Interne URLs trotz VPN Verbindung nicht erreichbar - Synology DNS

[Sithys]

Moin zusammen,
ich reiß mir hier die Haare aus... wir haben ein RS3618xs mit eingeschaltetem DNS und etlichen internen URLs wie beispielsweise:

https://git.firma.de
https://telefon.firma.de
https://nas.firma.de
etc.

wenn ich im Büro bin sind die URLs alle einwandfrei zu erreichen. Sitze ich zuhause und bin über VPN verbunden bekomme ich von der Synology immer eine Fehlermeldung: Es tut uns leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.
Das spannendste ist aber, dass diese Fehlermeldung nur in Chrome und der neusten Edge-Version auftritt. Mit dem Internet Explorer funktioniert der Abruf der Seiten einwandfrei. Ich hab mir schon einen Wolf gesucht und in Chrome den Support for HTTPSSVC records in DNS disabled, leider ohne Erfolg.

Was in Chrome/Edge muss ich einstellen, damit dort die URLs vernünftig aufgelöst werden? Vielleicht hat ja jemand eine Idee!

Beste Grüße!

 

[LorD-AcE]

Ich denke du musst den DNS des Firmennetzwerks verwenden, sonst kennt niemand diese Adressen.

Ist der Firmen DNS auch im VPN die erste Anlaufstelle?

 

[Yuuri]

Du musst wohl einfach DoH deaktivieren. So geht er am lokalen DNS vorbei.

 

[Sithys]

Ich denke du musst den DNS des Firmennetzwerks verwenden, sonst kennt niemand diese Adressen.

Okay also Chrome und Edge nehmen dann meinen DNS und der IE den aus der Firma oder wie? Mit dem Internet Explorer geht doch alles, es muss was mit Chrome und Edge zu tun haben.

Du musst wohl einfach DoH deaktivieren. So geht er am lokalen DNS vorbei.

Wie ich geschrieben habe (und auf dem Screenshot ersichtlich ist) ist DoH bereits aus.

 

[Raijin]

Mach einmal

nslookup git.firma.de

Mit und ohne VPN. So testest du den lokal eingestellten DNS und siehst welcher DNS gefragt wird.

 

[Sithys]

Mit VPN fragt er das NAS aus dem Büro nach der Auflösung (was korrekt ist), ohne VPN meinen DNS-Server (PiHole).

 

[PhilAd]

Genau ... erstmal testen über welchen Weg er geht und welche Records rauskommen.
Mit Chrome 86 hat sich das DoH Verhalten geändert. Eine Deaktivierung erfolgt über die Einstellungen -> Datenschutz & Sicherheit. Gleiches gilt für Edge ab 86

Ein weiterer Punkt der mir einfällt könnte auch das Asyncrone DNS auflösen vom Chrome sein ... Vielleicht ebenfalls mal testweise deaktivieren. Dafür eine neue Verknüpfung für den Start erstellen und --disable-async-dns hinzufügen.
Danach
chrome://net-internals/#dns
Clear host cache

 

[LorD-AcE]

Okay also Chrome und Edge nehmen dann meinen DNS und der IE den aus der Firma oder wie? Mit dem Internet Explorer geht doch alles, es muss was mit Chrome und Edge zu tun haben.

Der alte IE nimmt standardmäßig die Einstellungen des OS, Chrome und damit auch der neue Edge eben nicht, swiw ich ermitteln die gern selbst und dass muss nicht unbedingt immer identisch sein mit den im OS hinterlegten Daten. Setz den DNS Server in den Browsersettings manuell einfach mal auf den des Firmennetzwerks, also wahrscheinlich auf den DomainController in einem Windows Netzwerk mit AD.

 

[Sithys]

Danke für die ausführlichen Antworten. Leider nach wie vor keine Lösung, ich bekomme immer noch die Seite vom NAS zurück.

Wenn ich den DNS-Server fest auf das NAS setze kann ich ja nur noch über VPN überhaupt surfen, das NAS löst ja nicht die Requests von außerhalb auf.

 

[Raijin]

Mit VPN fragt er das NAS aus dem Büro nach der Auflösung (was korrekt ist), ohne VPN meinen DNS-Server (PiHole).

Das klingt richtig, wenn pihole dein lokaler DNS ist. In dem Fall kannst du pihole einen benutzerdefinierten Eintrag für die fraglichen Domains verpassen. Dann beantwortet auch pihole diese Domains wie gewünscht.

 

[Sithys]

Easy...da hätte ich natürlich auch schon früher drauf kommen können. Funzt mit den PiHole-Einträgen natürlich direkt. Hilft mir jetzt natürlich, aber für die anderen Mitarbeiter, die alle ärger haben, hab ich so noch keine Lösung. :/ Echt Käse, dass der Browser nicht einfach Browser ist.

 

[cricru]

ich bekomme immer noch die Seite vom NAS zurück.

Das heisst ja ansich dass der richtige DNS verwendet wird, nur scheint Chrome die Anfrage irgendwie falsch zu stellen
edit: Denkfehler...

 

[Raijin]

@RedGunPanda : Sind diese Domains denn öffentlich erreichbar? Also existiert firma.de (mutmaßlich natürlich irgendeinfirmenname.de) und ist dein Ziel über diese Domain auch ohne VPN erreichbar? Wenn git.firma.de öffentlich erreichbar ist, sollte man in den Einstellungen beim Hoster von firma.de auch den DNS-Eintrag für diese Subdomain anpassen können. Ist diese Subdomain jedoch ausschließlich zur internen Verwendung (nicht öffentlich erreichbar, auf eine lokale IP aufgelöst), wäre das jedoch unsauber, weil dann effektiv jeder herausfinden kann wie euer Subnetz aussieht.

Der normale Weg für rein lokal genutzte Ressourcen in der Firma wäre daher ausschließlich via VPN nebst DNS-Einstellungen aus dem VPN. So werden lokale Firmendomains auch "lokal" bzw. vom VPN-DNS aufgelöst und alles flutscht.

Außerhalb des VPNs ergibt es natürlich auch keinen Sinn, rein lokale Firmendomains öffentlich aufzulösen, weil ohne VPN mutaßlich eh keine Verbindung möglich ist. Bringt ja nix, wenn zB 8.8.8.8 die für git.firma.de die 192.168.1.23 zurückgibt, wenn du ohne VPN gar nicht darauf zugreifen kannst.


Zum besseren Verständnis wäre es daher hilfreich, wenn du die Konstellation etwas genauer beschreibst. Welche Ressource sitzt wo und soll von wo genutzt werden? Soll dies öffentlich erreichbar sein (ohne VPN) oder VPN-only?





Was browser-eigene DNS angeht, kotzt mich das ehrlich gesagt auch an. Mein pihole ist entsprechend mit conditional forwarding für meine lokale Domain (zB speedport.ip) konfiguriert und leitet entsprechende Anfragen an den Speedport weiter - so soll's sein. Wenn sich der Browser da nun ein Ei drauf backt und ungefragt nicht näher spezifierte DNS im www fragt, funktioniert das natürlich einerseits nicht mehr und andererseits hasse ich es, wenn Hard-/Software Dinge tut, die ich nicht explizit anweise - und die Anweisung kommt ja eigentlich vom Betriebssystem in Form des dort eingestellten DNS.

 

[PhilAd]

Natürlich könnte man private IP-Adressen für A-Records im öffentlichen Bereich anlegen, die dann nur erreichbar sind, wenn man eine VPN Verbindung aufgebaut hat. Man gibt damit natürlich einen Teil der internen Informationen öffentlich bekannt, aber ich hätte da eher weniger Sicherheitsbedenken. Viele Anbieter lassen aus diesem Grund RFC1918 Adressen mittlerweile zu.

 

[morcego]

Welchen VPN benutzt du denn? Den von Windows?