Securepoint UTM: SSL-VPN und DNS

Damit bei SSL-VPN-Verbindungen (Roadwarrior oder Site-to-Site, jeweils via OpenVPN) die Namensauflösung funktioniert, muss in einer Securepoint UTM nicht all zu viel eingestellt werden.

Roadwarrior

Für Roadwarrior ist die Sache überaus einfach:

  • Am Web-Interface als „admin“ anmelden.
  • Unter „VPN – Globale VPN-Einstellungen“ bei „Domain Name System“ mindestens den „Primärer Server“ eintragen.
  • Dann unter „VPN – SSL-VPN“ den Roadwarrior-Server bearbeiten.
  • Auf der Registerkarte „Allgemein“ im Feld „Search Domain“ die Domäne nach dem Muster „domain.tld“ eintragen.
  • Auf der Registerkarte „Erweitert“ „DNS übermitteln“ aktivieren.
  • Die Änderungen speichern und einmal den Dienst neu starten.

Selbstverständlich muss im Portfilter der DNS-Verkehr ebenfalls zugelassen sein. Das bekommt ihr alleine hin oder braucht’s dazu eine Anleitung? 😉

Site-to-Site (S2S)

Bei Site-to-Site-Verbindungen (S2S, ebenfalls via OpenVPN [oder IPsec]) sieht die Sache etwas anders aus. Das Ganze ist im Hersteller-Wiki gut beschrieben:

Securepoint – Wiki – UTM – DNS-Relay

Nicht irritieren lassen darf man sich davon das im Wiki für „test.local“ erst mit „192.168.175.2“ und dann mit „192.168.0.14“ gearbeitet wird, hierbei handelt es sich vermutlich um einen kleinen Dokumentations-Fehler. Grundsätzlich funktioniert diese Herangehensweise wie sie dort beschrieben ist.

Sofern man mit FQDNs („<hostname>.<domain>.<tld>“, z.B. „srv01.meinedomain.local“) arbeitet funktioniert die Namensauflösung soweit dann schon. Möchte man das einzelne Hostnamen (ohne Domäne) ebenfalls funktionieren, kann man via DHCP das passende Suffix verteilen.

  • Zu „Netzwerk – Netzwerkeinstellungen – DHCP-Pools“ wechseln.
  • Den betreffenden Pool bearbeiten.
  • Zur Registerkarte „Einstellungen“ wechseln.
  • Die Option „Domainname“ auswählen und die Domäne im darunterliegenden Feld eintragen.

Sobald die Änderung gespeichert ist und die Clients das nächste Mal ihre IP-Adresse erneuern wird die Änderung übermittelt.

Damit erhalten die Clients ein „Verbindungsspezifisches DNS-Suffix“, also die Domäne, und können dann z.B. direkt auf „\\<server>“ zugreifen oder diesen anpingen, usw.

Als zusätzlichen Trick oder Alternative ließe sich natürlich auch der entfernte DNS-Server via DHCP verteilen. Auch an dieser Stelle darf der Portfilter nicht vergessen werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.