T-Online-"Navigationshilfe" zerstoert Namensaufloesung im Windows-VPN
Aus meiner Inbox bei $KUNDE:
ich sitze im Homeoffice und komme nicht ans Intranet.... Pinging intranet.example.com [62.157.140.133] with 32 bytes of data: Reply from 62.157.140.133: bytes=32 time=66ms TTL=247 Reply from 62.157.140.133: bytes=32 time=68ms TTL=247 Reply from 62.157.140.133: bytes=32 time=71ms TTL=247 Reply from 62.157.140.133: bytes=32 time=68ms TTL=247
Liebes T-Online-Team, ich möchte mich ganz herzlich bei Euch dafür bedanken, dass ich seit ein paar Wochen jeden zweiten Tag solche Requests bekomme. Ursache dafür ist das neueste Misfeature, dass nach den anderen großen ISPs jetzt auch bei Euch zur Verbesserung der WerbeeinnahmenSurf-Experience umgesetzt wurde: Wenn jemand Euren Nameservern eine Anfrage stellt, die normalerweise zu einem NXDOMAIN führen würde, liefert Ihr die IP-Adresse Eures "Navigationshilfe-Servers" zurück, der tolle Werbungwichtige Verbraucherinformationen an den Server zurückliefert. Zum Beispiel die Banalitätden tollen Tipp, es doch mit einer Suchmaschine zu probieren.
Damit hebelt Ihr natürlich den Mechanismus der Searchdomains aus, der bei Eingabe des Hostnamens "intranet" zunächst "intranet", und dann "intranet.example.com" und dann "intranet.internal.example.com" aufzulösen versucht, denn die Anfrage nach "intranet" führt jetzt ja auf direktem Wege zur tollen Navigationshilfe, so dass der vom Anwender eigentlich gewünschte Zugriff auf internet.example.com erfolgreich verhindert wurde.
Und ich hab die Arbeit mit einem Haufen Kundenrequests, denen man nicht mal sagen kann, dass sie sich einen seriösen Internetprovider suchen sollen, denn den Mist machen die großen ja inzwischen alle.
Und jetzt bin ich erstmal unterwegs, nach der Option suchen, mit der man einen Windows-Client bei aufgebautem VPN-Tunnel per Cisco-VPN dazu zwingen kann, nur und ausschließlich die DNS-Server zu benutzen, die über den Tunnel zugewiesen wurden.
Trackbacks
No Trackbacks
Comments
Display comments as Linear | Threaded
Alphager on :
http://www.heise.de/ct/Kein-VPN-Zugriff-per-T-Online--/hotline/140655
Lars on :
Login mit !Benutzername Nachteil: ALLER Traffic geht übers VPN
Marc 'Zugschlus' Haber on :
Das ist sowieso schon so konfiguriert. Der DNS-Server des Anbieters wird trotzdem gefragt, und zwar seltsamerweise nicht per Tunnel.
melle on :
Die Navigationshilfe kann man abschalten: http://www.peffianer.com/t-online-navigationshilfe-ausschalten.html
Marc 'Zugschlus' Haber on :
Natürlich. Sprichst Du alle mobilen User durch die Konfiguration ihres privaten Internetzugangs durch? Wer zahlt den Hotlineaufwand?
Und was passiert, wenn an nicht ins Kundencenter für den genutzten Zugang kommt, z.B. beim Kunden oder im Hotel?
Hans Bonfigt on :
Ist das nicht eine Adressfaelschung ? Mindestens 'mal ein Defekt ?
Gruß Hans
Marc 'Zugschlus' Haber on :
Es ist Verletzung der technischen Standards für den Dienst DNS. Aber die Produktmanager der großen ISPs lieben es, und die Infrastruktur zur Fälschung von DNS-Antworten brauchen deutsche ISPs eh bald qua Gesetz. Dabei als Nebeneffekt noch ein paar Klicks auf Werbebanner einzusacken ist doch eine Tolle Idee.
Hans Bonfigt on :
Also, diesmal bin ich mir sicher, daß dieses Gesetz die Übergangsfristen nicht überleben wird - wollen wir wetten ? Aber wie auch immer: Wer einen Zusammenhang zwischen den DNS-Fälschungen und der neuen Gestapo-Gesetzgebung sieht, liegt sicher nicht verkehrt.
Mit dem "Verbraucher" kann man es ja machen: Den nämlich interessiert es einen Dreck, daß in seinem "Internet Explorer" jedes NXDOMAIN auf eine eigene Such- und Registrierungsseite gelenkt wird - als nicht abschaltbares Feature, wie sich wohl versteht.
Möge der User an seinem Windows ersticken.
TabTwo on :
Checkpoint Clients zeigen das gleiche Verhalten.
Möge die Verantwortlichen bei T-Online der Blitz in sitzender Position treffen.
Marc 'Zugschlus' Haber on :
http://support.microsoft.com/kb/311218/en-us
Kieran Kumpf on :
So ein Mist verursacht so viel Wirbel und Support bei Kunden!!
Es ist unglaublich wo ein Fehler verursacht wird und die technichen Folgen. Ich wurde von einer kleinen Firma beauftragt ein Problem zu lösen welches zwei andere IT Firmen nicht in den Griff bekommen haben (Kostenaufwand bis Dato ca. 1800€. Der Kunde wollte aus verzweiflung schon die Hardware wechseln Aufwand ca. 12000€ Außerdem sollte ich unabhängig die Arbeitsleistung und die Angebote für Hardwareneuanschaffungen prüfen. Das Ergebnis war, die Rechner wurden langsam wenn sie Dienste gestartet hatten die über das Internet kommunizieren (CPU Auslastung zum Teil bei 98-100% aber nur sporadisch. Hardwareanschaffungen fande ich etwas verfrüht und unnötig. Ich entschloss mich selber mal das Problem zu beobachten, wie immer erst einmal über Teamviewer. Aber es ging nicht. Dann arbeitete ich vor Ort ca. 90min bis ich einen Zusammenhang herauskristalisiert habe. Bei 12 Rechner das gleiche Problem aber bei 4 ging alles normal.
Na ja es war der super duper dienst der T-Online Geier!
Unterm Strich, Kostenersparnis durch mich über die angebotene Hardware abzüglich meiner 200€ für die Analyse und Problembeseitigung.
Wenn das mal keine Schädigung ist. Ich bin mal gespann was die Telekomprofis dazu der Firma erzählen.