Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 5803 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS through vpn over NAT

Webmaschder
Hi @all,

I've got a quite big problem in my 
*irony mode on* secret favorite topic => DNS *irony mode off* [:D]

We are using a special natted Site-to-Site VPN, described in the german Board: https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/62093

Well, the Tunnel works fine (although I did not get any reply). I'm able to access the remote Server/shares and Websites. BUT (and this is a quite big BAD): we can only connect the server using IP Addresses becaus DNS is not working.
So I created two Request Routing Rules and added the remote DNS Server in the "Forwarders" Section in DNS Tab like BAlfson wrote in another Thread (Thx for that ;-) )

If I add a static DNS entry for one remote server, I'm able (hardly surprising..) to resolve this name.

Here is a diagram from Cisco that matches exactly my situation (but the IP addresses). just to get a better view:


Any ideas? Hope so.. [:)]

Regards


This thread was automatically locked due to age.
  • 0
    Just to check if I got you right:
    Based on your diagram: You want the domain "example.com" to be resolved by "DNS Server"?

    Supposed you're using your UTM for DNS resolution, go to Network Services -> DNS -> Request routing and add an entry like:
    Domain: example.com
    Target Servers: "DNS Server" (created as Host Object).

    That should be all.
  • 0 in reply to scorpionking
    Just to check if I got you right:
    Based on your diagram: You want the domain "example.com" to be resolved by "DNS Server"?

    Supposed you're using your UTM for DNS resolution, go to Network Services -> DNS -> Request routing and add an entry like:
    Domain: example.com
    Target Servers: "DNS Server" (created as Host Object).

    That should be all.


    yes, basically  you're right. This Domain(s) and all PCs/Servers in the 172.22.1.0/24 net should be resolved by the remote DNS Server.
    The request routing entry is already set like this:

    domain.local → remote DNS Server
    domain.com → remote DNS Server

    and additionally this entry:
    1.22.172.in-addr.arpa → remote DNS Server

    but it will not work. Maybe a NAT Problem?!
  • 0
    Might be.

    We need to know more about your NAT rules regarding this connection...
  • 0 in reply to scorpionking
    Might be.

    We need to know more about your NAT rules regarding this connection...


    ok, let me try to translate the german text.
    I will use the IP addresses from the diagram.

    local net: 192.168.100.0/24
    DMZ (oder fake-LAN): 172.20.1.0/24
    remote Lan: 172.22.1.0/24

    Site-to-Site VPN: "local Network": 172.20.1.0/24 "local Interface": WAN Interface and "remote Network": 172.22.1.0/24
    automatic Firewall rules enabled

    I've created a SNAT rule 192.168.100.0/24 -> Any -> 172.22.1.0/24 source translation: 172.20.1.1/24
    and the DNS entries above.

    additionally I added the IP Address 172.20.1.1 to local ASG-Interface.

    That's all.
    I'm able to access the remote Server via IP Address but not via FQDN

    I followed this Article: How to tunnel between two ASGs having the same LAN network range
    and this Threads: http://www.astaro.org/gateway-products/vpn-site-site-remote-access/47641-vpn-2-networks-same-internal-ip.html
    http://www.astaro.org/gateway-products/network-protection-firewall-nat-qos-ips/49196-natting-fake-lan-vpn-tunnel-problem.html

    I know, this is a quite confusing environment but unfortunately there is no other way...
  • 0 in reply to Webmaschder
    I've created a SNAT rule 192.168.100.0/24 -> Any -> 172.22.1.0/24 source translation: 172.20.1.1/24

    Typo or did you really create a network object with this address?

    Any entries in firewall and ips log (if used)?

    edit: By the way: is the DNS Server configured to allow DNS requests from your "fake" network?
  • 0 in reply to scorpionking
    Typo or did you really create a network object with this address?


    no, that's correct. I added this address to the local interface as additional address. Without this address I cannot use the SNAT rule and the 1:1 rule is not working.
    the whole tunnel ist working BUT DNS. [:)]


    Any entries in firewall and ips log (if used)?

    IPS is disabled for the fake and the remote net. no entries for local net.
    no entries in the firewall log (except the success entries: "used NAT#4" "used Firewall rule #18" ...)


    edit: By the way: is the DNS Server configured to allow DNS requests from your "fake" network?

    sure. both (fake net AND remote net remote net) are listed.
  • 0
    In my understanding you should use a 1:1 NAT, not SNAT (as you want to translate the whole network).

    Is this a SSL or IPSec VPN?
  • 0 in reply to scorpionking
    1:1 NAT was my first thought but it is not possible to access the remote net using a 1:1 NAT rule.
    or maybe my rule is wrong:

    map Source: 192.168.100.0/24 -> Any -> 172.22.1.0/24 source translation: 172.20.1.0/24
    automatic firewall rule, no aditional address

    and the same backwards:
    map Destination: 172.22.1.0/24 -> Any -> 172.20.1.0/24 destination translation: 192.168.100.0/24
    automatic firewall rule, no aditional address

    with this configuration not one single packet will pass the tunnel not even ICMP packets...


    we talk about a IPSEC Site-to-Site VPN
  • 0
    Sorry, I think I still don't fully understand your networking setup... [;)]

    In your diagram there is a 10.10.10.0/24 net. You didn't emtion this one?
    And just for my understanding: why do you have to use NAT? Is it because your local network is already used at another site connected to the remote network?