Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 33513 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Forwarder over IPSEC VPN

Paul Dugas
I have a remote site I connect to from home via an IPSEC tunnel that's working fine when I use IPs instead of hostnames.  I have added a Request Routing entry pointing the remote DNS domain name to the IP address of the DNS server on the remote network.  From my local network, I can run "host www.remote.lan RemoteDnsServerIP" and get the proper response.  When I try the same pointing to the local UTM machine, it fails.  Doing the same with hostnames on the local network and names of Internet hosts both work fine.  This feels like the IP address that the local DNS server (on the UTM machine) is using isn't on the internal network and isn't getting through the tunnel.  

How do I begin troubleshooting this? I'm new to Sophos/Astaro so be gentle pls.


This thread was automatically locked due to age.
Parents
  • 0
    My home subnet is 10.10.0.0/24 with the UTM on .1.  My office is 10.10.1.0/24.  The IPSEC tunnel is connecting the two 24-bit subnets on either end.  Therefore the UTM does have an interface on the local end of the tunnel.  Still, when I SSH into the UTM and ping 10.10.1.30, the DNS server at the office, I get no response.  As Barry suggests, the UTM is apparently not using the tunnel for its own traffice.  The DNS forwarder is a secondary result of this.

    So the question becomes, is there a way for the UTM to use the tunnel for its own traffic addressed to the remote subnet when it has an interface on the tunnel's local subnet.  I wonder about a routing entry that points to the local interface for traffic destined for the remote network but I'm not sure how that'd work given the way this IPSEC doesn't present as interfaces and routing entries if its own.  I'm not familiar with the internals of this IPSEC implementation enough to do more than scratch my head here.

    My current solution is to just spin up a caching dns forwarder on a VM here at the house and point UTM to it for the remote zones instead.  Less that ideal but viable.  Messy.
Reply
  • 0
    My home subnet is 10.10.0.0/24 with the UTM on .1.  My office is 10.10.1.0/24.  The IPSEC tunnel is connecting the two 24-bit subnets on either end.  Therefore the UTM does have an interface on the local end of the tunnel.  Still, when I SSH into the UTM and ping 10.10.1.30, the DNS server at the office, I get no response.  As Barry suggests, the UTM is apparently not using the tunnel for its own traffice.  The DNS forwarder is a secondary result of this.

    So the question becomes, is there a way for the UTM to use the tunnel for its own traffic addressed to the remote subnet when it has an interface on the tunnel's local subnet.  I wonder about a routing entry that points to the local interface for traffic destined for the remote network but I'm not sure how that'd work given the way this IPSEC doesn't present as interfaces and routing entries if its own.  I'm not familiar with the internals of this IPSEC implementation enough to do more than scratch my head here.

    My current solution is to just spin up a caching dns forwarder on a VM here at the house and point UTM to it for the remote zones instead.  Less that ideal but viable.  Messy.
Children
No Data
Unfiltered HTML