No default DNS for WAN1 on USG40

2»

All Replies

  • Hi, @lan31,
    yes, I have a 1:1 NAT set, because our field staff connects vie L2TP/IPSec and the USG40 is behind the ISP Router.

  • Hello to all again!
    This is the shematics of our configuration:
    Working internetconnection from LAN1 Network, but no DNS from ZYWALL, only directly entered in LAN1 DHCP Configuration:

    !! ZyWALL gives NO DNS, and that´s my problem, because I cannot resolve any hostnames from inside USG40. I can not download firmware for APs, check for updates, connect to myZyxel.com, etc.

    Thank you for any hints!
  • ChrisGer
    ChrisGer Posts: 205  Ally Member
    First Anniversary Friend Collector First Answer First Comment
    edited April 2019
    @Zyxel_Charlie / @Zyxel_Cooldia
    Please do not hit me, if i reply to @StefanLogar in german and not in english :/
    yes, it's a pure english plattform, but i hope you understand, that's easier to talk to a community member in the native language directly :) i send him my activities to setup a USG behind a isp router (in my case behind a layer7 firewall). Thanks for understanding. 

    @StefanLogar
    Hallo Stefan,
    nach dem Du aus meinem Nachbarland kommst, poste ich hier (in der Hoffnung das man vom Forum nicht gleich gesteinigt wird) in Deutsch :)

    Diese konfig habe ich an einem Standort bei mir einwandfrei am laufen.... aber man muss hier etwas mehr als nur "da steht ein weiterer ISP router" beachten.

    Wie habe ich es gemacht:

    1. SNAT auf der USG deaktivieren
    Disable SNAT! Damit erzeugt man kein "double SNAT" bis das Paket am ISP router ankommt.

    2. Routeing auf der USG eintragen, damit alle Pakete für 192.168.2.0/24 über WAN1 geschickt werden
    Das bedeutet, das die USG die Information bekommt, das Pakete die an 192.168.2.0/24 gehen sollen über das WAN1 geschickt werden sollen.



    2. Rückroute auf dem ISP Router anlegen

    d.h. das Antworten für das Subnetz 92.168.68.0/24 müssen von ISP Router an das WAN1 Interface / die WAN1-IP der USG weitergegeben werden. Sonst kommt nie eine Antwort an Geräte, die an der USG angeschlossen sind retour.

    3. USG Firewall config
    Sicherstellen, das LAN1 to WAN als Regel wie folgt existiert:
    - LAN1 to WAN
    - Source = ANY
    - Destination = ANY
    - Service = DNS
    - LOG = yes

    bitte keine Destination IP eines externen DNS Server einstellen.

    DNS Reihenfolge in Deiner DHCP config:

    1st DNS 192.168.2.254 (Router are normaly forward DNS requests by default)
    2nd A1 primary DNS (Provider DNS)
    3rd A1 secondary DNS (Provider DNS)

    4. Packet caputre auf beinden Routern
    Schaue auf der UGS per packet capgure oder im Firewall LOG (so weit eingeschaltet) nach, ob pakete vom Server an WAN1 weitergegeben werden.

    Schaue (so weit möglich) am ISP Router, ob der die pakete auch sauber beantwortet (kommt auf den ISP Router an).

    5. 1:1 NAT
    Dsa szenario hae ich nicht im Einsatz. Bei mir erfolgt die Einwahl am ISP Router direkt. Der ISP Router leitet die Anfragen retour durch die USG zum Zielsystem.

    Viel Erfolg
    Christian
  • Hallo, Christian!
    Hello, Christian!

    Danke für deine ausführliche Anleitung :), aber das löst mein Problem ebenfalls nicht!
    Thank you for this detailed instructions :), but my problem still isn´t solved.

    Jegliche Verbindung von LAN1 Netzwerk ins Internet funktioniert und hat immer funktioniert!
    Any connection from LAN1 Network  to Internet is working and has been working before!

    Auch eingewählte L2TP/IPSec VPN-Benutzer können ins Internet (wenn nötig).
    Even users connected via L2TP/IPSec VPN can surf the Internet (if needed).

    Nur die USG40 findet nicht ins Internet.
    Just the USG40 finds no Internet.

    Any further help appreciated!
  • ChrisGer
    ChrisGer Posts: 205  Ally Member
    First Anniversary Friend Collector First Answer First Comment
    edited April 2019
    @StefanLogar
    if you mean, the USG do not check for new firmware releases - that sideeffect is not given in my infrastructure, cause cloud services like dropbox, amazon are by default blocked at my ISP firewall.

    there a several request to
    zapimg.cloud.zyxel.com.s3-website-us-east-1.amazonaws.com
    and
    ns1.ctmail.com
    ns2.ctmail.com
    ns3.ctmail.com
    and so on

    @Zyxel_Charlie @Zyxel_Cooldia
    any idea, why the USG is not able to get connected to Zyxel (AWS destinations)?
    in my case, i block AWS generaly and download the firmware manually :)

    Regards
    Christian


  • Hi to all!
    My problem was solved by @Zyxel_Stanley in the following way:

    My configuration followed this guide:

    What I had to change, was:
    Set the local policy at Ipsec-VPN to 0.0.0.0

    and disable the NAT 1:1 (from ISP-Router Public -> ZyXEL_WAN)

    That was all.

    Thank you, @Zyxel_Stanley
    Thank you all others, who have tried to help!

    Best regards!

Security Highlight