Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4970 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS-aware Policy Based Routing

kipper
Hello,

I've been searching the forums on this, and even the web but can't find any answers.

We are currently conducting a product evaluation and think Astaro is a terrific product. There is only one issue that is currently blocking us from making a purchase.

We have several site-to-site VPNs where the private address space of the remote site is not known in advance, but each site has a DNS server and domain name (e.g. acme.com). Not knowing the IP address space in advance makes it difficult to setup static routes so that some traffic is forwarded through the VPN but other directly to the Internet.

Therefore, we wish to create routes based on the answers from DNS. For example, if the Astaro DNS receives a request for internal.acme.com, it will forward the DNS request to the server on the far end of the VPN link. That DNS may return 192.168.1.200, which should then be added to a temporary table of static routes, that will route that IP through the far end VPN gateway.

Our question, is is there any way current way or future plan to enable this behavior: Create routes based on DNS queries?

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    Hi kipper, 

    Ok, let's start here, when you talk about VPN i assume you mean IPsec, right?
    In order to configure IPsec Tunnels you MUST configure the networks of both sides that should be connected, this means that must know them at configuration time.
    IPsec than automatically set's routes that sent this networks through the tunnel. 
    With standard IPsec it is not possible to just route additional ip adresses through the tunnel. 

    Now there a few vendors who developed propriatary extensions that are often incompatible with other vendors that can overcome these challanges. Some of them even allow dynamic routing (that's more what it looks like you need) to do that over VPN.

    Astaro has adresses this problem a bit different, please take a look at our RED product, it is a Layer2 Tunnel VPN protocol, which acts just like an ethernet cable. 
    It connects your remote site with a looooong ethernet cable and all you can do over an ethernet cable, can be done over a RED tunnel. 

    And no, there is no way to dynamicall add routes based on DNS entries, if dynamic routing is needed, that people use RIP, OSPF, BGP or similar to automatically distribute routing information globally. 

    hopefully that helps. 
    REgars
    Gert
Reply
  • 0
    Hi kipper, 

    Ok, let's start here, when you talk about VPN i assume you mean IPsec, right?
    In order to configure IPsec Tunnels you MUST configure the networks of both sides that should be connected, this means that must know them at configuration time.
    IPsec than automatically set's routes that sent this networks through the tunnel. 
    With standard IPsec it is not possible to just route additional ip adresses through the tunnel. 

    Now there a few vendors who developed propriatary extensions that are often incompatible with other vendors that can overcome these challanges. Some of them even allow dynamic routing (that's more what it looks like you need) to do that over VPN.

    Astaro has adresses this problem a bit different, please take a look at our RED product, it is a Layer2 Tunnel VPN protocol, which acts just like an ethernet cable. 
    It connects your remote site with a looooong ethernet cable and all you can do over an ethernet cable, can be done over a RED tunnel. 

    And no, there is no way to dynamicall add routes based on DNS entries, if dynamic routing is needed, that people use RIP, OSPF, BGP or similar to automatically distribute routing information globally. 

    hopefully that helps. 
    REgars
    Gert
Children
No Data