Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 10315 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

I got a strange issue, SSL VPN Clients dont resolve on one UTM but can on other UTM?

JohnKenny
I have 2 UTM's linked with a red tunnel, both basically have identical setups with DNS and firewall rules etc. but when i SSL VPN to site 1 UTM i can resolve hosts on Site 2 LAN fine, but when I SSL VPN to site 2 UTM i cant resolve hosts on Site 2 LAN or Site 1 LAN?

Ive gone through both UTM's setup and they both have the same setup so I cant see what im overlooking so clients on site 2 VPN can resolve correctly.

Each site is separate domain, but the DC DNS at each site has a conditional forwarder for the other sites domain DNS server, both also use there local UTM as there forwarder and the UTM handles external DNS requests.

So as i said im sure i got both UTM's the same yet the results are different?

I should also mention that this is only SSL VPN clients with the issue, hosts on site 2 LAN can resolve hosts on Site 1 LAN so it has to be set up right DNS wise so the trouble is the UTM but i cant see what?

Any ideas?

Thanks

JK


This thread was automatically locked due to age.
  • 0
    Is this strictly a DNS resolution issue?  That is, can the SSL VPN client reach systems on Site 1 and Site 2, when connected to site 2, by IP Address?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Now you ask, VPN clients can access any resources on the other sites LAN.  But only VPN clients on Site 1 can resolve address on both sites.  Site 2 VPN clients cant resolve any.

    Hmm I definately got a rule to cover it all:-





    Those are the rules from both sites I set up to cover all Local traffic, but appears its not working for VPN clients on either.

    What am i missing?

    Thanks

    JK

    JK

    CompKickers

  • 0
    Where can i set the DNS server used by VPN Clients, Im thinking it may be because VPN clients are using the UTM as there DNS server not our Windows DNS server?

    We only use UTM DNS for external requests?

    Thanks

    JK

    JK

    CompKickers

  • 0
    JK, is your response to Scott's question that this is only a DNS name resolution problem?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Well i just had a thought that if VPN clients are using the UTM as DNS then clients wont be able to resolve LAN hosts as we use Windows DNS for internal hosts and that uses the UTM for External DNS.

    Still doesnt solve the access issues but im taking it a step at a time.

    Thanks

    JK

    JK

    CompKickers

  • 0
    OK i see it, Remote Access - Advanced.  The DNS is set to the right DNS server.

    JK

    CompKickers

  • 0
    OK so SSL VPN Clients on Site 1 can resolve address from both sites LAN's, also I can access resources on Site 1 LAN but not Site 2 LAN.  SSL VPN Clients on site 2 cant resolve address on any site but I can access resources on Site 2 LAN using IP address but cant access anything on Site 1 LAN.

    That should answer Scots question.

    Thanks

    JK

    JK

    CompKickers

  • 0
    There are too many possible issues related to a RED tunnel in this scenario.  It would be easier if you would set up a temporary IPsec site-to-site and then follow How to allow remote access users to reach another site via a Site-to-Site Tunnel.

    The "VPN Pool (SSL)" in Site2 should be modified from 10.242.2.0/24 to, for example, 10.242.22.0/24.

    In the following, select 'Automatic firewall rules' everywhere.

    In the IPsec Remote Gateway in Site1, 'Remote networks' should include {10.242.22.0/24} as well as the Network definition for the LAN in Site2.

    In the IPsec Remote Gateway in Site2, 'Remote networks' should include {10.242.2.0/24} as well as the Network definition for the LAN in Site1.

    In the IPsec Connection in each site, put "VPN Pool (SSL)" and "Internal (Network)" in 'Local networks'.

    In the SSL 'Remote Access Profile' in both sites, 'Local networks' should include "Internal (Network)" as well as the Network definition for the LAN at the other site.

    In 'Remote Access >> Advanced' in both sites, put the Host definitions for the DNS servers on both sites.  If, for example, Site2 doesn't have a DNS server, use the IP of Site2's "Internal (Address)" in both UTMs.

    Once you've got that working, start a new thread in the RED forum if you can't get that to work instead of the IPsec tunnel.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    where is the red forum?

    JK

    CompKickers

Unfiltered HTML