Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 9 subscribers
  • Views 1772 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS Request route over IPSec with NAT Translation

Sven Blanke

Hallo zusammen,

ich habe folgende Problematik und bin dort auf der Suche nach einer Lösung:

Wir haben mehrere Branch Office (BO) und binden diese über einen IPSec Tunnel an das Head Office (HO) an. Wir nutzen dazu im IPSec Tunnel das 1:1 NAT um das lokale Netz des BO in ein für das HO sauberes Muster zubringen. 

Beispiel: 

lokales Subnet BO: 192.168.3.0/24 

NAT Translated Network: 10.47.2.0/24

HO Subnet: 10.47.0.0/24

Somit sind alle BO´s die an das HO angebunden sind mit dem gleichen Adressmuster verbunden und es gibt keine Überschneidungen durch gleiche Subnetze an lokalen Standorten. 

IPSec Konfig: 

Dies funktioniert soweit auch einwandfrei.

Was nicht funktioniert, ist das DNS Request Routing der Firewall selbst. 

Der Systraffic der Firewall zum Request Routing ins HO RZ Netz auf den dortigen DC läuft nicht durch den Tunnel.

Ich vermute das die XGS den Systraffic fürs DNS Requestrouting nicht ins IPSEC 1:1 NAT mit aufnimmt und daher den entfernten DC nicht erreicht. 

Aber wie realisiere ich das? 

Ich habe diesen Beitrag bereits gefunden, ganz erschließt es sich mir aber noch nicht, warum die WAN IP in den VPN Tunnel mit aufgenommen werden sollte. Zudem wir an den BO teilweise keine Feste IP Adressen am Internetanschluss haben. Das Thema 1:1 NAT im IPSec Tunnel wird hier ebenfalls nicht beschrieben. 

support.sophos.com/.../KB-000035839

Hat jemand dazu eine Idee?

Vielen dank im voraus.

LG

Sven Blanke 



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Sven,

    wie ist denn dein DNS im Netz aufgebaut? Hat jedes BO einen eigenen DNS-Server? Wenn nicht, könntest du den DNS-Server aus dem HQ verwenden?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Thomas_XG

    Die Standard Clients am BO nutzen in erster Instanz den DNS am HO, dies funktioniert auch einwandfrei. Als zweiten DNS nutzen die Clients die XGS am BO für den Fall des Abbruchs.

    Es gibt nun allerdings auch Clients oder Geräte wie Handys, iPads die nur die XGS am BO als DNS nutzen, dies hat Berechtigungsgründe und hier werden DNS Anfragen an die gewünschte Domäne per DNS nicht korrekt aufgelöst. Auch Standard Clients die den ersten DNS nicht erreichen, nutzen die XGS und diese kann die DNS Anfragen nicht weiter Routen und auflösen. 

    Es ist kein riesiges Problem, lässt sich auch anders lösen, aber die Frage ist ob ich den DNS Traffic der Firewall irgendwie durch den Tunnel geroutet bekomme oder ob es einfach nicht geht.

    Ein VPN Tunnel IPSec ohne 1:1 NAT funktioniert übrigens einwandfrei auch mit DNS Request Routing. Nur das NAT im Tunnel sorgt für den Fehler. 

  • 0 in reply to Sven Blanke

    Poste mal deine NAT-Regel.

    Siehst du im Log auf der XGS am BO, dass der DNS Request auf das Tunnel-Interface weitergeleitet wird und evtl. der Rückweg nicht korrekt ist durch das NATing?

    _______________________________________________________

    Sophos SG 210 with Sophos XG Home - 20.0 MR 1

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Sven Blanke

    Da es sich bei den dns anfragen der firewall (damit auch DNS request-routing anfragen) um system generierte traffic handelt, musst du evtl. an CLI die quell-ip für system-generierte-traffic angeben.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to Sven Blanke

    Da es sich bei den dns anfragen der firewall (damit auch DNS request-routing anfragen) um system generierte traffic handelt, musst du evtl. an CLI die quell-ip für system-generierte-traffic angeben.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    .... der letzte punkt hier:

    doc.sophos.com/.../index.html


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Die beiden Regeln hatte ich bereits versucht, leider ohne Erfolg. 

    Ich hatte die letzte Regel auch nochmal mit dem local Subnet 192.168.3.254 versucht, da der IPSec Tunnel ja das Übersetzen erst vornimmt, aber leider bleibt es beim gleichen Fehlerbild. Ich bekomme von der Firewall selbst also über diagnostic auch die 10.47.0.10 nicht angepingt, es ist also jeglicher System Traffic der Firewall ob durch Diagnostic oder DNS Requests der nicht in den Tunnel läuft und dort per NAT übersetzt wird. Von den Clients, funktioniert wie gesagt alles einwandfrei. 

    Da wir das ganze mittlerweile Produktiv haben, werde ich es wohl auch dabei belassen. Es ist wie gesagt nicht essentiell das dies funktioniert, wäre nur nice to have gewesen. 

    Trotzdem vielen Dank!

Unfiltered HTML