Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 4564 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Request Routing Over IPsec

danodemano
I hope this is the right spot for this.  I did a ton of searching but came up empty.  Closest I found was this but there was never a solution.

I'm trying to get DNS queries to our work LAN to route through the VPN tunnel.  So if I ping say server.work.lan it should resolve to that IP address through the IPsec tunnel.  However this isn't working.  I can access all machine on the work LAN through the tunnel via IP but DNS requests aren't working.  I have the routing defined to look at our 3 DNS servers at work.

I think I know where the problem lies but am unable to fix it.  If I try to ping one of the work DNS servers by IP from the Astaro box itself I get a:

From 71.x.x.201: icmp_seq=1 Destination Host Unreachable

where the 71.x.x.201 is the IP address of my WAN interface.  It seems that Astaro isn't using the IPsec tunnel for requests that originate from itself.

Is there a way to fix this so that the Request Routing works as desired?  I'm running the latest version, 9.003-16.  Thanks so much!


This thread was automatically locked due to age.
  • 0
    So if I ping say server.work.lan it should resolve to that IP address through the IPsec tunnel.

    Please show why you think that should be.

    Can you ping from a PC inside your home LAN?   Do you have the right settings on the 'ICMP' tab to allow that?

    Cheers - Bob
  • 0
    Thanks for the reply!

    Sorry I wasn't very clear, let me try this again.  IPsec tunnel is up, pings from home LAN to work LAN along with all other traffic flows fine IF I use IP addresses of the machines in the work LAN.

    I want to be able to use hostnames instead of IP addresses when accessing my work LAN, so I set up the DNS Request Routing in Astaro to send anything with the domain work.lan to one of our 3 DNS servers at work.

    However this does nothing far as I can tell, if I do an nslookup against the Astaro box for server.work.lan it gives me nothing (actually it gives me an OpenDNS IP address).  If I try to ping the work DNS servers or anything in the work LAN from the Astaro box itself I get the Destination Host Unreachable showing my WAN address at home.

    Hopefully I explained that a little better.  If there is simply no way to use DNS servers on the other side of an IPsec tunnel then it is what it is and I will find another solution.
  • 0
    So the IPSec tunnel is up and you can already access remote hosts using IP addresses and want to be able to lookup the host names.

    When you lookup 'host' where host is the name of a machine on a remote network and no local machine has the same name, you get an unexpected response from OpenDNS?
    How did you determine that OpenDNS was where the response came from? 
    What exactly is the response you get back?

    Have you checked the firewall log to see if it is dropping the DNS packets for some reason? (if traffic already traverses the tunnel when you use IP addresses, this is unlikely, but it's good to check anyway).

    Are you able to run tcpdump on the other side to verify that they are or are not coming across the connection? Perhaps they are being blocked by a restrictive firewall on the other side?
  • 0
    Nevermind, I'm just an idiot.  I had an IPS device behind Astaro and was routing between it and the Astaro box.  It was setup as a NATless router.  Then devices behind it where in the IP range to access the IPsec tunnel.  So Astaro's LAN address was a 172. while the devices that could use the tunnel were 192. addresses.  I just made a few changes and it seems to be working right now.  Sorry to have been a pain.