DNS ja Ciscon VPN

Simppa · Viesti Kirjoittaja **Simppa** » 20.3.2006 klo 18.54

Sellanen probleemi tuli, notta kun Ciscon Vpnllä ottaa yhteyttä firman verkkoon, kaikki toimii ok, paitsi dns ei pelaa. Supralla ipllä pääsee kiinni haluttuun koneeseen, muttei nimillä. Pcllä toimii oikein. Oisko ideoita?

Lare · Viesti Kirjoittaja **Lare** » 20.3.2006 klo 20.04

Meniskö DNS-kyselyt ulos VPN-putkesta? Ilmeisesti kyseessä on domainnimi joka löytyy vain firman sisältä?
Ainakin PC:ssäni ne menee väkisin VPN-putkeen, eli firman DNS:ään, jos checkPointSecuremode rasti on päällä. Ei hajuakaan miten tuo korjataan MACiin...

Simppa · Viesti Kirjoittaja **Simppa** » 20.3.2006 klo 20.12

Juu tilanteen hahmotit oikein. Mutta mistä sä pcstä pistät päälle ton checkPointSecuremode:n. Ei tunnu millään löytyvän.

Lare · Viesti Kirjoittaja **Lare** » 20.3.2006 klo 20.29

Control Panel > Network Connections > <valitse interface>, klikkaa oikeaa hiirtä, valitse properties. Siellä on ruuturasti Check Point SecuRemote. Vaatii admin-oikeudet muuttamiseen. Rasti poistaa/lisää VPN-pinon. Kyseinen rasti on monesti resettiäkin vahvempi herätys XP:lle. Sitten aktivoidaan VPN-ohjelma ja ollaan sisäverkossa....

Off-topic:
Kyseinen rasti pitää olla pois jos meinaa FTP:tä käyttää firmasta ulos, ja proxy-asetukset oltava kohdillaan.

Lare · Viesti Kirjoittaja **Lare** » 20.3.2006 klo 20.49

Koska tässä munaa vain virtuaaliminänsä, niin auttaisko uusi Location, jossa omat DNS servers -määritykset? K.o. Location käytössä vain VPN-yhteyden aikana.

Simppa · Viesti Kirjoittaja **Simppa** » 20.3.2006 klo 21.06

Ei auta valitettavasti, koska vaikka dnssät olis käsin annettu, niin ne ei silti tunnu toimivan. Jos ciscon vpn on päällä noilla Network asetuksilla ei taida olla paljon virkaa.

Lare · Viesti Kirjoittaja **Lare** » 20.3.2006 klo 21.34

En ole ikinä moista VPN-ohjelmaa käyttänyt, mutta liittyiskö jotenkin Split DNS -asiaan? Katseleppa niistä CISCO-asetuksista.
http://www.cisco.com/en/US/products/sw/ ... 011ce.html

Support for split DNS

The ability to direct DNS packets in clear text over the Internet to domains served through an external DNS (serving your ISP) or through an IPSec tunnel to domains served by the corporate DNS. The VPN server supplies a list of domains to the VPN client for tunneling packets to destinations in the private network. For example, a query for a packet destined for corporate.com travels through the tunnel to the DNS that serves the private network, while a query for a packet destined for myfavoritesearch.com is handled by the ISP's DNS. This feature is configured on the VPN server (VPN concentrator) and enabled on the VPN client by default. To use split DNS, you must also have split tunneling configured.

Simppa · Viesti Kirjoittaja **Simppa** » 21.3.2006 klo 13.12

Sä oot Lare kyllä todella ansiokkaasti jaksanut paneutua tähän onngelmaan, kiitti.
Luulenpa, että DNS ongelman selvittäminen lähenee, sillä etc hakemistossa on resolv.conf tiedosto, johon voi käsin syöttää osoitteita. Nyt tarttis vaan selvittää vielä, että miten tota luetaan tai siis lähinnä, että koska.

Lare · Viesti Kirjoittaja **Lare** » 21.3.2006 klo 21.19

Simppa kirjoitti:Sä oot Lare kyllä todella ansiokkaasti jaksanut paneutua tähän onngelmaan, kiitti.
Luulenpa, että DNS ongelman selvittäminen lähenee, sillä etc hakemistossa on resolv.conf tiedosto, johon voi käsin syöttää osoitteita. Nyt tarttis vaan selvittää vielä, että miten tota luetaan tai siis lähinnä, että koska.

Ilmassa on ironiaa.

Googlella löytyi suoraan "cisco vpn dns mac". Joskus käy tuuri.

Simppa · Viesti Kirjoittaja **Simppa** » 21.3.2006 klo 21.29

No niinpä. joillakin toi oli toiminut, joillakin ei. Mulla ei, et taas ollaaan lähtökuopissa.

Lare · Viesti Kirjoittaja **Lare** » 21.3.2006 klo 21.55

No voi harmi. Kun ei tiedä, niin pitää arvata:
- Voiko importooida konfistiedoston niiltä, joilla toimii? Tuo client tuntuisi sitä tukevan.
- Joitain bugeja tuntuu olevan: http://www.macwindows.com/tiger.html#a
- Lisää http://www.macwindows.com/tiger.html#112805
- Work-aroundejakin tuolla tuntuu olevan e.m. sivuilla.
- Tääkin näyttää ihan mielenkiintoiselta: http://www.macosxhints.com/article.php? ... 5204044989
- jne.

Onnea vaan Googlaukseen ja taistoon. Et tunnu olevan DNS-ongelmiesi kanssa yksin. Jos se nyt lohduttaa...

Lare · Viesti Kirjoittaja **Lare** » 4.4.2006 klo 18.51

Joko nyt alkais pelittää kun sekä OS X 10.4.5 että 10.4.6 päivityksen selitykset mainitsee Ciscon VPN:n korjattuina asioina?

Simppa · Viesti Kirjoittaja **Simppa** » 6.4.2006 klo 22.38

YepYep. Ny silmät toimii.

No sikäli juu, että postipalvelimelle (exchange) mennään heittämällä sisään, mutta sellaset osoitteet, joko webbi tai laite, mitkä on meitin intran ja päättyy domain.local:iin ei onnistu yhteys nimellä, ainoastaan numero ipllä. Tää menee sen verran monimutkaiseksi, et pitäis jotain teoriaa osata jostain, mut ku ei tiedä, että mistä.

Lare · Viesti Kirjoittaja **Lare** » 7.4.2006 klo 14.02

Laitoin tuon vastauksen toiveekkaana, jos olisit vaikka jo käyttiksen päivittänyt, ja jos vaikka olisi päivityksen myötä ongelma korjaantunut. Kuvauksissa nimenomaan VPN ja CISCO mainitaan ihan erikseen. Eli kannattaa kokeilla ilman muutoksia käyttispäivityksen jälkeen.

Teoriassa tässä ei ole mitään erityisen haastavaa: DNS-kysely vuotaa VPN-putkesta ohi. Tää voi johtua Ciscon VPN-asetuksista, Mac-asetuksista tai softabugista, tai kaikista kolmesta.

Käytännössä sitten on vaikea ymmärtää mistä se johtuu kun ei tiedä millä logiikalla OS X + Cisco VPN homma toimii, mikä asetus menee minkäkin yli. Esim katsooko OS X ensin IP-osoitteen, eikä edes tarjoa VPN-ohjelmalle, vai päinvastoin, jne jne.

Simppa · Viesti Kirjoittaja **Simppa** » 7.4.2006 klo 14.21

Juu, kyllä tää kusee vieläkin. Mutta siis nyt pääsen tohon exchange serverille nimellä. Hassuinta tässä on, että Ciscon lologit kertovat löytäneensä oikean nimipalvelimen, ja siitä todisteena toi exchange serveri. Ongelma siis koskee enää noita .local päätteisiä osoitteita.