wen sie
VPN-DNS-Abfragen richten können. Ein 'nslookup server.local
192.168.1.2' bleibt jedoch dann erfolglos. Der Web- und SSH-Server sind
dann auch nur per IP erreichbar. Ein Portscan via VPN zeigt auf dem
Server einen offenen Port 53.
Auf den DNS-Server ist eingetragen, daß 'rekursive Anfragen' von
'localnets' beantwortet werden, auf dem VPN-Server werden die
Netzwerkrouten 192.168.1.0 und 10.0.0.0 gelistet.
---
Gemäß Google haben scheinbar schon mehrere Leute dies Prolem gehabt,
aber die dortigen Lösungen (z.B. in den VPN-Server-Einstellungen den
DNS-Server dreimal eintragen) haben bei mir nicht funktioniert. Was die
Netzwerkrouten anbelangt steht in der Server-Doku, daß DNS-Abfragen
immer geroutet werden.
Weiß jemand dafür die Lösung?
Viele Grüße,
René
Was sagt
scutil --dns
> Die VPN-Client-Rechner (IP 10.0.0.x) müßten also wissen, an wen sie
> VPN-DNS-Abfragen richten können. Ein 'nslookup server.local
> 192.168.1.2' bleibt jedoch dann erfolglos.
Hmm... agiert nslookup nicht am System vorbei? Was sagt denn ein
dscacheutil -q host -a name www.apple.com
auf dem Client?
> Der Web- und SSH-Server sind dann auch nur per IP erreichbar. Ein
> Portscan via VPN zeigt auf dem Server einen offenen Port 53.
Und hast Du mal einen Trace mitlaufen lassen und da reingeguckt?
Gruss,
Thomas
> Hmm... agiert nslookup nicht am System vorbei?
Es nimmt den "Standard-DNS-Server". Aber man kann mit
server <ip-adresse>
explizit einen angeben. nslookup fragt immer direkt, ja. Daher für lokale
Fehlersuche nicht immer geeignet, eher um zu prüfen, ob DNS-Server funktionieren.
user@mac:~ $ scutil --dns
DNS configuration
resolver #1
search domain[0] : was-auch-immer.de
nameserver[0] : 192.168.169.254
nameserver[1] : 192.168.169.253
order : 200000
user@mac:~ $ nslookup
> www.apple.com
Server: 192.168.169.254
Address: 192.168.169.254#53
Non-authoritative answer:
www.apple.com canonical name = www.isg-apple.com.akadns.net.
[...]
Name: e3191.c.akamaiedge.net
Address: 95.100.157.15
> server 8.8.4.4
Default server: 8.8.4.4
Address: 8.8.4.4#53
> www.apple.com
Server: 8.8.4.4
Address: 8.8.4.4#53
Non-authoritative answer:
www.apple.com canonical name = www.isg-apple.com.akadns.net.
[...]
Address: 95.100.157.15