Help us enhance your Sophos Community experience. Share your thoughts in our Sophos Community survey.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 3888 views
  • Users 0 members are here
Options
Suggested

[7.390] Remote SSL connection no DNS possible

willemsej
[:S]Now I'm testing the remote SSL connection. I'm able to setup a SSL connection and get into the internal network from the remote end. I can ping all internal systems as wel as filetransfer and HTTP tasks.

I also can ping devices on IP on the outside of the internal network on IP number but not on DNS name. I do not see anything wierd on the Intrusion Protection as well as on the Packet Filter live log.

I only see something on the Remote Access » SSL live log see below:
2009:02:10-21:29:13 nldbsnrk08 openvpn[20575]: OpenVPN 2.1_rc13 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on Dec 9 2008 
2009:02:10-21:29:13 nldbsnrk08 openvpn[20575]: WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want 
2009:02:10-21:29:13 nldbsnrk08 openvpn[20575]: WARNING: --ifconfig-pool-persist will not work with --duplicate-cn 
2009:02:10-21:29:13 nldbsnrk08 openvpn[20575]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

I allowed the Internal as well as the SSL VPN Network to go out via the Rulebase. I'm using the Full transparent mode on the Web Security » HTTP/S tab.

Regards John
Parents
  • 0
    I also can ping devices on IP on the outside of the internal network on IP number but not on DNS name.


    There seems to be a bug in the Windows SSL VPN client code regarding to updating the DNS server. Could you please try to connect, make sure DNS is not working and then go to Start >> Run >> `cmd' and fire up `ipconfig -registerdns'. Windows should tell you that it (re)registered the DNS RRs. Now try if name resolution works.

    I only see something on the Remote Access » SSL live log see below:
    2009:02:10-21:29:13 nldbsnrk08 openvpn[20575]: WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want 
    2009:02:10-21:29:13 nldbsnrk08 openvpn[20575]: WARNING: --ifconfig-pool-persist will not work with --duplicate-cn 
    2009:02:10-21:29:13 nldbsnrk08 openvpn[20575]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts


    Those actually have nothing to do with the problem. Just openvpn being a bit chatty really. =)
  • 0 in reply to d12fk
    There seems to be a bug in the Windows SSL VPN client code regarding to updating the DNS server. Could you please try to connect, make sure DNS is not working and then go to Start >> Run >> `cmd' and fire up `ipconfig -registerdns'. Windows should tell you that it (re)registered the DNS RRs. Now try if name resolution works.

    ipconfig /registerdns does not help anything in that matter. Its only to re-register the DDNS Client in its DNS Server. That does not change anything to which Server is used for resolving.

    AFAIK its a known Windows Problem and not OpenVPNs fault. You have to make sure the network adapter ordering is correct. That order defines what DNS Server will be used, depending on which adapter is listed first and active. Usually you want your VPN Adapter listed first here to resolve hosts used in the remote network. To check which nameserver is actually being used, check with nslookup in a cmd shell.

    In Windows 2k/2k3/XP, you can re-order the network adapters via "Control Panel -> Network Connections -> Advanced ->Advanced Settings -> Adapters and Bindings -> Connections". I haven't found a way to do this in Vista, yet.
  • 0 in reply to trollvottel
    In Vista: 

    'Network and Sharing Center'
    select 'View Status' of the connection
    click 'Properties'
    highlight 'Internet Protocol Version 4 (TCP/IP V.4)' and click 'Properties'
    click 'Advanced'
    select the 'DNS' tab

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    No. That just configures DNS for the specific NIC, but not the order in which Windows uses the DNS servers it has available.

    What I mean is: If have more than one NIC (or VPN Adapter), each with its own DNS configuration. Which do you expect Windows to use? That can be specified using the procedure above.
  • 0 in reply to BAlfson
    Sorry, yes I understand now.

    'Network and Sharing Center'
    click 'Manage Network Connections'
    touch [Alt] key, select 'Advanced' and proceed as with earlier versions.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply Children
No Data
Unfiltered HTML