Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS-aware Policy Based Routing

Hello,

I've been searching the forums on this, and even the web but can't find any answers.

We are currently conducting a product evaluation and think Astaro is a terrific product. There is only one issue that is currently blocking us from making a purchase.

We have several site-to-site VPNs where the private address space of the remote site is not known in advance, but each site has a DNS server and domain name (e.g. acme.com). Not knowing the IP address space in advance makes it difficult to setup static routes so that some traffic is forwarded through the VPN but other directly to the Internet.

Therefore, we wish to create routes based on the answers from DNS. For example, if the Astaro DNS receives a request for internal.acme.com, it will forward the DNS request to the server on the far end of the VPN link. That DNS may return 192.168.1.200, which should then be added to a temporary table of static routes, that will route that IP through the far end VPN gateway.

Our question, is is there any way current way or future plan to enable this behavior: Create routes based on DNS queries?

Thank you


This thread was automatically locked due to age.
  • Hi, kipper, and welcome to the User BB!

    I think I understand your question...

    You have a DNS server which you can access via VPN.  If an address request comes in for acme.com, you want Astaro to use that server to resolve the FQDN.  Correct?

    Create a host definition in WebAdmin: "Remote Site DNS" = {internal IP of the server on the remote network}

    In the Astaro DNS Proxy, add a 'Request Route': acme.com -> Remote Site DNS



    You also might find this helpful: DNS Best Practice.

    Does that answer your question, or is there an example of a route that you're trying to see?

    Cheers - Bob
  • Hi,

    Yes, I want Astaro to use a specific DNS server for the VPN domain (e.g. acme.com) but I also want Astaro to automatically add routes for any IPs returned for xzy.acme.com.

    This first part seems easy with Astaro, getting the DNS proxy to work. The second part we are struggling with.

    Thanks.
  • I don't understand why any special routing would be required.  I also don't understand how a VPN could be configured without knowing the local subnets in advance - how could you be certain they would be disjoint?  Could you give a specific example of such a situation?

    Cheers - Bob
  • Hi Kipper, 

    it seems that there is some confusion about your VPN setup, can you explain it how it looks?

    Which VPN technology do you use?
    What are the IP adress ranges in each location?
    Are there locations that share the same IP ranges?

    thanks
    Gert
  • Hi,

    Thank you for trying to help but do you know if this is possible in Astaro? Tying DNS replies into creating routes?

    I know you want to try to make sense of the "why" we would want this. The best I can offer is that at least two of our remote sites have blocks of public IPs. One use these internally instead of private IPs, the other uses a combination of private and public IPs internally. The public IPs are only allowed outbound unless you are of course behind the firewall via a VPN - and the private IPs are behind a NAT.

    Unfortunately, for multiple reasons, we don't know how large their block of IPs are, or what their subnets are. We can make an educated guess based on the VPN gateway IP (such as a class C), but that would be wrong. Meaning, each IP that is outside of our guess would require a static route.

    Basically we want to automate those static routes. So instead of guessing what the subnets might be, just have IPs resolved in the acme.com domain, trigger creating a static route on demand.

    Thanks for any advice.
  • Hi kipper, 

    Ok, let's start here, when you talk about VPN i assume you mean IPsec, right?
    In order to configure IPsec Tunnels you MUST configure the networks of both sides that should be connected, this means that must know them at configuration time.
    IPsec than automatically set's routes that sent this networks through the tunnel. 
    With standard IPsec it is not possible to just route additional ip adresses through the tunnel. 

    Now there a few vendors who developed propriatary extensions that are often incompatible with other vendors that can overcome these challanges. Some of them even allow dynamic routing (that's more what it looks like you need) to do that over VPN.

    Astaro has adresses this problem a bit different, please take a look at our RED product, it is a Layer2 Tunnel VPN protocol, which acts just like an ethernet cable. 
    It connects your remote site with a looooong ethernet cable and all you can do over an ethernet cable, can be done over a RED tunnel. 

    And no, there is no way to dynamicall add routes based on DNS entries, if dynamic routing is needed, that people use RIP, OSPF, BGP or similar to automatically distribute routing information globally. 

    hopefully that helps. 
    REgars
    Gert