Einseitige Vertrauensstellung und Namensaufösung mit Cloud Gateway Max

    Moin.

    Ich bin neu hier im Forum

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    und sage mal Hallo.

    Ich arbeite in einem Unternehmen welches Windparks betreut. Wir haben mehrere (4) Standorte und wir wollten nun alles auf Unifi umswitchen.

    Nun haben wir folgendes Problem.

    Unser Netzwerk sind 4 Domänen welche über ein VPN Tunnel miteinander verbunden sind. Im DNS sind bedingte Weiterleitungen eingerichtet. Die Domänen sind über Vertrauensstellungen Bidirektional verbunden. Es lief seit Jahren problemlos.

    Mit dem wechsel des Routers (auf den Cloud Gateway Max) ist folgendes Problem aufgetreten. Die Namensauflösung zum Standort wo der Max sitz klappt. Aber ich bekomme keine Namensauflösung mehr zu den anderen Standorten hin. Irgendetwas block die ausgehenden Anfragen.

    Hat jemand eine Idee was da los ist..? DHCP macht Server, Statische Routen sind eingetragen (Ping usw läuft).

    PS: Testweise eine Fritzbox, Tp-Link, GL-Inet Router angeklemmt. Und alles läuft

    LG

    Schön das Server DHCP macht ... aber relativ egal weil hat mit DNS ja nicht wirklich viel zu tun.

    Das wichtigste ... Was für VPN Tunnel und wie sind die Standorte miteinander verbunden? Welcher Router wurde ausgetauscht?!?

    Mach bitte mal eine Skizze und erkläre bitte genauer was wo genau nicht klappt.

    PS: Das einseitige Vertrauensstellung im Thema ist leicht irreführend.

    Hier die 4 Standorte.

    nslookup zu Standort A geht von allen anderen Standorten. Tausche ich den Router gegen einen anderen. Funktioniert alles so wie es soll.

    DNS Port 53 wird auch über Wireguard durchgeschliffen. Wireshark sagt auch, das alles iO ist.

    Was uns wichtig ist, ist eine Deep Packet Inspection (DPI) sowie IDS/IPS und das als SDN. Deswegen wollte ich alle Standorte auf Unifi umstellen.
    Alternativ wäre Zyxel die andere Option.

    Bin für jede Hilfe dankbar. Gerne auch gegen ein Trinkgeld an euch

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Nslookup Non-existent Domain. Ping und IP Zugriff \\192.168.xxx.xxx geht. Die Probleme habe ich nur mit dem neuem Unifi Router. Klemme ich einen anderen Router dran geht's wie gewohnt.

    Ganz komisch.

    Scheint also nicht an Firewall oder NAT zu liegen was irgendwie durch die Wireguard Implementation bei Unifi verurscaht werden könnte zu liegen. Site2Site Wireguard gibt es da ja nicht wirklich und das Unifi ist dann also quasi Server oder Wireguard Client (hier gäbe es ja Firewallprobleme und NAT von Haus aus).

    Da ein einfaches Austauschen des Unifis reicht damit alles normal läuft, sollte also dafür sprechen, das die bedingten DNS Weiterleitungen und die DNS Suffixe alle passen.

    Als DNS wird vermutlich der jeweilige DC des standorteigenen DNS verwendet und in diesem sind die bedingten Weiterleitungen konfiguriert? oder ist das im Unifi weitergeleitet und der DC leitet alle DNS Anfragen, die er nicht beantworten kann ans Unifi?

    Auflösung von B,C,D nach A geht, B,C,D untereinander auch ok? nur von A nach B,C,D ist nicht ok? Habt ihr im Unifi evtl. AD Block oder ähnliches an? Scheint ja irgendwie wieder so eine Unifi DNS Anfragen Umwurstelung zu laufen, die hier schrott liefert.

    Moin.

    DNS macht überall der jeweilige DC. Bei den drei anderen Standorten B,C,D geht alles problemlos. Was ich noch nicht erwähnt habe ist das auf dem UCG-Max Dual WAN aktiv ist, aber nur als Failover (Starlink) war bei dem alten Router aber auch so. Adblock und IDS ist aus, dafür haben wir "noch" eine andere Lösung.

    Wireguard ist aktuell nicht 100% als S2S zu gebrauchen, wenn überhaupt nur eh nur als SERVER.

    Grade bei DNS mit AD und Content Filter wird reichlich schon auf IP ebene umgebogen und das in Abhängigkeiten von

    irgendwelchen IP MARKS die ich immer noch nicht ganz durchschaut habe.

    Frage im Wireguard Server auf dem Unifi, was hast du unten als DNS angeben ? Automatisch ?

    Trag da mal den DC DNS ein.. Augenscheinlich kann ein EG Client sich sonst Mut mit dem

    Gateway DNS unterhalten, bzw. wird auf den umgebogen.

    +

    Irgendwo macht Unifi auch noch nen PAT/NAT auf der EGH Verbindung... die ggf deaktivieren mit einer:

    passende Regel...

    Sonst must du halt mal mit Wierschark / TCPDUM schauen wo / wie / wann Pakete Fliesen und ob sie dann

    ankommen wo sie sollen...

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login