[FEATURE] DNS Request Route

Hi Alda,

You're right, this should be trivial, and if your host objects already exist, it is. There's a problem with that widget, that we're not allowing creation of new objects there. for the moment, you can create your dns server host objects in the object catalog directly, then select them there.

Hi Alan,

After a few more tests, I think I can say that DNS Request Route does not work via site-to-site IPsec tunnel. A DNS request from branch site do central site at Microsoft Active Directory servers is not directed to the IPsec tunnel, but is mistakenly routed to DNS servers in the Internet. 

alda

Hi Alda,

I believe that on branch side ; client is using branch SF as DNS server and in branch SF you have configured request route for domain to resolve from host which is reachable via IPSec VPN.

Can you please try with adding static route from CLI command and check if that is resolve your issue  or not. Information on the routes and commands are posted on "Site-to-site IPSEC VPN" thread.

Please share tcpdump detail for port 53.

Hi snehagohil and Alan,

I think that in the current version is crucial error in the DNS Request Route function. I extended a routing table according to your recommendations, and here is what I got in my test. 

1. I did DNS request from IP address 192.168.10.7 (branch site) to Microsoft Active Directory DNS server (central site) with IP address 192.168.88.10 for DNS domain name translation name.domain.local

2. 
SF01V_VM01_SFOS 15.01.0 Beta-1# tcpdump -ni ipsec0 port 53
tcpdump: Starting Packet Dump
13:27:25.787855 ipsec0, OUT: IP 169.254.234.5.54741 > 192.168.88.10.53: 51440+ A? name.domain.local. (41)
13:27:28.816980 ipsec0, OUT: IP 169.254.234.5.1748 > 192.168.88.15.53: 13387+ A? name.domain.local.  (41)
13:27:31.845056 ipsec0, OUT: IP 169.254.234.5.3008 > 192.168.88.15.53: 33478+ A? name.domain.local.  (41)


So the result is that the DNS query is properly routed to the tunnel (expansion routing tables helps), but this DNS query goes  with the wrong IP address of the ipsec0 interface - 169.254.234.5 but not with the source IP address 192.168.10.7. 


Below are for checking an IP addresses at my Copernicus. 


Do you need any more tests from my or could you confirm what I found out?? 

alda




SF01V_VM01_SFOS 15.01.0 Beta-1# ifconfig
PortA     Link encap:Ethernet  HWaddr 00:0C:29:63:E9:E3
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe63:e9e3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7169944 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12041656 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:629027128 (599.8 MiB)  TX bytes:16147967312 (15.0 GiB)
          Interrupt:19 Base address:0x2000

PortB     Link encap:Ethernet  HWaddr 00:0C:29:63:E9:ED
          inet6 addr: fe80::20c:29ff:fe63:e9ed/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1492  Metric:1
          RX packets:12138896 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7259442 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:16276322879 (15.1 GiB)  TX bytes:683243774 (651.5 MiB)
          Interrupt:16 Base address:0x2080

PortB_ppp Link encap[:P]oint-to-Point Protocol
          inet addr:***.***.***.***  P-t-P:***.***.***.***  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1484  Metric:1
          RX packets:500933 errors:0 dropped:0 overruns:0 frame:0
          TX packets:302971 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:653713104 (623.4 MiB)  TX bytes:30981230 (29.5 MiB)

imq0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          UP RUNNING NOARP  MTU:16000  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:11000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ipsec0    Link encap:Ethernet  HWaddr CE[:D]F:7B:EA:C6:F5
          inet addr:169.254.234.5  Bcast:0.0.0.0  Mask:255.255.255.255
          inet6 addr: fe80::ccdf:7bff:feea:c6f5/64 Scope:Link
          UP BROADCAST RUNNING NOARP MULTICAST  MTU:16260  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:2337893 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2337893 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:555857362 (530.1 MiB)  TX bytes:555857362 (530.1 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.81.234.5  P-t-P:10.81.234.5  Mask:255.255.255.0
          inet6 addr: 2001[:D]b8::1:0/64 Scope:Global
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:152 (152.0 B)

HI Alda,

Can you please add below command in CLI and check if this works for you.

console> set advanced-firewall cr-traffic-nat add destination  192.168.88.10 netmask 255.255.255.255 snatip 192.168.10.1 

Hi snehagohil,

with this command DNS Request route to  MS Active Directory DNS server works well.

alda