AD DNS Forwarder durch IP-Sec TUnnel

    Hallo zusammen,

    das ist mein erster Post hier – ich hoffe, ich mache nichts falsch 😊

    Ich habe folgendes Problem:

    Im Rechenzentrum steht eine Sophos XGS, dahinter der Domain Controller (z. B. 192.168.1.1).
    Im Büro steht eine UCG-Fiber mit der IP 192.168.2.254.

    Nun möchte ich auf der UCG DHCP mit Gateway und DNS 192.168.2.254 einrichten.
    Auf der UCG habe ich unter den Policies einen DNS Forwarder angelegt, der Anfragen an domain.local an die 192.168.1.1 weiterleiten soll.

    Vom Client aus kann ich z. B. mit
    test-netconnection 192.168.1.1 -port 53
    erfolgreich prüfen – der Tunnel steht, und DNS ist grundsätzlich erreichbar.

    Problem: Von meinem lokalen PC (z. B. 192.168.2.10) wird eine Anfrage an server.domain.local nicht aufgelöst. Trage ich jedoch direkt die 192.168.1.1 als DNS ein, klappt es problemlos.

    Meine Frage: Hat jemand eine Idee, warum diese DNS-Requests nicht durch den Tunnel geleitet werden? Könnte es am Thema SNAT liegen?

    Vielleicht noch als ergänzung, mit einem Hosteintrag (A-Record) klappt das Problem auf dem UCG, Filter habe ich soweit ich sehen kann alle aus.

    Vielen Dank schon mal!

    Edited once, last by borsch (September 15, 2025 at 6:58 PM).

    1.) NAT ist üblich kein Problem

    2.) Firewall Reglen ? Hast du was verboten ?

    3.) Darf der DNS auch Anfragen vom der Tunnel IP Beantworten ? Forwarding passiert ja von dem Lokalen DNS Server der ICG. Also von der Tunnel IP des VPN

    4.) .local ist der NamesRaum reserviert für MDNS. Sollte nicht als DNS Namen verwendet werden.

    1.) NAT ist üblich kein Problem

    - Ich denke dabei auch tendenziell eher daran, dass ich Source Natting brauche, dass ist nicht auf meinem Mist gewachsen: https://help.ui.com/hc/en-us/artic…tering-in-UniFi ich habe das Sezenario, DC via Policy-Based IPsec VPN daher denke ich SNAT benötige. Ich verstehe aber nicht genau wie und wo.

    2.) Firewall Reglen ? Hast du was verboten ?

    - bin mir sehr sicher, dass das kein Problem ist, da der Test-Connection volle Verfügbarkeit anzeigt

    3.) Darf der DNS auch Anfragen vom der Tunnel IP Beantworten ? Forwarding passiert ja von dem Lokalen DNS Server der ICG. Also von der Tunnel IP des VPN

    - der DC ist nicht eingeschränkt mit seinen Antworten, da ich ihn lokal hinterlegen kann aber dachte ich lasse das lieber die UCG Forwarden.

    4.) .local ist der NamesRaum reserviert für MDNS. Sollte nicht als DNS Namen verwendet werden.

    - aber das ist doch eine Standardeinstellung wenn du eine Windows Domäne aufsetzt, ich kann deswegen ja nicht meine Infrastruktur aufbrechen. Habe davon aber auch noch nie gehört dass .local nicht genutzt werden soll. Unifi arbeitet auf der .localdomain oder?

    Quote from borsch

    - Ich denke dabei auch tendenziell eher daran, dass ich Source Natting brauche, dass ist nicht auf meinem Mist gewachsen: https://help.ui.com/hc/en-us/artic…tering-in-UniFi ich habe das Sezenario, DC via Policy-Based IPsec VPN daher denke ich SNAT benötige. Ich verstehe aber nicht genau wie und wo

    Könnte was dran sein, Steht aber da auch genau drinnen was du wo eingeben sollt. Aus Mangel an einem IPSEC s2s kann ich das aber aktuell nicht
    testen. Wobei ich hier klar Routen Basierte Tunnel bevorzugen würde. Policy Bases ist meinst eher ein Krampf.
    Aber du wirst deine Gründe haben.

    Daher ja auch die Frage on eine Auflösung des DNS VON der UCG klappt. Denn diese ist die Quelle deiner DNS Anfragen beim Weiterleiten.
    da hilft es wenn aus den angeschlossenen netzen funktioniert, wenn der Router selber nicht darf oder halt selber nicht durch den Tunnel kann.

    Quote from borsch

    aber das ist doch eine Standardeinstellung wenn du eine Windows Domäne aufsetzt

    Mag sein MS hat da eigne Vorstellungen und ist sich selber nicht eins. Schau dir https://en.wikipedia.org/wiki/.local
    weiter unten an. Es Gibt links zu ner Handvoll MS Artikel die das eine oder andere sagen.


    Fakt ist ist aber ".local" für mdns reserviert ist und je nach OS das mal Funktionieren kann oder nicht.
    Mal wundert sich der Fachmann warum keine Geräte mehr automatisch gefunden werden, und der Leihe sich warum
    da DNS so besheiden funktioniert. In allgemeinen will man solch Fehler gerne vermeiden und nutzt daher keine reservierten
    domains.

    Quote from borsch

    Habe davon aber auch noch nie gehört dass .local nicht genutzt werden soll.

    Es sind die kleinen Details die aus einem Altgesellen einen Meister machen :-)
    hier zum Anfang mal ne Übersicht was so Reserviert ist im DNS System
    https://www.iana.org/assignments/special-use-domain-names/special-use-domain-names.xml

    Wenn ich mich per SSH auf der UCG einwähle, kann ich den DC nicht per Ping erreichen – der Traffic wird nicht durch den Tunnel geschickt. Mit traceroute sehe ich, dass Anfragen Richtung DC ins Internet geleitet werden, anstatt über den Tunnel. Deshalb ist vermutlich das SNAT so wichtig, aber mein Eintrag hat keine Relevanz und UCG ignoriert diesen.

    Edited once, last by borsch: Da haben sich unsere Einträge gerade etwas überschnitten. :-) Ich kenne das Problem früher von den Bintecs, wenn man hier durch den Tunnel pingen möchte, musste man ein Source Interface angeben. Das ist wohl ein typisches Router Problem. Die Frage ist eben wie ich das auf der UCG umsetze, mein SNAT Eintrag funktioniert jedenfalls nicht. (September 16, 2025 at 8:58 AM).

    Das Default Gateway für das UCG ist der Internetprovider und niemals nicht ein Tunnel, hast Du ja inzwischen auch festgestellt. Auch die Policy Based routen greifen nicht für das Gatewayy selbst. Da wird eine statische route benötigt. SNAT wird Null bringen (und ist überflüssig), weil das Routing ja gar nicht passt.

    Ich hab das mit Wireguard wie folgt ... 172.22.2.10 ist der DNS Server im entfernten Netz (wo die forwarding rule für die Domäne hin zeigt) 10.0.0.2 ist das lokale VPN Tunnel Ende meines UCGs. NAT ist auf dem Wireguard aus (meine UCG läuft als Wireguard Client).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login