[FEATURE] DNS Request Route

Hi Bernd,

You need to add IPSec Route to send firewall traffic over VPN. Below are CLI command for the same ; this needs to configure from CLI option 4.

console> system ipsec_route add host   tunnelname 

Please reconnect tunnel once.

If you have added Local Lan and Remote Lan network in IPSec tunnel please use below command to SNAT the System originated traffic to match the tunnel policy

console> set advanced-firewall sys-traffic-nat add destination  snatip 

Regards,
Sneha

Hi snehagohil,

I reported this problem ( in my opinion it is a bug ) in Copernicus Partner Preview phase. And as before, now you offer the same deal too. 

This is, according to you, the correct solution to this problem, or is it just a temporary solution until the problem will be finally removed - fixed as a BUG?!? 

I would like to finally know your opinion, because you did not answered to the same question even before.

Because, I am more and more impressed that the Copernicus is an impasse ....

alda

@snehagohil: yes, this steps resolve the problem.

is this a bug or the "normal way"

Regards,

Bernd

Hi bernd.dausch and snehagohil too,

Also, in my case, this approach solved the problem too. But this certainly can not be considered as a solution to the problem. it is important to realize that this is an application of NAT on the internal network. 

Do you really think is it correct solution for this problem, really? Can you imagine what this solution makes communication between Windows servers and Windows clients? Sharing directories, access to printers, user access rights etc. all of this if it works, then with big problems.

I really think that this is a bug.  If developers have to this problem a different view, then devote to this product is just a waste of time.

I am very sorry that till now this issue has not been identified as a bug. It unfortunately indicates something ...

alda

HI Alda,

The above command will be applicable only for the Copernicus originated traffic (when Copernicus internal daemon required to send request to external server over VPN ) and not for the LAN users traffic.

For example if Branch office has internal LAN of 172.16.16.0/24 and they want to access Head office LAN to 192.168.1.0/24 you do not required those command. But when you configure DNS request route on branch office ; Copernicus dns service is sending query to configured DNS server and to route that traffic over IPSec we need those command.

When Branch office windows client send any request it will be LAN zone traffic and it will not handle by this command but uses LAN to VPN security policy.

Below are some of the possible usecases when branch office traffic need to send  traffic over VPN to access Head office server

1. If Branch office uses Head office server as DNS which is reachable over IPSec
2. If Branch office uses Head office AD server as authentication server 
3. If Branch office uses Head office Web Proxy , SNMP , Syslog Mail Server ( to send notification) over IPSec

I do agree that CLI based configuration is not user friendly and consider that as feedback. 

Regards,
Sneha

Hi Sneha,

Yes, I totally agree with you! These three points are just the cases that I have from the outset in my mind.

And these three cases is not possible (in my opinion) be addressed somewhat obscure configuration in the CLI but solely with the GUI. 

After all, in the Sophos UTM v9 GUI are these three cases resolved quite simply and understandably. 

Please, do not invent anything new, and please implement support for these three cases are entirely the same as in UTM v9.

I think then it will work just fine ....

alda

HI Alda,

We have consider this as feedback and NC-4438 is internal tracking id . 

For V1 we need this command to route system originated traffic over VPN .

Regards,
Sneha

We would like to have this feature by gui too. Leave cli command Also. 

Please. 

Thanks

Sent from my iPhone using Astaro.org