Ik heb problemen met mijn Mobile Client VPN - ik ben vrij zeker dat het probleem met DNS-resolutie in Windows ligt.
Ik wil dat de Mobile VPN een split tunnel is, ik heb vooral toegang nodig tot bestandsdelingsschijven aan de VPN-kant (via FQDN), ik geef niet om internetverkeer.
Ik gebruik pfSense IPsec Mobile Client.
Configuratie
Alles onder dit vinkje is uitgevinkt (WINS-servers, Phase2 en inlogbanner)
Op de Windows-zijde is de VPN ingesteld als “Alle gebruikers” VPN. Mijn einddoel is dat gebruikers de ‘netwerklogin’ kunnen gebruiken op het vergrendelingsscherm om voor de eerste keer in te loggen op de laptop. Dit werkt niet. Alles anders aan de VPN werkt - ik kan inloggen op het netwerk als ik al eerder op de machine ben ingelogd, en zodra ik in Windows ben, kan ik mijn netwerkshares openen en lijkt de split tunnel gewoon goed te werken.
IPv4-instellingen (in de Windows VPN-adapter)
1
2
3
4
ipconfig /all na verbinden met VPN
Dus alles werkt goed, maar wanneer ik probeer in te loggen met een account dat ik nooit eerder heb gebruikt, krijg ik het volgende bericht:
“We kunnen je niet aanmelden met deze inloggegevens omdat je domein niet beschikbaar is”
en in de eventvwr
“Naamresolutie voor de naam DOMAINNAME.com is verlopen nadat geen van de geconfigureerde DNS-servers heeft gereageerd.”
(Hoewel uit de pfSense-logs blijkt dat de VPN-verbinding wel is gemaakt, alleen kon Windows niet bij DOMAINNAME.COM komen)
ECHTER - als ik “Gebruik standaardgateway op het externe netwerk” (in Geavanceerde TCP/IP-instellingen van de VPN-adapter) zet, kan ik voor de eerste keer inloggen met het account en mijn bestandsshares openen (kan alleen geen internet openen) maar ik wil dat mijn internetverkeer niet via de VPN gaat.
Heeft iemand ideeën?
Zie waar je die standaardroute hebt uitgevinkt in afbeelding 2? Windows voegt een klasse gebaseerde route toe, wat voor jou (omdat je een “Klasse C” adres gebruikt van de RFC1918 192.168.0.0/16 supernet) betekent dat Windows alleen 192.168.253.0/24 bereikbaar over de VPN beschouwt. Wat niet je DNS-servers bevat, wat betekent dat je AD niet kan worden opgelost.
Bewerking - mogelijke oplossingen zijn je firewall aanpassen om internetverkeer toe te laten en een standaardroute gebruiken op de VPN, of een nieuwe IP-adresconfiguratie doen met een van de grotere Klasse “B” of “A” RFC1918 reeksen - als je VPN een IP-adres uitdeelt op 10.0.253.0/24, dan voegt Windows een route toe voor 10.0.0.0/8 via de VPN.
Bewerking 2 - een andere mogelijke oplossing is een virtueel IP op de pfSense-box binnen 192.168.253.0/24, dat poortforward UDP+TCP/53 naar je domeincontrollers, en de VPN geeft die IP’s uit als onderdeel van de configuratie.
Dus, ik heb het eigenlijk net opgelost nadat ik de configuratieschermen die ik heb gepost nog eens heb bekeken. Het zat me twee dagen te behinderen en het was iets simpels.
Heb mydomain.com toegevoegd aan “DNS-achtervoegsel voor deze verbinding” en dat leek het op te lossen.
Ik ben er vrij zeker van dat omdat dat niet daarin zat, de VPN zou verbinden, en Windows zou zoeken naar mydomain.com via de ethernet- of wifi-adapter, niet de VPN-adapter. Het toevoegen daarvan duwt het naar de top van de ‘zoeklijst’.
Vreemd. Volgens mijn ervaring met Windows VPN’s zou het nog steeds niet moeten werken - het toevoegen van die instelling beïnvloedt alleen de oplossing van ongespecificeerde hostnamen, dat wil zeggen een hostnaam zonder punten. Door je AD “mydomain.com” op te zoeken, is dat geen ongespecificeerde hostname meer, dus die setting is volledig irrelevant. Bovendien, aangezien de DNS-server niet bereikbaar zou moeten zijn, zou je alles kunnen proberen en het zou toch mislukken.
Toch, blij dat het voor jou werkt!
Eerlijk gezegd, ik maak het via PowerShell, en voeg deze route toe:
Add-VpnConnectionRoute -ConnectionName “VPN Connection” -DestinationPrefix 192.168.1.0/24
Wat de route in het pbk-bestand codeert. Ik denk dat ik de pdk verspreid via Group Policy-bestanden.
Interessant - ik ben die specifieke cmdlet nog nooit tegengekomen. Misschien omdat het nieuw is in Windows 8.1 en ik me normaal richt op dingen die tot Windows 7 werken. Maar, ik leer het vandaag, bedankt voor de tip!
