Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3005 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS’s ASTARO v7.104 not resolves direction of local domain

ZiCruz
Hi,

I am trying to Join ASG v7.104 to the Active Directory. 
The result is always the same: "Joining the domain failed."

But the main problem is that DNS’s ASTARO v7.104 not resolve directions of the local domain because I think that I have a bad configuration the packet filter, the NAT and/or policy rules.

My configuration is:

Management\System Settings\Hostname
Hostname: ASG-101 or ASG-101@damain.org

Definitions\Network
DNS internal 1 = Host 200.200.200.121 Domain Controller AD (PDC)
DNS internal 2 = Host 200.200.200.211 Domain Controller AD 

Network\Interfaces
eth0 = Internal – 200.200.200.101/24
eth1= External – 192.168.1.10/24 – Default GW 192.168.1.1 (Internet)

Network\DNS 
Global\Allowed Networks = Internal (Network)
Forwarders\DNS Forwarders = DNS server of ISP (External)
Request Routing =  damain.org -> DNS internal 1 and  DNS Internal 2 [Domain Controller AD (DNS-Server)]

Network Security\Intrusion Protection = OFF

Web Security\HTTP = ON in Transparent mode

Web Security\HTTP = OFF in Transparent mode

Email Security\SMTP = OFF

Email Security\POP3 = OFF

Network\Routine
Standard static routes = Nothing
Policy routes = Nothing

Network Security\Packet filter
1.- Allow – Internal (Address) -> DNS -> Internal DNS Group of server

Network Security\NAT\Masquerading = Nothing

Network Security\NAT\SNAT/SNAT
1.-  SNAT – TF = Any -> DNS -> Any    ST = [External (Address)  DNS]
for allowing DNS request from internal clients to external server DNS
I think that this NAT is not correct of all, because although with this NAT I can do DNS request to external DNS, the ASTARO DNS doesn’t resolve local direction.

What is the correct configuration for ASTARO to resolve direction local of internet and to allow DNS request to server external???

2.-  SNAT – TF = Any -> HTTPS -> Any    ST = [External (Address)  HTTPS]
for allowing navigation HTTPS to the internal clients

3.-  SNAT – TF = Internal (Network -> HTTP Proxy -> Group svr-8080    ST = [External (Address) HTTP Proxy]
for allowing to go to any pages that use the port 8080 instead of normal port http (80)

Taking advantage of this opportunity I want to ask, are the NAT 2 and 3 correct?

Thank you
Regards


This thread was automatically locked due to age.
Parents
  • 0
    Hello,
    You neither need the SNAT rules nor the packetfilter rule for the DNS resolution to work. How did you end up that your ASTARO box is not resolving local domain names? Did you try to resolve a host from your domain through ASTARO and you didn't get a response? Or you assuming that DNS is the problem because of the AD joining failure?
  • 0 in reply to lkar
    I tried to use ping and nslookup  from the webadmin and telnet astaro to a host of my domain and it doesn't answer to any of the commands.

    That's the reason I've never got to join to the domain. I've tried with and without  SNAT rules nor the packetfilter and I don't get that the DNS ASTARO solves any host of the domain. 


    Thank you very much for your help 

    my regards

    jose
  • 0 in reply to ZiCruz
    The ping commands do not respond at all? Either if you use IP address or hostname?
  • 0 in reply to lkar
    The ping command used host Ej: ping pc-250.domain.org.

    Afer a Factory Reset, and a new configuration, the DNS ASTATO solves OK.

    Tomorrow I will try to join ASTARO to domain.

    I think that I will have to create some packets filter to allow the traffic of protocols NETBIOS Group, LDAP, LDAP SSL and Kerberos. 

    is it correct?

     or I will need to remove or to put other policy rules, policy NAT or packets filter.

    ????

    thank very much.
  • 0 in reply to ZiCruz
    Yesterday, I have been trying to join  ASTATO to domain, but the mistake "Joining the domain failed." persists.


    Also, I have observed in webAdmin\Support\Tools:

    PING OK

    PING PDC.domain.org (200.200.200.121) 56(84) bytes of data.

    64 bytes from 200.200.200.121: icmp_seq=1 ttl=128 time=0.206 ms
    .....

    --- PDC.domain.org ping statistics ---

    5 packets transmitted, 5 received, 0% packet loss, time 4001ms

    rtt min/avg/max/mdev = 0.206/0.693/1.420/0.584 ms




    NSLookup

    (ok) - PDC.domain.org has address 200.200.200.121

    (KO) - Host 121.200.200.200.in-addr.arpa not found: 3(NXDOMAIN)

    [SIZE="3"]Why doesn't DNS solves the IP 200.200.200.121 and not found the host' name?
    is normal?[/SIZE]

    now, my configuration is:

    Management\System Settings\Hostname

    Hostname: ASG-101



    Definitions\Network

    Sever 1 = Host 200.200.200.121 Domain Controller AD (PDC) and DNS
    Server2 = Host 200.200.200.211 Domain Controller AD and DNS
    DNS Group = Server1, Server2



    Network\Interfaces

    eth0 = Internal – 200.200.200.101/24
    eth1 = External – 192.168.1.10/24 – Default GW 192.168.1.1 (Internet)



    Network\DNS

    Global\Allowed Networks = Internal (Network)
    Forwarders\DNS Forwarders = DNS server of ISP (External)
    Request Routing = damain.org ->  Server1, Server2



    Web Security\HTTP = ON  (Transparent mode)

    Network\Routine

    Standard static routes = Nothing
    Policy routes = Nothing



    Network Security\Packet filter

    1.- Allow – Any -> HTTPS -> sCorreo
    2.- Drop – Any -> Any -> Multicast (224.0.0.1)
    3.- Allow - Internal (Network) -> Windows Networking (NETBIOS) -> Internal (Broadcast)
    4.- Allow – Any -> KERBEROS -> Any
    5.- Allow – Any -> LDAP -> Any
    6.- Allow – Any -> LDAP-SSL -> Any



    Network Security\NAT\Masquerading = Nothing

    Network Security\NAT\SNAT/SNAT

    1.- Full NAT – TS = Any -> HTTPS -> External (Address)

    ST = External (Address)
    DT = Server-Mail



    2.- SNAT – TS = Internal (Network) -> HTTP Proxy -> External (Address)

    ST = External (Address)



    Users\Authentification\Active Directory 

    Server = Server1 (Domain Controller AD (PDC))
    Port = 389 or 636
    Bind User DN: CN=Administrator, CN=User, DC=domain, DC=org
    Bind User Password: ***xx
    Repeat: ***xx

    Domain: domain.org OR name NetBios Domain
    Admin username: Administrator
    Password: ***xx
    Repeat: ***xx



    [SIZE="7"]What is the mistake?[/SIZE]

    Thank you
  • 0 in reply to ZiCruz
    Hello,

    I'm trying to use SSO in my VM astaro 7.301 connected to a SBS 2003 R1 VM - And I have the same problem as stated here.
    The nslookup produce the strange message, and I cannot join the domain.
    Did someone get rid of this?
    I searched the forum for a while, and tried every possible bit of fix, without any chance.
    I authenticate to the AD correctly, I even imported users and groups, but I cannot join the domain. [:S]
    Any help/hint would be appreciated, as this is one of the main features I'd like to use in Astaro...
    Oh, BTW, my SBS is set up as 2 NICs, and the one connected to the Astaro box is the Wan one - I opened almost all the ports I heard about regarding AD and authentication (though able to authenticate with only the DNS ling and port 389 opened) and even tried dusabling the firewall on SBS without any success..
    I'll give a try on a copy of the machine with only 1 Nic to check, but don't expect much more...
    Anyway, if someone having the same problem get rid of it and can help, I would appreciate!
    Thanks in advance,
    Felix
  • 0 in reply to ZiCruz

    ...
    (KO) - Host 121.200.200.200.in-addr.arpa not found: 3(NXDOMAIN)

    [SIZE="3"]Why doesn't DNS solves the IP 200.200.200.121 and not found the host' name?
    is normal?[/SIZE]

    [SIZE="7"]What is the mistake?[/SIZE]

    Thank you



    [Size="8"]Create working reverse-dns[/size]
  • 0 in reply to gkemter
    Sure I'd like to have a working reverse dns...
    As mentionned, even if I did enter all the hosts details on both machines, it did not resolve...
    So, if you could help setting it up, I would be happy...

    As mentionned earlier in the post, nslookup returns something like:

    Host 121.200.200.200.in-addr.arpa not found: 3(NXDOMAIN)

    even if the host has been setup, with fqdn and its static IP in Astaro. Where shall I define it again? Isn't the static entry with the machine name enough to have it working both ways? I precise that my AD DNS does contain both entries for the server and Astaro host...

    Thanks in advance!
  • 0 in reply to felix_clerc
    Here you can see , how to teach Astaro, to use a spec. server for reverse dns.
    https://community.sophos.com/cfs-file/__key/telligent-evolution-components-attachments/13-15-00-00-00-00-00-24/asg_2D00_dns.JPG

    This works if you internal dns-server have a working reverse-dns-zone.

    regards
  • 0 in reply to gkemter
    As I examined your configuration, I saw that you have the hostname set to ASG-101 while you need a FQDN like ASG-101.domain.org to join the domain.
Reply Children
No Data