Kein Zugriff auf virtuelle Clients im Internet

Ist jetzt mal nur ins Blaue, aber vielleicht hat es auch mit IP4/6 zu tun, deine UDM kriegt nur das eine und deine Server können nur das andere...

Du musst natürlich das logging der Firewall aktiv haben, dann kannst du mit SSH auf die UDM zugreifen und dir die logs abholen

tail -F /var/log/messages

Zitat von Uwe

ich hab das Problem, dass ich aus meinem Heimnetzwerk die virtuellen Clients (Citrix Server) meiner Firma nicht erreichen kann. Wenn ich z. B. über Mobilfunk gehe, und damit die UDM umgehe, klappt der Zugriff einwandfrei.

ich gehe einmal davon aus, dass Du Deine VM-Clients per Client-VPN versuchst aus dem heimischen Netzwerk zu erreichen. Wie oben schon angedeutet, mögen jedoch halbwegs ordentliche Firewall-Router einen Tunnelaufbau aus dem lokalen Netzwerk nicht, wenn dieser nicht von diesen selbst initiert wird. Du müsstest jetz nun wissen, welche Ports Dein VPN verwendet und diese in der Firewall für ausgehenden Traffic öffnen. Ob dies bei der UDM überhaupt geht , weiß ich nicht, denn oftmals werden diese Dinge nicht über Firwallregeln, sondern z.B. über Applikationsfilter realisiert (hat die UDM so etwas?). Da wirst du sicher mal etwas ins Datail einsteigen müssen oder Du lässt gleich Deine UDM ein site2site VPN zu deiner Firma aufbauen - dann soltte es gehen.

Zitat von KJL

Ist nur nen etwas besserer Portfilter den die verwenden.

Dann sollte das ja machbar sein

Zitat von Uwe

über (eine Art) VPN

Eine Art von VPN? Was meinste denn damit, ein VPN bleibt ein VPN, egal nach welchem Verfahren und mit welchem Protokollen es aufgebaut wird.

Zitat von Uwe

Die VMs sind ohne VPN im InTERnet erreichbar

Gut, dass man das auch einmal erfährt Wenn Deine "VM"s jedoch öffentlich im Internet stehen, Du diese über den Umweg Mobilfunk erreichst und Du mittels Deiner Heimnetz-UDM an sonst ins Internet kommst (wovon ich einmal ausgehe, sonst würdest Du hier ja nicht schreiben), dann hast Du wahrscheinlich ein Problem mit der Namensauflösung - suche mal in dieser Richtung.

Zitat von KJL

In den Microsoft Docs findest du aber auch zahlreiche Hinweise zur Fehlersuche/behebun

Da wirst du aber ganz leicht wuschig im Kopf!

An sonst ist es aber gerade Windows Server recht einfach, DNS ordentlich aufzusetzen, wenn man das Teil als Domain-Server nutzt und diesem die Rollen DHCP und DNS mit überträgt (übrigens mindesten seit Server 2012 bis 2022 nahezu unverändert).

Wenn man dann in den DHCP-Bereichsoptionen den Domain- auch als DNS-Server einträgt:

dann erhalten alle Cleints im LAN diesen Server als abzufragenden DNS-Server vorgegeben (falls sie nicht statisch anders konfiguriert sind) und der Namensauflösung ins Internet steht erst einmal nichts im Wege, soweit auch der DNS-Dienst vom Server passend konfiguriert ist.

Mit der lokalen Namensauflösung sieht es jedoch dann etwas anders aus. Zu diesem Zweck legt Windows bei der Installation automatisch eine DNS-Zone an, in welcher schon erst einmal alle Domain-Mitglieder landen, Clients, welche nicht Domain-Mitglieder sind, aber deren Namen aufgelöst werden soll, lassen sich statsich hinzufügen. Hier einmal eine Vorwärtssuche:

und hier die Rückwärtsuche:

So funktioniert dann die Namensauflösung im LAN.

Anfragen aus dem LAN, welcher der Server dann lokal nicht auflösen kann (und welche er auch nicht aus früheren Anfragen im Cache hat) sendet er dann an über das Standardgateway an DNS-Server im Internet weiter. Die Adressen dieser Server sind erst einmal als sogenannte "Stammhinweise" von Windoes vorgegeben:

allerdings beliebig konfigurierbar.

Das war es dann auch schon, was man bei einem kleinen Netz erledigen muss, damit DNS im LAN ordentlich funktioniert - das AD eines Windows Servers hat eben auch seine Vorteile Tunlichst vermeiden sollte man jedoch, das z.B. der eigene Router in der Namensauflösung rumpfuscht, es sei denn, man kann diesem als DNS-Proxy/Cache konfigurieren. Nach oben sind natürlich kaum Grenzen gesetzt (der DNS-Dienst/Server kann z.B. auch Zonen andere Netze verwalten) aber für ein einfaches Home-LAN ist es so vollkommen ausreichend.

Die gezeigten Beispiel stammen übrignes aus meinem eigenen Home-LAN (Server 2019), wobei ich dann doch noch ein Stück weitergeganen bin.und den Server von der Namensauflösung im Internet entbunden habe. Dies übernimmt ein Pi Hole, bei welchen der Server per sogenannter Weiterleitung anfragt:

(warum dieser dessen Namen nicht auflöst - darum muss ich mich noch einmal kümmern). Der Pi Hole bekommt dann auch nur den Windows-Server und sich selbst zu sehen:

und dessen Antworten gestalten sich dann so:

Wie man sieht verwendet er auch zwei lokale Server zum auflösen, einmal den des Home-Netzes und den eines entfernten, per site2site VPN verbundenen Netzes. Damit dies aber funktioniert, musste ich den Firewall-VPN-Router (Sophos XG) mit einbinden, dieser arbeitet quasi als Proxy und deshalb taucht er auch unter den Weiterletungseinträgen.im Windows DNS Server auf

Aber soweit muss man es gar nicht treiben, Für ein einfache LAN reicht tatsächlich die (halb)automatsiche Einrichtung eines ADs nebst DHCP- und DNS Dienst aus. Hängt man -wie gezeigt- dann noch einen Pi Hole davor, hat man ein gue funktionierdes DNS im eigenen Netz, welches dann auch noch schön filtert.