NRTP oder ähnliches Feature bei CheckPoint Firewall

[Zensai]

Hi zusammen,

ich beschreibe kurz das Problem:

CheckPoint FirewallCluster
1 interner DNS
VPN Client mit DNS des internen Netzes.

Ziel: Hostname.Domain.tld soll aus dem VPN anders aufgelöst werden als wenn er im internen Netz ist.

Konfigurierbar sind jedoch nur ganze Netze. Die Auflösung darf allerdings AUSSCHLIEßLICH für HOSTNAME anders sein. Ich kann also nicht die ganze Domain an einen anderen DNS umleiten.
Hat jemand eine Idee, wie ich das hinbekomme, außereinen separaten DNS für die VPN Clients aufzubauen undnur diesen Eintrag zu ändern?

 

[kartoffelpü]

ohne Kenntnis der Checkpoint-Appliances: es könnte evtl. über einen lokalen (auf der FW) hosts-Eintrag funktionieren.

Bei uns müssen wir leider auch ein paar DNS-Zonen doppelt pflegen (intern und öffentlich), da manche Services aus dem Firmennetz über eine interne und nicht über die public IP angesprochen werden sollen.

Falls ihr für DNS Windows Server 2016/2019 einsetzt, müsste man sowas über Policies lösen können: https://docs.microsoft.com/de-de/windows-server/networking/dns/deploy/dns-policies-overview

 

[chris_2401]

Wozu brauchst du das ganze?
Deine Situation klingt für mich stark nach XY-Problem...

 

[Zensai]

Kein XY Problem, keine Angst

Es gibt Services, die intern und extern anders auflösen müssen.

Traffic darf nicht durch den VPN geroutet werden. Dafür gibt's einen eigenen Edge Server.
Sind die Clients nun im VPN, wird aber die interne IP anstatt die des Edge aufgelöst.

Wäre es DA oder always on VPN könnte man einfach NRTP nutzen, ist hier aber nicht der Fall.
Einen eigenen zweiten DNS für die Clients im VPN ist aber halt auch Overkill an der Stelle.

Ist ein MS DNS soweit ich weiß, genau sagen kann ichs aber nicht. Ist nicht mein System.

Eigentlich würde es reichen den Traffic der Applikation zu blocken. Application Detection ist aber natürlich auch nicht eingerichtet..