Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 33505 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Forwarder over IPSEC VPN

Paul Dugas
I have a remote site I connect to from home via an IPSEC tunnel that's working fine when I use IPs instead of hostnames.  I have added a Request Routing entry pointing the remote DNS domain name to the IP address of the DNS server on the remote network.  From my local network, I can run "host www.remote.lan RemoteDnsServerIP" and get the proper response.  When I try the same pointing to the local UTM machine, it fails.  Doing the same with hostnames on the local network and names of Internet hosts both work fine.  This feels like the IP address that the local DNS server (on the UTM machine) is using isn't on the internal network and isn't getting through the tunnel.  

How do I begin troubleshooting this? I'm new to Sophos/Astaro so be gentle pls.


This thread was automatically locked due to age.
  • 0
    The VPN appliance on the other end doesn't allow for multiple subnets to be associated with one end of an IPSEC tunnel.  It's a m0n0wall box currently.  

    However, the UTM's internal address is already in the subnet for the local end of the tunnel so it should be able to traverse it if its routes were setup accordingly.  I'm not familiar with IPSEC on Linux (though I'm working on that) and with no interfaces or routes that I can look at, I'm not sure how this would work.
  • 0
    Bob, drawing is attached.  The UTM has DNS Request Routing entries for work.local and 1.10.10.in-addr.arpa pointing to 10.10.1.30 but since it can't even ping that address, the DMS will never work.  The laptop can ping that IP.  The laptop can resolve hostnames and addresses when it is set to use 10.10.1.30 as it's DNS server.  The tunnel appears to be fine.  The issue is how to get the UTM itself to use it.
  • 0
    Have you verified that monowall is allowing DNS from the UTM's source IP where the DNS is originating from. Also have you verified that the office DNS server allows your UTM to query it.
  • 0
    rrosson,  yes to all.  The DNS issue is secondary to the routing I believe.  UTM cannot ping the DNS server.  I don't believe this is an ACL issue.
  • 0
    Say I wanted to hack around with the ipsec.conf file to tinker with that leftfirewall=yes entry, how would I go about stopping/starting IPSEC without rewriting this file?
  • 0
    So, that works.  Adding "lefthostaccess=yes" to the conn entry in /var/sec/chroot-ipsec/etc/ipsec.conf, chroot'ing to /var/sec/chroot-ipsec, the running "ipsec restart" allows the UTM itself to traverse the firewall.  It can now ping IPs on the office subnet.  DNS Request Routing across the IPSEC tunnel now works.  The web proxy also now works to provide access to web servers at the office.

    So, who do I need to speak with about submitting a bug-report/feature-request?
  • 0
    Hi, until that feature gets implemented, you can edit the 'ipsec.conf-default' file and restart the VPN from webadmin.

    (normal config files on the UTM are frequently overwritten; files ending with -default are used to generate the normal config files. However, they may still be overwritten by an up2date, so make a backup of the file and keep notes)

    Barry
  • 0
    For posterity...  I tweaked ipsec.conf-default to add "lefthostaccess=yes" to the "conn %default" section and my issues with pinging from UTM, forwarded DNS zones, and web proxy traffic through the tunnel are resolved.
Unfiltered HTML