Mac OS X Mountain Lion – DNS-Auflösung verwendet falsche Reihenfolge bei VPN über DFÜ-Verbindung

Ich hatte das gleiche Problem auf meinem Mac und nachdem ich es behoben hatte, habe ich herausgefunden, dass es von FortiClient (VPN-Client) verursacht wurde. Selbst als FortiClient getrennt wurde, erschien sein DNS immer noch im scutil.

Die Lösung war für mich:

scutil
> list ".*DNS"

Dies zeigt Ihnen eine Liste aller DNS-Konfigurationen, die in etwa so aussehen wird:

subKey [0] = State:/Network/Global/DNS <br>
subKey [1] = State:/Network/MulticastDNS<br>
subKey [2] = State:/Network/OpenVPN/DNS<br>
subKey [3] = State:/Network/OpenVPN/OldDNS<br>
subKey [4] = State:/Network/PrivateDNS<br>
subKey [5] = State:/Network/Service/forticlientsslvpn/DNS <br>

Um jeden von ihnen zu überprüfen, führen Sie Folgendes aus: (bis Sie den problematischen finden)

> get key_name
> d.show

… und um es zu beheben, führen Sie Folgendes aus:

> get key_name
> d.remove ServerAddresses
> set key_name

So sah es auf meiner Maschine aus:

> get State:/Network/Service/forticlientsslvpn/DNS 
> d.show
<dictionary> {
  ServerAddresses : <array> {
    0 : 192.168.30.6
    1 : 192.168.30.15
  }
  SupplementalMatchDomains : <array> {
    0 :
  }
  SupplementalMatchOrders : <array> {
    0 : 100000
  }
}
> d.remove ServerAddresses
> d.show
<dictionary> {
  SupplementalMatchDomains : <array> {
    0 :
  }
  SupplementalMatchOrders : <array> {
    0 : 100000
  }
}
> set State:/Network/Service/forticlientsslvpn/DNS
> exit

Dies geschieht immer noch in 10.13.0

Ich habe einen Fehlerbericht bei Apple geöffnet. Es ist nicht normal, dass „ping internalhostname“ funktioniert, aber „host internalhostname“ oder „nslookup internalhostname“ bei Split-Tunnel-VPNs (Cisco IPSec-basiert oder IKEv2) fehlschlägt.

Wie einige bemerkt haben, können Cisco IPsec-Verbindungen sowie IKEv2-Verbindungen im Gegensatz zu L2TP/IPsec nicht mit „Set service order“ priorisiert werden.

Ein weiterer Punkt, den ich ansprechen möchte, ist, dass Split-Tunnel-Cisco-IPSec- oder IKEv2-VPNs keine DNS-Server oder Suchdomänen in ihren erweiterten Einstellungen anzeigen, obwohl diese Informationen mit "scutil --dns" angezeigt werden. L2TP/IPsec-VPNs zeigen diese Informationen problemlos an.

Irgendetwas muss nachgeben und Apple muss eine Erklärung/Korrektur liefern.

Ich habe eine Problemumgehung gefunden: Ihr VPN-DNS wird immer noch ignoriert und nur 3G-Dongle-DNS wird verwendet, aber das Hinzufügen Ihres VPN-DNS zur Liste unter 3G-Schnittstelle reicht aus … Das Hauptproblem ist, dass der 3G-Konnektivitätsmanager die Konfiguration jedes Mal überschreibt Sie klicken auf Verbinden und benötigen den Verbindungsmanager, um Radio auf dem 3G-Dongle zu aktivieren … also habe ich beide Lösungen in einer gemischt:

1. Verbinden Sie sich mit Ihrem VPN und notieren Sie sich Ihren DNS (ich habe 2 auf der Liste). Sie können dies in den Netzwerkeinstellungen → Erweitert → Registerkarte DNS überprüfen. VPN trennen. Sie müssen sich mit VPN verbinden, da DNS bei der Verbindung dynamisch zugewiesen wird…

2. Stellen Sie eine Verbindung zu Ihrem 3G her und machen Sie dasselbe: Schreiben Sie den DNS auf Papier. Trennen Sie dann 3G.

3. Gehen Sie zu Netzwerkeinstellungen → klicken Sie auf 3G-Schnittstelle → Erweitert → Registerkarte DNS und klicken Sie unter DNS-Tabelle (die normalerweise leer ist, da Sie nicht verbunden sind) auf „+“. Fügen Sie alle DNS-Server hinzu (zuerst die von 3G und fügen Sie später VPN hinzu). Klicken Sie auf OK und Übernehmen.

4. Um von nun an eine Verbindung zu 3G herzustellen, stecken Sie einfach Ihren USB-Stick ein und warten Sie, bis Sie 3G-Empfang haben (Sie müssen den 3G-Konnektivitätsmanager öffnen), aber verwenden Sie nicht den mitgelieferten Konnektivitätsmanager, um eine Verbindung herzustellen. Und wenn es automatisch eine Verbindung herstellt, gehen Sie zu den Einstellungen und deaktivieren Sie dieses Häkchen. Sie brauchen diesen Manager nur , um das Radio im USB-Dongle einzuschalten, sonst nichts.

   Wenn Sie in Ihrem 3G-Manager auf „Verbinden“ klicken, wird die Konfiguration auf Ihrer 3G-Schnittstelle überschrieben und Sie müssen Schritt 3 erneut wiederholen.

5. Gehen Sie zu Netzwerk → Einstellungen und klicken Sie auf die 3G-Schnittstelle. Klicken Sie dann auf Verbinden. Es verbindet sich mit Ihrem 3G über die konfigurierten DNS-Server (statt dynamisch empfangen), die sowohl das "öffentliche" DNS als auch Ihr VPN-DNS enthalten.

6. Verbinden Sie sich mit Ihrem VPN. Es wird wie erwartet funktionieren.

Seien Sie sich nur bewusst, dass:

• Wenn sich Ihr VPN-DNS ändert, müssen Sie es manuell ändern. Dies kann leicht unter Netzwerk → VPN-Schnittstelle w Erweitert → Registerkarte DNS überprüft werden, da Ihr VPN-DNS der Schnittstelle immer noch dynamisch zugewiesen wird (obwohl sie von OS X ignoriert wird).

• Wenn sich Ihr 3G-DNS (unwahrscheinlich) ändert, müssen Sie es auch manuell ändern. Wenn etwas schief geht und Sie nicht navigieren können, müssen Sie durch Ihren 3G-Konnektivitätsmanager gehen, auf „Verbinden“ klicken und sehen, welche DNS dynamisch zugewiesen werden… Das erfordert, dass Sie zu Schritt 3 zurückkehren und es neu konfigurieren.

Ich hatte lange Zeit das gleiche Problem, aber jetzt hatte ich Zeit, eine Lösung zu finden, die für mich funktioniert. Ich habe die Reihenfolge des DNS-Servers nicht geändert, aber ich verwende den DNS-Server hinter dem VPN dauerhaft.

1. Verbinden Sie sich per Einwahl.

2. Stellen Sie die VPN-Verbindung her und kopieren Sie die DNS-Server-IPs und die Suchdomäne aus VPN-Verbindung → Erweitert → DNS.

3. Trennen Sie die VPN-Verbindung.

4. Pingen Sie <name>oder <hostname>von Ihrem VPN-Server und notieren Sie sich die IP.

5. Trennen Sie die DFÜ-Verbindung.

6. Duplizieren Sie die DFÜ-Verbindung (z. B. "3G for VPN" nennen).

7. Geben Sie die IPs und die Suchdomäne in die Registerkarte DNS der DFÜ-Verbindung ein. Sie werden dauerhaft gespeichert und verwendet.

8. Verbinden Sie sich über die neue DFÜ-Verbindung.

9. Jetzt haben Sie keinen Zugriff mehr auf die Nameserver (da diese durch das VPN gesichert sind) - Sie müssen die Serveradresse der VPN-Verbindung bearbeiten. Ersetzen Sie den Host durch die IP.

10. Verbinden Sie sich über eine VPN-Verbindung und Sie sollten sie verwenden können.

Hinweis: Im Allgemeinen ändern sich Hostnamen nicht, aber IPs können. Wenn es also eines Tages nicht funktioniert, wiederholen Sie die Schritte …

Versuchen Sie, die Reihenfolge der DNS-Einträge im Einstellungsbereich „Netzwerk“ zu ändern:

1. Öffnen Sie Systemeinstellungen → Netzwerk .

2. Wählen Sie Ihren Netzwerkdienst in der Liste auf der linken Seite aus.

3. Entsperren Sie das Einstellungsfenster mit dem Schloss in der unteren linken Ecke.

4. Klicken Sie auf Erweitert… und wählen Sie die Registerkarte DNS .

5. Ändern Sie die Reihenfolge der DNS-Server, indem Sie sie nach oben/unten ziehen.

   

Was Sie gesagt haben, hat mir einen Hinweis gegeben, also habe ich die DNS-IP in der VPN-Verbindung zur DNS-Liste in der Hauptverbindung hinzugefügt (nichts Besonderes, nur die grafische Oberfläche für Netzwerkeinstellungen verwenden). Umgang ist unterschiedlich, aber bei mir hat es funktioniert.

Funktioniert nicht in Lion / Mountain Lion, aufgrund eines Fehlers, der dazu führt, dass immer der lokale DNS-Server anstelle des DNS-Servers des entfernten Netzwerks verwendet wird, selbst wenn Split-DNS im VPN-Router korrekt eingerichtet ist.

Wenn Sie jedoch einen Cisco ASA IPSEC-Router verwenden, können Sie die Verwendung der Remote-DNS-Server erzwingen, wenn Sie eine VPN-Verbindung herstellen:

Wenn Sie Cisco ASDM verwenden, gehen Sie zu Configuration > Network (Client) Access > Group Policies > (Ihre VPN-Gruppe für OSX/iPhones) > Advanced > Split Tunneling

Dort eingestellt: DNS-Namen (Häkchen bei „erben“ entfernen und die internen DNS-Domänennamen definieren, z. B. myoffice.local) Alle DNS-Lookups durch den Tunnel senden: Auf JA stellen (dies ist die wichtige Einstellung)

Speichern Sie es und vergessen Sie nicht, es für die zukünftige Verwendung im Flash zu speichern.

Wenn Sie die IOS-Befehlszeile verwenden, legen Sie Folgendes fest:

group-policy <your-tunnel-group-name> attributes
 split-dns value myoffice.local
 split-tunnel-all-dns enable`

Sie können dies beheben, indem Sie die Dienstreihenfolge der Netzwerkverbindungen anpassen. Verschieben Sie VPN an den Anfang der Liste und die Resolver-Reihenfolge folgt.

http://support.apple.com/kb/PH14006

Inhalt des Links unter https://web.archive.org/web/20170828193724/https://support.apple.com/kb/PH14006?locale=en_US gefunden und hier dupliziert:

OS X Mavericks: Ändern Sie die Priorität Ihrer Netzwerkverbindungen
Dieser Artikel wurde archiviert und wird nicht mehr von Apple aktualisiert.

Wenn Sie sich auf verschiedene Weise mit dem Internet oder einem Netzwerk verbinden (z. B. über Wi-Fi oder Ethernet), können Sie die Reihenfolge der Netzwerkanschlusskonfigurationen ändern, die Ihr Computer versucht, wenn er eine Verbindung zum Internet oder Netzwerk herstellt.
Wenn beim Versuch, eine Verbindung herzustellen, mehrere aktive Netzwerkportkonfigurationen vorhanden sind, versucht OS X zuerst die Konfiguration ganz oben in der Liste und dann die anderen Portkonfigurationen in absteigender Reihenfolge.

• Wähle „Apple“ > „Systemeinstellungen“ und klicke auf „Netzwerk“.
• Wählen Sie „Service-Reihenfolge festlegen“ aus dem Einblendmenü „Aktion“ aus. [Das Zahnradsymbol neben + - ]
• Ziehen Sie einen Dienst wie Ethernet an den Anfang der Liste.
• Klicken Sie auf OK und dann auf Übernehmen, um die neuen Einstellungen zu aktivieren.

Wenn Sie sich über ein virtuelles privates Netzwerk (VPN) mit dem Internet verbinden und „Gesamten Datenverkehr über VPN-Verbindung senden“ im Bereich „Erweiterte Optionen“ der VPN-Einstellungen ausgewählt haben, müssen Sie den VPN-Dienst nicht an den Anfang der Seite verschieben Liste.
Erscheinungsdatum: 20. Oktober 2015