Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 2629 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Probleme bei VPN-Tunnel

timo2k
Hallo zusammen,

ich habe zwei Sophos UTM220 nach der Anleitung per Site-to-Site IPsec/IKE verbunden - der Tunnel steht auch ohne Probleme.
Einzig die DNS-Auflösung der internen Netze gegfenseitig funktioniert nicht. 
Auch das Pingen der einzelnen internen Hosts klappt nicht.
Merkwürdigerweise muss es nach dem Einrichten des Tunnels mal geklappt haben, da die DNS-Hosts einmalig sauber aufgelöst wurden.

Intern sind die beiden Netze komplett eigenständig (eigene Domäne, eigener DNS).
Netz 1: Domäne standort1.loc, IP-Bereich 10.0.0.0/21, DNS-Server auf 10.0.2.11
Netz 1: Domäne standort2.loc, IP-Bereich 10.2.0.0/16, DNS-Server auf 10.2.2.11
Request-Routing und Reverse-DNS ist in beiden UTM's eingerichtet.
DNS-Server hatte ich damals nach dieser Anleitung eingerichtet.

Irgendwie stehe ich auf dem Schlauch und komme nicht weiter. Hat jemand einen Tipp für mich.

Beste Grüße
timo2k


This thread was automatically locked due to age.
  • 0
    Schau mal meinen Post unter
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/34596

    Ist eventuell das gleiche Problem - bei mir war es das
  • 0

    Intern sind die beiden Netze komplett eigenständig (eigene Domäne, eigener DNS).
    Netz 1: Domäne standort1.loc, IP-Bereich 10.0.0.0/21, DNS-Server auf 10.0.2.11
    Netz 1: Domäne standort2.loc, IP-Bereich 10.2.0.0/16, DNS-Server auf 10.2.2.11
    Request-Routing und Reverse-DNS ist in beiden UTM's eingerichtet.

    Irgendwie stehe ich auf dem Schlauch und komme nicht weiter. Hat jemand einen Tipp für mich.

    - wenn beide Tunnelenden (UTM's) dyn. IP verwenden, dann musst Du SNAT benutzen.
    - wenn beide Tunnelenden (UTM's) stat. IP's verwenden, dann reicht es die Public IP's als "remote networks" in die Tunnel config mitaufzunehmen.
    - Freischaltungen sind in beiden Faellen erforderlich. 

    Wohin zeigt Dein Request-Routing fuer standort2.loc auf der UTM (standort1) ? Auf 10.2.2.11 oder auf die UTM (Standort2) ?
  • 0 in reply to ClausP
    Hallo ClausP,

    beide Enden haben statische IPs und sind entsprechend aufgenommen.
    Das Request-Routing für standort2.loc zeigt auf 10.2.2.11.

    Beste Grüße
    timo2k
  • 0
    Hallo papa_
    so ganz verstehe ich Deinen verlinkten Beitrag nicht. Ich habe weder die Kategorie host group noch finde ich bei SNAT weder eine Option Any Ports noch eine via-Funktion.

    Beste Grüße
    timo2k
  • 0
    Also nur ICMP und UDP/TCP-53 zwischen z.B. 10.0.2.11 und 10.2.2.11 funktionieren nicht?
    PFL Log ist unauffällig? Routing passt? Also die Netze erreichen sich sonst gegenseitig?
Unfiltered HTML