[Problem] Keine DNS-Auflösung Richtung Internet bei aktiver VPN-Verbindung mit Fritz!Box 7530

[gorgsenegger]

Hallo zusammen,

auf meinem HP Elitebook 850 G5 nutze ich Windows 10 Pro (10.0.19041) und bin über WLAN mit meiner Fritz!Box 7530 (aktuellste Firmware 7.20) verbunden. Zusätzlich habe ich auch eine Rücksetzung auf die Werkseinstellungen vorgenommen, um eine Fehlkonfiguration auszuschließen. Die im Folgenden geschilderten Probleme treten auch mit anderen Rechnern innerhalb desselben Netzwerks auf und zusätzlich unabhängig davon, ob die Verbindung zur Fritz!Box über WLAN oder Kabel erfolgt.

• Systemstart, automatische Verbindung mit dem (W)LAN, Internetzugang funktioniert normal, d.h. über Browser können Adressen eingegeben werden, über Ping können Systeme im Internet über ihren jeweiligen DNS-Namen (z.B. heise.de) gepingt werden
• Start der VPN-Verbindung über Cisco AnyConnect
• Sobald die VPN-Verbindung steht, funktioniert diese für die Zielsysteme im VPN
• Gleichzeitig funktioniert die DNS-Auflösung für die normale Internetverbindung aber NICHT mehr
• Die Verbindung ins Internet ist aber die ganze Zeit aktiv, dies ist z.B. durch einen mitlaufenden Ping (ping heise.de -t) verifizierbar (Ping vor der VPN-Verbindung gestartet, deshalb erfolgt auch die DNS-Auflösung zu diesem Zeitpunkt, dann einfach weiterlaufen lassen => funktioniert
• Trennen der VPN-Verbindung
• DNS-Auflösung für Adressen im Internet funktioniert wieder

=> De facto ist also während der aktiven VPN-Verbindung das Internet nicht nutzbar, da ohne funktionierende DNS-Auflösung nicht praktikabel

Die oben aufgeführten Punkte habe ich zusätzlich nochmals durchgeführt, nachdem das System in der Fritz!Box als "Exposed Host" konfiguriert wurde und die Windows-Firewall temporär komplett abgeschaltet war (verifiziert über einen Online-Portscanner)

Weitere Analyseschritte:

• Mit denselben Systemen in einem anderen WLAN (Gäste-WLAN in einer Kaffee Bar) funktioniert alles problemlos, also auch die DNS-Auflösung Richtung Internet bei gleichzeitig aktiver VPN-Verbindung
• Am selben Internetanschluss (wieder zu Hause) mit einer probehalber angeschlossenen Fritz!Box 7412 treten auch keine Probleme auf, DNS-Auflösung Richtung Internet funktioniert bei gleichzeitig aktiver VPN-Verbindung
• Bei beiden Systemen sowohl über Kabel als auch über WLAN keine Probleme

Das verbundene Cisco VPN wird von verschiedenen Kollegen von deren jeweiligen Systemen und Internetanschlüssen ohne Probleme verwendet.

Das Problem scheint also irgendwo an der Fritz!Box 7530 liegen - wie bekomme ich eine funktionierende DNS-Auflösung bei gleichzeitig aktiver VPN-Verbindung zum Laufen?

 

[HabNeFritzbox]

Exposed Host und Windows Firewall? Passt nicht zum DNS Problem.

Entferne in der FB mal den NetBios Filter und dann setze den wieder. War früher zumindest bekannter Bug was DNS und VPN anging.

 

[gorgsenegger]

Danke für den Vorschlag, hat leider am Verhalten aber nichts verändert.

 

[Insti]

nd bin über WLAN mit meiner Fritz!Box 7530 (aktuellste Firmware 7.20) verbunden.

Ist DoT an der 7530 aktiviert?

 

[gorgsenegger]

Guten Morgen, nein, die Checkbox ist nicht aktiviert.

 

[Pit2027]

Hier meine Settings in Any Connect:

[Edit Novize: Bild gemäß der Forumsregeln auf Vorschau verkleinert]

* Check mal den DNS Server mit ipconfig /all
* ping auf 8.8.8.8

 

[gorgsenegger]

Vollzitat von darüber gemäß Boardregeln entfernt by stoney

Der DNS-Server für die "normale" WLAN-Verbindung zur Fritz!Box zeigt auf die 192.168.2.1 (die IP-Adresse der Fritz!Box). Für die Cisco AnyConnect-Verbindung sind bei aktivem VPN die IP-Adressen von zwei Servern im VPN eingetragen (sollte aber für DNS-Auflösung Richtung des offenen Internets ja ohnehin nicht relevant sein).

Ping auf 8.8.8.8 (Google DNS) geht immer (also mit und ohne VPN-Verbindung), passt aber auch zum oben beschriebenen Verhalten, dass die DNS-Auflösung zwar nicht geht, die IP-Verbindung aber die ganze Zeit steht. Während aktiver VPN-Verbindung kann ich auch ins Internet, dann muss ich aber direkt die IP-Adressen eingeben und keine Namen.

Die Settings in meinem AnyConnect Client entsprechen denen bei Dir.

 

[gorgsenegger]

Der Workaround, der für mich jetzt funktioniert:

• Deaktivieren von IPv6 in den Eigenschaften der Netzwerkverbindung
• 
  
  [Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]
  
• Danach geht die DNS-Auflösung auch bei gleichzeitig aktiver VPN-Verbindung

Verstehen tue ich das immer noch nicht, aber für meine Belange funktioniert es jetzt erstmal so.

Der Unterschied zwischen der Fritz!Box 7412 und der 7530 war die zugewiesen DNS-Server IP-Adresse.


Mit aktiviertem IPv6:
7412
Standardserver: fritz.box
Address: 192.168.2.1

7530
Standardserver: fritz.box
Address: fd00::de39:6fff:fe70:xxxx


Ohne IPv6:
7412
Standardserver: fritz.box
Address: 192.168.2.1

7530
Standardserver: fritz.box
Address: 192.168.2.1

Warum das jetzt so ist, weiß ich nicht - vielleicht kann da ja noch jemand Licht ins Dunkel bringen. Jedenfalls funktioniert es jetzt erstmal so (wahrscheinlich handle ich mir damit jetzt unter Umständen Probleme mit IPv6 in irgendwelchen Konstellationen ein, aber wie gesagt, so ist es aktuell besser als zuvor).

 

[Pit2027]

Shau Dir mal mit "netsh interface ipv6 show prefixpolicies" die prefixpolicies an.
/96 ist IPV4. Diese müssen ganz oben stehen.
Bei sieht es nur noch so aus:
C:\WINDOWS\system32>netsh interface ipv6 show prefixpolicies
Der aktive Status wird abgefragt...

Vorgänger Label Präfix
---------- ----- --------------------------------
60 3 ::/96
55 4 ::ffff:0:0/96
50 0 ::1/128
Hast Du denn von der 7530 (mit IPV6) keine IPV4 bekommen ?

Gruß
Peter

 

[gorgsenegger]

Hallo Peter,

die Ausgabe auf meinem Rechner (mit aktiviertem IPv6) sieht wie folgt aus:

C:\Users\Test>netsh interface ipv6 show prefixpolicies
Der aktive Status wird abgefragt...

Vorgänger Label Präfix
---------- ----- --------------------------------
50 0 ::1/128
40 1 ::/0
35 4 ::ffff:0:0/96
30 2 2002::/16
5 5 2001::/32
3 13 fc00::/7
1 11 fec0::/10
1 12 3ffe::/16
1 3 ::/96

und im nslookup eben die IPv6-IP-Adresse der Fritzbox, nicht IPv4:

C:\Users\Test>nslookup
Standardserver: fritz.box
Address: fd00::de39:6fff:fe70:xxxx

> quit

 

[Pit2027]

Genau dieses Problem hatte ich hier auch in meiner Domain Testumgebung. z.B. Ping localhost hat immer IPv6 zurück geliefert.
Deine /96 stehen zu weit hinten.
Für Deinen Fall geb folgendes ein:
netsh interface ipv6 set prefix ::/96 60 3
netsh interface ipv6 set prefix ::ffff:0:0/96 55 4

Die 3 und 4 sind das Label und 60 und 55 sind die Prio. Muss also nach oben. Eventuell Reboot.
Ich bin mir nicht sicher, aber "::1/128" ist der Loob(b)ack Adapter.
Gruß
Peter

 

[gorgsenegger]

Guten Morgen,

das Verhalten ist dann (wieder) sehr seltsam. Nach den von Dir vorgeschlagenen Änderungen habe ich gebootet und mich mit dem VPN verbunden.

• ping auf Internet-Adressen ging zunächst wieder nicht
• Aufruf von Seiten aus dem Internet ging zunächst wieder nicht
• Aufruf von Zieladressen im VPN funktioniert
• Ohne Änderung an der VPN-Verbindung (also weiterhin aktiv) funktionierte dann plötzlich nach ca. einer Minute der Aufruf von Seiten im Internet und auch ping von Internet-Adressen
• Reboot
• Aufruf von Internetseiten und pingen ohne aktives VPN funktioniert
• Aufbau der VPN-Verbindung
• Weder pingen noch Aufruf von Seiten im Internet funktioniert

Also immer noch ein seltsames und nicht exakt reproduzierbares Verhalten, wenn ich IPv6 für die Netzwerkverbindung aktiviere und die von Dir oben vorgeschlagenen Änderungen durchführe