Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2948 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPad Cisco VPN DNS Issue

gdavis17
I have setup the Cisco VPN Client on my Astaro UTM9.  I have an iPad that connects perfectly and can surf the internet.  I can even use apps that are normally blocked while at work.  My question is, why do some apps work that normally are blocked by my work web filter, but others (specifically music apps) fail.  The configuration in the VPN setup that allows most apps to function is: I put any in the VPN Local Networks, added the VPN pool to the Masquerading, Webfiltering and DNS lists.  Any ideas would be appreciated, thanks.


This thread was automatically locked due to age.
  • 0
    Hi, 

    1. do you have the web filter in Transparent mode?

    2. do you have Internet in the Local Networks on the UTM's VPN settings?

    Barry
  • 0
    I thought that this had been fixed in V8.  I still have a NAT rule:

    DNAT : VPN Pool (Cisco) -> DNS -> Any : to Internal DNS


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have my web filter set in transparent mode and (for testing purposes) "any" in the Local Networks on the UTM's VPN settings section.  The strange thing is this worked perfectly in v8, but does not in v9.  I have tried setting up a DNAT rule, but I cannot use Any as the destination address (UTM 9 will not let you).  I did setup the rule:
     
    VPN Pool (Cisco) -> DNS -> External (WAN)(Network) : to Internal Address - DNS

    I'll am testing this change to see if changes the outcome.  Thanks for the suggestions.
  • 0
    I have checked this new DNAT rule and the issue is unchanged.  What is odd, is that some applications work correctly, but others do not.
  • 0
    I just wanted to provide an update.  I was able to get music apps to successfully play via vpn with a few rules.  I ended up removing the DNAT rule because it made no change to the issue.  I added VPN pool (cisco) to an exception rule that skipped the transparent mode web filter and IPS.  This is a home setup and the only devices able to connect via VPN (Cisco) are iPads and iPhones, so I'm not very concerned about security issues relating to these exceptions.  Thanks for all the help above, the comments led me to finding the fix.
  • 0 in reply to BAlfson
    I thought that this had been fixed in V8.  I still have a NAT rule:

    DNAT : VPN Pool (Cisco) -> DNS -> Any : to Internal DNS


    Cheers - Bob


    Hi Bob, I'm having this DNS problem in 9.203.

    Adding your DNAT workaround fails on the DNAT config with 

    "The NAT rule object cannot use any address objects for the traffic destination attribute when using this NAT mode."

    and the "Going to:" box is RED with ANY or Internet IPv4 filled in.

    Any ideas?

    Thanks,
    Barry
  • 0
    Interesting, Barry.  I tried to Edit/Save my DNAT as is, and got the same message.  When I replaced "Any" with "Internet," it worked.  I have confirmed that the old "Internet" definition I have is identical to the new "Internet IPv4" definition.

    Looking at the REF for each, it appears there is one difference in that "Internet" has 'netmask6' => 0 and "Internet IPv4" has 'netmask6' => 128.  You may have uncovered another bug in the IPv6 implementation - I don't have that activated anywhere.

    Cheers - Bob
    PS Bon Voyage, Barry!
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi,

    I still think there's a bug in the DNATs, but I did notice an "Advanced" setting page in the Remote Access subsystem; setting DNS servers there does fix the problem.

    Barry
Unfiltered HTML