DNS not working in PPTP VPN

Is your client an Apple computer?  There is a documented issue with Apple's use of names ending in ".local" and DNS.

The vpn client is Windows xp sp3. I have tried the FQDN and just the host name of the DNS server and neither one resolved. The DNS server works with Win2k, XP and Linux clients.

Are there any relevant packets block in the packet filter live log?

Are there any relevant packets block in the packet filter live log?

No, only port 137 UDP stuff. In the meantime, I have connected Wireshark on the DNS server side of ASG and I can see the pings come through when I use the DNS server IP address, showing the assigned VPN pool address as the source.

Pinging it by name reveals that the DNS request is not being forwarded/relayed to the DNS server by ASG.

Are there any relevant packets block in the packet filter live log?

No, only port 137 UDP stuff. In the meantime, I have connected Wireshark on the DNS server side of ASG and I can see the pings come through when I use the DNS server IP address, showing the assigned VPN pool address as the source.

Pinging it by name reveals that the DNS request is not being forwarded/relayed to the DNS server by ASG.

Strange.  Is there anything in the Intrusion Protection log?

Strange.  Is there anything in the Intrusion Protection log?

No, nothing.

What happens with NSLOOKUP when you tell it to use your dns server?

Barry

What happens with NSLOOKUP when you tell it to use your dns server?

Barry

Assuming you mean trying with the pptp client, 

"Can't find server name for address 192.168.0.3: Timed out"

FWIW, I changed over to L2TP over IPsec and am seeing the same issue: I can ping the DNS server by IP address, but ASG does not forward DNS requests to the DNS server.

Since no dropped DNS packets were showing in the packet filter live log, I ran tcpdump on the ASG, tracing on interface ipsec0 shows that the DNS standard query A from the L2TP client is seen by the ipsec0 interface, and that the client tries both DNS servers that are configured in Remote Access - Advanced.

These are the same servers that are configured in Network - DNS - Forwarders, and there are no allowed networks in the Network - DNS - Global, since my DNS servers are running Active Directory. According to the text on that tab, this should prevent clients from using the ASG as a recursive DNS resolver.

Does anyone out there have any ideas why ASG is not forwarding DNS requests for the remote access client?

What packetfilter rules did you setup for the VPN pool?

Barry

Ok, I found the problem. Turns out there is one bug and one quirk in Windows XP (and probably other versions of Windows) that pertains to VPN connections. The bug is that even if you put the Remote Access connections at the top of the Adapters & Bindings in Network Connections - Advanced - Advanced Settings, XP will still use the LAN DNS server ahead of the DNS servers configured for the VPN connection. Even though I did the registry hack described in MS KB311218, this behavior was not corrected.

However, the real issue was that I could not resolve internal network names because DNS on the client could not do a reverse lookup on the VPN DNS server names, which were internal class C private addresses. This is because XP does not like it when the VPN adapter IP address is not in the same subnet as the VPN DNS servers.

I fixed this by creating a new VPN address pool with an address of 192.168.0.220/32 (I will expand it beyond 2 addresses later) to put the VPN adapter into the same subnet as the 192.168.0.3 DNS server.

Although it still uses the LAN DNS server first when doing an nslookup, it immediately resolves the internal names as soon as it gives up on the ISP's DNS server.