Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

DNS over Site-to-Site-VPN V21

Hallo,

ich habe zwei Sophos im Lab stehen und teste die Version 21.

Die DNS- Einträge liegen auf der "Head office"

Auf der "Branch office" ist eine DNS-Anfrageroute auf die "Head office" eingerichtet.

Das funktioniert, seit Monaten auf der V20 problemlos. Auch das Update der "Branch office" auf V21 verursachte kein Problem.

Heute wurde mir auch auf der "Head office" das Update auf V21 vorgeschlagen - jetzt funktioniert die DNS-Abfrage nicht mehr.

Auf beiden FW sind in der Verwaltung das Hackerl DNS bei VPN und den lokalen Netzen gesetzt.

Auf der "Branch office" ergibt der Richtlinien test, dass alles OK ist.

Auf der "Head office" erhalte ich die Fehlermeldung - keine Regel - obwohl ich mitlerweile eine eigene Regel dafür angelegt habe. Auch ein Any Regel hilft nichts.

Alle anderen Services sind über das VPN nach wie vor erreichbar.

Hat jemand eine Idee an was das liegen kann?



Edited TAGs
[edited by: Erick Jan at 4:26 AM (GMT -8) on 9 Dec 2024]
  • Hallo Wotan,

    dürfen wir die Fehlermeldung und die Firewallregel einmal sehen, bitte?

    Meine Glaskugel ist gerade in Reparatur ...

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    du wirst mit Richtlinien und dem Richtlinientest wahrscheinlich  nicht viel erreichen. Für selbst generierte Traffic gibt es keine Rules und für den Zugriff auf das FW-DNS nur die local-ACL und deren spezielle Ausnahmen.

    Im LogViewer könntest du höchstens einen "access denied - device access" sehen, wenn wirklich etwas geblockt würde. Glaube ich aber nicht.

    Das Problem beim Zugriff von/auf eine Firewall durch VPN ist meist, dass die Pakete das nächstgelegene Interface verwenden und damit am Tunnel vorbei wollen.

    Meist sind Konstrukte mit "NAT - system generated Traffic" nötig, um das zu ermöglichen.

    Wenn es schon mal funktioniert hat ... gab es solche Konfiguration evtl. bereits? Evtl. ging die beim Update "Verloren"?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Wie ist den die Routingreihenfolge?

    Ich habe ähnliche Konfigurationen draußen mit der version 21 und da bis her noch keine Probleme.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Hallo,

    danke für die Ratschläge mitlerweile funktioniert es auch wieder. Ich kann aber nur vermuten was die genaue Ursache ist.

      Wie   richtig vermutet, findest du keine Fehlermeldungen. Am Win-Cient (hinter der "Branch office" FW hatte ich die Fehlermeldung eines DNS Timeout. - aber nur bei jenen Domainen, welche vom DNS auf der SOPHOS "Head office" abgefragt wurden. - alle anderen Abfragen haben sofort funktioniert.

    Da es sich um einen FW-Port handelt habe ich die Webportale auf der Schnittstelle aktiviert. - Alle Webportale waren vom Client aus erreichbar.   Ich habe hier zwischenzeitlich ein "ANY" Service Regel verwendet. Warum 4444 udgl funktioniert aber Port 53 nicht, konnte ich mir nicht erklären.

    Noch skuriler ist es dann geworden, als ich von dem Win Client (hinter der "Branch office" FW) eine Nslookup - Server Abfrage auf jene interne IP Adresse gemacht habe, die für die weitergeleiteten Domains auf der "Branch office" konfiguriert ist - die DNS Auflösung hat sofort funktioniert (über Nslookup / Server die interne IP Adresse der "Head office" FW angegeben)

    Mit anderen Worten, ein Client hinter der "Branch office" FW greift durch den VPN auf eine interne Adresse der "Head office" FW zu und die DNS Abfrage löst sofort auf, diverse Webportale auf dieser internen Adresse sind auch sofort erreichbar. Wenn aber die "Branch office" FW versucht, durch den VPN auf die selbe interne Adresse (viel mehr kann man bei der DNS - Weiterleitung nicht konfigurieren) - läuft die Anfrage in ein Timeout.

    Ich habe darau geschlossen, dass es ein Routing Problem sein muss und der "selbst" generierte Traffic jetzt anders geroutet wird. (oder zumindest für DNS)  Die Lösung war auch, die bei uns sehr eng ausgelegten Netzwerk Segmente auf /24 im Bereich des VPN zu erweitern - damit funktioniert es.

      Da es eine LAB-Umgebung ist konnte ich problemlos auf einen Snapshot der V20 gehen. Dort hat die alte Konfiguration funktioniert, auch mit den eingeschränkten Subnnetmasks.

    Ich hatte noch nicht ausreichend Zeit, aber ich bin so weit, dass der Request definitiv am jenen Port auf der "Head office" FW ankommt, auf der die interne IP Adresse konfiguriert ist. Zurück geht der Traffik aber nicht mehr. Was die "Head office" FW damit macht und über welchen Port / IP sie eventuell antworten möchte kann ich nicht sagen.

    Aber mit den /24 Netzen für den VPN funktioniert es.

    Danke

    LG aus Wien