Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 7327 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Request Routing over Site to Site IPSec VPN...

SkipSinclair
OK.  I have a site-to-site VPN link from my home to work.  Astaro Home at home to two ASG220's, all running 8.305.  IPSEC VPN established fine, passes traffic like crazy.  I'm using the home astaro as DHCP and DNS, and am attempting to setup DNS request routing so anytime I hit .work.com, it goes to resolve against dns.work.com instead of astaro.home.local.  I can ping the DNS server by IP (anything at work by IP, actually) - it's 10.10.0.8.  But when I perform an nslookup from my home machines, I get:

[FONT="Courier New"]sinclair7-mba:~ skip$ nslookup server.work.com
;; connection timed out; no servers could be reached

sinclair7-mba:~ skip$ nslookup server.work.com 10.10.0.8
Server: 10.10.0.8
Address: 10.10.0.8#53

Name: server.work.com
Address: 10.10.0.7[/FONT]

So, left to it's own, the DNS Request Routing isn't doing much of anything.  But I know that the DNS traffic itself is actually allowed, due to the second form of the command.  I even ran a full debug against the DNS server (10.10.0.8), filtering out any packets that came from either the internal IP of the astaro (192.168.100.1), or the internal home machine itself (192.168.100.51) - nothing appears to be coming into the DNS server.  Any ideas?  Any way I can debug the DNS request routing part of the home astaro?  This would really make working from home a thousand times easier, Support looked at the ASG220 configs and found nothing wrong or missing, but they wouldn't/couldn't touch the home box, so here I am......  TIA.

-Skip


This thread was automatically locked due to age.
  • 0
    Sorry, maybe I wasn't clear - I do in fact have a DNS Request routing rule in place and activated that says:

    work.com -> dns.work.com 

    The dns.work.com object is a regular host object with the proper IP of 10.10.0.8.
  • 0
    Hi,

    1. Check the packetfilter logs on your home astaro

    2. run tcpdump on the internal and VPN interfaces on the home astaro and see if 
    a. dns requests are coming from your PC
    and
    b. if they're getting forwarded into the VPN tunnel.

    Barry
  • 0
    Hi, Skip, and welcome to the User BB!

    If Barry's tips don't solve it for you, please [Go Advanced] and post pics of your home unit's IPsec Connection and Remote Gateway for each 220.

    Also, confirm that the dns.work.com Host definition has 'Interface: >' and isn't bound to a specific interface.

    Cheers - Bob
  • 0
    Images attached.  The two ASG220s are actually clustered, so there's only one connection.  The VPN itself appears to be working fine, it's just the DNS Request routing side on the home box that doesn't appear to be doing much of anything.

    Screen Shot 2012-06-29 at 9.01.08 AM.png

    Screen Shot 2012-06-29 at 9.03.23 AM.png

    Screen Shot 2012-06-29 at 9.04.19 AM.png

    Screen Shot 2012-06-29 at 9.04.37 AM.png
  • 0
    I notice that you don't have automatic firewall rules checked.  Do you have a manual firewall rule to allow DNS traffic?
  • 0 in reply to Scott_Klassen
    Right now, the home box has a simple any->any->any allow rule.  The work box doesn't, as I really want a one-way connection - I want to see all at work, but I don't necessarily want my network scanning software picking up my home iPods... but both the home 'net and work 'nets are in each other's Allowed Networks under DNS->Global.  DNS traffic is being allowed; if I do an nslookup directed to the work DNS server manually, it resolves fine (and does so from the home net).  Nothing is showing up as being blocked from either side in the firewall live log.
  • 0 in reply to SkipSinclair
    Right now, the home box has a simple any->any->any allow rule.


    FYI, you should use
    LAN - any -> any

    otherwise, you could be allowing any hostile internet traffic in (although it depends on your NAT settings, etc.)

    Barry
  • 0
    Yep. That's actually what I have. My bad. 

    Or rather, what I *had*. One thing you'll learn about me, as hopefully I'll be hanging out here for a while, is that I'm incredibly impatient.  I've already upgraded to UTM soft 9, the one that came out a few hours ago. [:)]

    Once I get the VPN reestablished, I'll update this thread with the results.  I know, killing a fly with a sledgehammer, but it's not like I *wasn't* going to update to v9 anyways...
  • 0
    Ooof.  Well, sorta worked.  The VPN was up for about 10-15 minutes, then dropped, now it doesn't even appear in the main status page for site-to-site vpns.  Opened a new thread in the Beta 9 forum - if you're interested.

    But, WHILE IT WAS UP, the DNS request routing worked like a champ.  So there's hope, but a new wrinkle... [:)]