Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3634 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM using itself for DNS on AWS

magd168
I have a UTM on AWS.  I want my SSL VPN users to use the Sophos for DNS.  If I use the client's DNS, then connectivity is fine.  However, if I use the Sophos for DNS, DNS can resolve, but I lose network connectivity.  The loss of connectivity is random.  Disconnecting and connecting to the VPN resolves the issue.  I'm configuring DNS at Remote Access, Advanced.

Digging against the Sophos confirms I can resolve.  Any thoughts?


This thread was automatically locked due to age.
Parents
  • 0
    The 'Global' tab of 'Network Services >> DNS' lists "Internal (Network)" (also other internal networks, like "DMZ (Network)" if applicable) as 'Allowed networks'. - Done

    On the 'Forwarders' tab, use an Availability Group containing the OpenDNS or Google name servers in 'DNS Forwarders'. 'Use forwarders assigned by ISP' is not checked.* - I'm using the default of AWS' DNS IP address.  "Use forwarders assigned by ISP
    Currently assigned forwarders: 10.0.0.2"

    In 'Request Routing', the internal DNS is used for reverse DNS of internal IPs (for example if your internal subnet is 172.16.20.0/24, you would have '20.16.172.in-addr.arpa -> {Internal DNS}'. With that, the Astaro can list machine names instead of internal IP addresses in the reports. - Doesn't apply.  I don't need reverse DNS.

    Also, in 'Request Routing', so the Astaro can resolve internal FQDNs, add, for example 'yourdomain.loc -> {internal DNS server}'. Do the same for other domains for which you have Forward Lookup Zones in your internal DNS server. - Doesn't apply

    Configure Windows Server (or other) DHCP server for internal devices to point at your internal name server for DNS, then the Astaro, then the OpenDNS servers. - Doesn't apply on AWS.

    ----------

    The problems still exist when I don't use the UTM for DNS.  If I point at AWS' DNS server, then problem still happens.  First it works, then later all my users lose connectivity.

    My clients are 10.242.0.0/24 and are NATed to the Sophos' IP address.  I'm not sure what masquerading rule to look at.
Reply
  • 0
    The 'Global' tab of 'Network Services >> DNS' lists "Internal (Network)" (also other internal networks, like "DMZ (Network)" if applicable) as 'Allowed networks'. - Done

    On the 'Forwarders' tab, use an Availability Group containing the OpenDNS or Google name servers in 'DNS Forwarders'. 'Use forwarders assigned by ISP' is not checked.* - I'm using the default of AWS' DNS IP address.  "Use forwarders assigned by ISP
    Currently assigned forwarders: 10.0.0.2"

    In 'Request Routing', the internal DNS is used for reverse DNS of internal IPs (for example if your internal subnet is 172.16.20.0/24, you would have '20.16.172.in-addr.arpa -> {Internal DNS}'. With that, the Astaro can list machine names instead of internal IP addresses in the reports. - Doesn't apply.  I don't need reverse DNS.

    Also, in 'Request Routing', so the Astaro can resolve internal FQDNs, add, for example 'yourdomain.loc -> {internal DNS server}'. Do the same for other domains for which you have Forward Lookup Zones in your internal DNS server. - Doesn't apply

    Configure Windows Server (or other) DHCP server for internal devices to point at your internal name server for DNS, then the Astaro, then the OpenDNS servers. - Doesn't apply on AWS.

    ----------

    The problems still exist when I don't use the UTM for DNS.  If I point at AWS' DNS server, then problem still happens.  First it works, then later all my users lose connectivity.

    My clients are 10.242.0.0/24 and are NATed to the Sophos' IP address.  I'm not sure what masquerading rule to look at.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?