Andy's Blog

Securepoint UTM: SSL-VPN und DNS

10. Februar 2021 / / Ein Kommentar

Damit bei SSL-VPN-Verbindungen (Roadwarrior oder Site-to-Site, jeweils via OpenVPN) die Namensauflösung funktioniert, muss in einer Securepoint UTM nicht all zu viel eingestellt werden.

Roadwarrior

Für Roadwarrior ist die Sache überaus einfach:

  • Am Web-Interface als “admin” anmelden.
  • Unter “VPN – Globale VPN-Einstellungen” bei “Domain Name System” mindestens den “Primärer Server” eintragen.
  • Dann unter “VPN – SSL-VPN” den Roadwarrior-Server bearbeiten.
  • Auf der Registerkarte “Allgemein” im Feld “Search Domain” die Domäne nach dem Muster “domain.tld” eintragen.
  • Auf der Registerkarte “Erweitert” “DNS übermitteln” aktivieren.
  • Die Änderungen speichern und einmal den Dienst neu starten.

Selbstverständlich muss im Portfilter der DNS-Verkehr ebenfalls zugelassen sein. Das bekommt ihr alleine hin oder braucht’s dazu eine Anleitung? 😉

Site-to-Site (S2S)

Bei Site-to-Site-Verbindungen (S2S, ebenfalls via OpenVPN [oder IPsec]) sieht die Sache etwas anders aus. Das Ganze ist im Hersteller-Wiki gut beschrieben:

Securepoint – Wiki – UTM – DNS-Relay

Nicht irritieren lassen darf man sich davon das im Wiki für “test.local” erst mit “192.168.175.2” und dann mit “192.168.0.14” gearbeitet wird, hierbei handelt es sich vermutlich um einen kleinen Dokumentations-Fehler. Grundsätzlich funktioniert diese Herangehensweise wie sie dort beschrieben ist.

Sofern man mit FQDNs (“<hostname>.<domain>.<tld>”, z.B. “srv01.meinedomain.local”) arbeitet funktioniert die Namensauflösung soweit dann schon. Möchte man das einzelne Hostnamen (ohne Domäne) ebenfalls funktionieren, kann man via DHCP das passende Suffix verteilen.

  • Zu “Netzwerk – Netzwerkeinstellungen – DHCP-Pools” wechseln.
  • Den betreffenden Pool bearbeiten.
  • Zur Registerkarte “Einstellungen” wechseln.
  • Die Option “Domainname” auswählen und die Domäne im darunterliegenden Feld eintragen.

Sobald die Änderung gespeichert ist und die Clients das nächste Mal ihre IP-Adresse erneuern wird die Änderung übermittelt.

Damit erhalten die Clients ein “Verbindungsspezifisches DNS-Suffix”, also die Domäne, und können dann z.B. direkt auf “\\<server>” zugreifen oder diesen anpingen, usw.

Als zusätzlichen Trick oder Alternative ließe sich natürlich auch der entfernte DNS-Server via DHCP verteilen. Auch an dieser Stelle darf der Portfilter nicht vergessen werden.

Ähnliche Artikel:

  1. Securepoint OS v11 – SSL-VPN Roadwarrior und DNS
  2. Securepoint OS v11 – VPN-Benutzern eine IP-Adresse und Portfilter-Regeln zuweisen
  3. OpenVPN Site-to-Site mit pfSense und Securepoint UTM
  4. Securepoint UTM: Roadwarrior, Site-to-Site VPN und Drucken im entfernten Standort
  5. Securepoint OS v11 – L2TP-IPsec PSK und Android

Securepoint, Software

1 Kommentar

  1. Markus Andres

    Auch wenn der Beitrag schon in die Jahre gekommen ist, b ei Windows 10 und Windows 11 Roadwarrior funktioniert die DNS-Auflösung dann noch nicht immer zuverlässig. Lösung:

    Die ovpn-Datei ergänzen um

    block-outside-dns

    vgl.: https://support.securepoint.de/viewtopic.php?t=6688#p16168

    Liebe Grüße
    Markus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑