Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 33511 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Forwarder over IPSEC VPN

Paul Dugas
I have a remote site I connect to from home via an IPSEC tunnel that's working fine when I use IPs instead of hostnames.  I have added a Request Routing entry pointing the remote DNS domain name to the IP address of the DNS server on the remote network.  From my local network, I can run "host www.remote.lan RemoteDnsServerIP" and get the proper response.  When I try the same pointing to the local UTM machine, it fails.  Doing the same with hostnames on the local network and names of Internet hosts both work fine.  This feels like the IP address that the local DNS server (on the UTM machine) is using isn't on the internal network and isn't getting through the tunnel.  

How do I begin troubleshooting this? I'm new to Sophos/Astaro so be gentle pls.


This thread was automatically locked due to age.
Parents
  • 0
    Thanks Bob.  I have an IPSEC tunnel from my home network to my office.  I have an entry under Network Services -> DNS -> Request Routing that points to the IP address of my AD server at work for the forward and reverse DNS zones.  The logical network goes something like so:

      [laptop] -- {home lan} -- [UTM] --IPSEC-- [WORK] -- {work lan} -- [AD]

    From a machine on the internal network at home, I can ping IP addresses at the office so the tunnel is up.  I cannot ping those same IP addresses from the UTM machine itself.  I was surprised to learn the IPSEC implementation isn't able to source traffic destined from the UTM itself using the IP on the internal LAN to traverse the tunnel.  I wonder if some static route entries are in order but I've not thought that one all the way through yet.

    Similarly, I can resolve DNS hostnames in the domain at the office from my laptop pointing directly to the DNS server (the AD machine) at the office.  i.e. "host www.work.lan 10.0.0.10" where the AD machine is 10.0.0.10.  However, if I try the same lookup using the IP address of the UTM's interface on the home LAN, it doesn't work.  This is not unexpected given the previous paragraph.

    Is there a trick to get the UTM to use the tunnel and it's local IP as the source for traffic destined for the remote subnet?
Reply
  • 0
    Thanks Bob.  I have an IPSEC tunnel from my home network to my office.  I have an entry under Network Services -> DNS -> Request Routing that points to the IP address of my AD server at work for the forward and reverse DNS zones.  The logical network goes something like so:

      [laptop] -- {home lan} -- [UTM] --IPSEC-- [WORK] -- {work lan} -- [AD]

    From a machine on the internal network at home, I can ping IP addresses at the office so the tunnel is up.  I cannot ping those same IP addresses from the UTM machine itself.  I was surprised to learn the IPSEC implementation isn't able to source traffic destined from the UTM itself using the IP on the internal LAN to traverse the tunnel.  I wonder if some static route entries are in order but I've not thought that one all the way through yet.

    Similarly, I can resolve DNS hostnames in the domain at the office from my laptop pointing directly to the DNS server (the AD machine) at the office.  i.e. "host www.work.lan 10.0.0.10" where the AD machine is 10.0.0.10.  However, if I try the same lookup using the IP address of the UTM's interface on the home LAN, it doesn't work.  This is not unexpected given the previous paragraph.

    Is there a trick to get the UTM to use the tunnel and it's local IP as the source for traffic destined for the remote subnet?
Children
No Data
Unfiltered HTML