Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 10543 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN and DNS Resolution

skydiver
Running Sophos UTM 9.103-5
Behind firewall am running a Windows Home Server 2011 with DNS role enabled
Windows7x64 client laptop running Sophos x86 open-vpn client 2.0.0.0
Internal network 192.168.10.0/24
SSL VPN Ip Pool: 192.168.100.128/28

I have two SSL tunnel profiles activated on my UTM
One with a gateway and the other local networks defined only

When connected to the profile with gateway network the remote access runs fine with all of my internal network devices (homeserver.myssldomain.com, xbmc.myssldomain.com, zoneminder.myssldomain.com) being resolved to the internal network ip addresses and everything pinging properly to the internal IP's.

When I connected via the split tunnel profile (no internet access across the VPN tunnel), internal name resolution to myssldomain.com ip devices is lost and defaults to the public dns entries for myssldomain.com.  I CAN ping all internal IP's so the tunnel works and if I do an NSLOOKUP designating the internal homeserver.myssldomain.com DNS server DNS resolution is correct so the DNS service is not being blocked by any firewalls.

On my Windows7x64 installation, an ipconfig /all shows the following: 

Windows IP Configuration



   Host Name . . . . . . . . . . . . : MYLAPTOP

   Primary Dns Suffix  . . . . . . . :

   Node Type . . . . . . . . . . . . : Broadcast

   IP Routing Enabled. . . . . . . . : No

   WINS Proxy Enabled. . . . . . . . : No

   DNS Suffix Search List. . . . . . : companynetwork.com

                                       myssldomain.com



Ethernet adapter Local Area Connection:



   Connection-specific DNS Suffix  . : companynetwork.com

   Description . . . . . . . . . . . : Targus Giga Ethernet

   Physical Address. . . . . . . . . : 00-01-02-03-04-05

   DHCP Enabled. . . . . . . . . . . : Yes

   Autoconfiguration Enabled . . . . : Yes

   Link-local IPv6 Address . . . . . : aaaa::bbbb:cccc[:D]ddd:f75a%35(Preferred)

   IPv4 Address. . . . . . . . . . . : 10.10.99.100(Preferred)

   Subnet Mask . . . . . . . . . . . : 255.255.255.0

   Lease Obtained. . . . . . . . . . : Monday, August 12, 2013 8:28:47 AM

   Lease Expires . . . . . . . . . . : Monday, August 12, 2013 11:58:47 AM

   Default Gateway . . . . . . . . . : 10.10.99.1

   DHCP Server . . . . . . . . . . . : 10.10.99.1

   DHCPv6 IAID . . . . . . . . . . . : 285233334

   DHCPv6 Client DUID. . . . . . . . : 00-01-02-03-04-05-06-07-08-09-0A-0B-0C-0D

   DNS Servers . . . . . . . . . . . : 10.10.99.1

   NetBIOS over Tcpip. . . . . . . . : Enabled



Ethernet adapter OpenSSLVPN:



   Connection-specific DNS Suffix  . : myssldomain.com

   Description . . . . . . . . . . . : Sophos SSL VPN Adapter

   Physical Address. . . . . . . . . : 00-AA-BB-CC-DD-EE

   DHCP Enabled. . . . . . . . . . . : Yes

   Autoconfiguration Enabled . . . . : Yes

   Link-local IPv6 Address . . . . . : dddd::cccc:bbbb:aaaa:70eb%17(Preferred)

   IPv4 Address. . . . . . . . . . . : 192.168.10.134(Preferred)

   Subnet Mask . . . . . . . . . . . : 255.255.255.252

   Lease Obtained. . . . . . . . . . : Monday, August 12, 2013 8:33:09 AM

   Lease Expires . . . . . . . . . . : Tuesday, August 12, 2014 11:01:03 AM

   Default Gateway . . . . . . . . . :

   DHCP Server . . . . . . . . . . . : 192.168.10.133

   DHCPv6 IAID . . . . . . . . . . . : 419495790

   DHCPv6 Client DUID. . . . . . . . : 0D-0C-0B-0A-09-08-07-06-05-04-03-02-01-00

   DNS Servers . . . . . . . . . . . : 192.168.100.253

   Primary WINS Server . . . . . . . : 192.168.100.253

   NetBIOS over Tcpip. . . . . . . . : Enabled


Please note that the VPN DNS server is resolving correctly.  I am not running in any kind of an Active Directory network at my company (I am beind another Sophos UTM running DHCP and DNS on the UTM).  I think this is some kind of an optijon missing on the SSL VPN client.

Any suggestions on troubleshooting would be helpful.


This thread was automatically locked due to age.
  • 0
    What happens if you do ipconfig /flushdns before trying the access via the split Profile?  The same, I expect...

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Correct Bob.  No difference.  I think it has something to do with Domain Search prioritization in Windows 7 but what is weird is that the non 0.0.0.0 profile worked a few months ago.  I think it broke when the ability to have different connection profiles was added to the UTM software.  It is then when I added the profile with the 0.0.0.0 network as part of the accessible network>
  • 0
    The only other thing I can think of would be to configure the laptop's NIC manually instead of taking the assignment from DHCP.  Then you could assign the IP of the UTM (192.168.100.129?) as the DNS server.  Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Tried changing the NOC manual and no go.  All the IP settings are getting set properly via the UTM VPN DHCP including DNS server, domain name, etc.

    I am wondering if this is an issue with the DNS Suffix Search list order...

    Anyone with knowledge of some detailed Windows 7 DNS resolution troubleshooting would be great.

    Bob would you be willing to test SSL access via two login accounts?  I can setup on with with gateway and one with out to see if you can duplicate my issue?
  • 0
    This is your home unit, so I don't have a user object there - right?  Sure, set up two users for me and add both to User Portal access and one each to the Profiles.  Shoot me the password and address via email.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    yes it my "lab".  Email on the way...
  • 0
    He figured it out.  The SSL VPN adapter has to be first in the order in Windows.  Trollvottel posted about this here four-and-a-half years ago: https://community.sophos.com/products/unified-threat-management/astaroorg/f/95/t/67362

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML