Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4971 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS-aware Policy Based Routing

kipper
Hello,

I've been searching the forums on this, and even the web but can't find any answers.

We are currently conducting a product evaluation and think Astaro is a terrific product. There is only one issue that is currently blocking us from making a purchase.

We have several site-to-site VPNs where the private address space of the remote site is not known in advance, but each site has a DNS server and domain name (e.g. acme.com). Not knowing the IP address space in advance makes it difficult to setup static routes so that some traffic is forwarded through the VPN but other directly to the Internet.

Therefore, we wish to create routes based on the answers from DNS. For example, if the Astaro DNS receives a request for internal.acme.com, it will forward the DNS request to the server on the far end of the VPN link. That DNS may return 192.168.1.200, which should then be added to a temporary table of static routes, that will route that IP through the far end VPN gateway.

Our question, is is there any way current way or future plan to enable this behavior: Create routes based on DNS queries?

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    Hi Kipper, 

    it seems that there is some confusion about your VPN setup, can you explain it how it looks?

    Which VPN technology do you use?
    What are the IP adress ranges in each location?
    Are there locations that share the same IP ranges?

    thanks
    Gert
  • 0 in reply to Gert Hansen
    Hi,

    Thank you for trying to help but do you know if this is possible in Astaro? Tying DNS replies into creating routes?

    I know you want to try to make sense of the "why" we would want this. The best I can offer is that at least two of our remote sites have blocks of public IPs. One use these internally instead of private IPs, the other uses a combination of private and public IPs internally. The public IPs are only allowed outbound unless you are of course behind the firewall via a VPN - and the private IPs are behind a NAT.

    Unfortunately, for multiple reasons, we don't know how large their block of IPs are, or what their subnets are. We can make an educated guess based on the VPN gateway IP (such as a class C), but that would be wrong. Meaning, each IP that is outside of our guess would require a static route.

    Basically we want to automate those static routes. So instead of guessing what the subnets might be, just have IPs resolved in the acme.com domain, trigger creating a static route on demand.

    Thanks for any advice.
Reply
  • 0 in reply to Gert Hansen
    Hi,

    Thank you for trying to help but do you know if this is possible in Astaro? Tying DNS replies into creating routes?

    I know you want to try to make sense of the "why" we would want this. The best I can offer is that at least two of our remote sites have blocks of public IPs. One use these internally instead of private IPs, the other uses a combination of private and public IPs internally. The public IPs are only allowed outbound unless you are of course behind the firewall via a VPN - and the private IPs are behind a NAT.

    Unfortunately, for multiple reasons, we don't know how large their block of IPs are, or what their subnets are. We can make an educated guess based on the VPN gateway IP (such as a class C), but that would be wrong. Meaning, each IP that is outside of our guess would require a static route.

    Basically we want to automate those static routes. So instead of guessing what the subnets might be, just have IPs resolved in the acme.com domain, trigger creating a static route on demand.

    Thanks for any advice.
Children
No Data