DNS-Einrichtung Sophos UTM 9

Share

Einrichtung von DNS in der Sophos UTM

Funktionierendes DNS ist für das AD, im Internet und auch
für die Sophos UTM notwendig. Die interne (AD)

und externe (Internet) Namensauflösung muss einwandfrei funktionieren.

.
.

Unter Network Services -> DNS |Global| "Allowed Networks"
werden alle internen oder remote Netzwerke angeben, die die Sophos UTM als DNS Server nutzen dürfen. Any sollte nicht eingetragen werden.

Bei VPN Verbindungen (mehrere Standorte) sollten auch immer alle Remotenetzwerke angegeben werden, bei Remote SSL Zugriff auch das Netzwerk 'VPN Pool (SSL)'.

.
.

Alle internen DNS Server (z.B. der DC) sollten externe DNS Server abfragen können dürfen, dazu eine Firewall Regel erstellen:

Network Protection -> Firewall |Rules| "+ News rule"

Sources:
DNS-Server-'Host'

Services:
DNS

Destinations:
Internet IPv4
Internet IPv6 (optional)

Sophos UTM DNS Firewall Rule

.
.
Unter Network Services -> DNS |Forwarders| "DNS Forwarders" werden DNS-Server Ihres Internetproviders zur Namensauflösung im Internet angegeben, Sie sollten immer 2 oder mehr angeben.

Die Server müssen als Host angelegt werden +:

Network Definition Sophos UTM 9

.
.
Man kann den DNS von Google zusätzlich nutzen:

Name: S-DNS.google

Type: Host

IPv4 Address: 8.8.8.8

IPv6 Address: 2001:4860:4860::8888

Hostname: google-public-dns-a.google.com

Bei DSL, also Einwahlzugängen, sollte die Option 'Use forwarders assigned by ISP' gesetzt werden.

Bei Kabelanbietern (UnityMedia, Kabel Deutschland) müssen die DNS Server manuell eingetragen werden, da dort die Adressen auf der WAN Seite nicht per DHCP vergeben werden.

.
.
Unter Network Services -> DNS |Request Routing| werden interne DNS-Server zur Namensauflösung von internen Domänen angegeben, in diesem Fall 'meineDomaine.local':

-

Wenn die interne Domaine gleich der Externen ist (also intern und extern zB = MeineDomain.de) , muss man im DC/internen DNS alle externen Server (www.MeineDomain.de) anlegen, weil der DC DNS Abfragen an die eigene Domaine nicht nach Extern weiterleitet, sonst ist z.B. die eigene Webseite

- www.MeineDomaine.de - nicht erreichbar.

Sophos-UTM-interner-DNS

.
.

Der interne DNS Server ist in der Regel der Domänenkontroller (DC) der internen Domäne, in diesem Fall die von 'meineDomaine.local'. Er wird auch als Host angelegt, zB so:

.
.
Im Domaincontroller/DNS Server müssen die Reverse Zonen auch hinterlegt werden.

Man kann entweder jedes IPv6 /64 einzeln anlegen, was bei vielen Netzten sicherlich übersichtlicher ist, oder das /48 hinterlegen mit z.B.

2001:4xx0:fbd5::/48"und "5.d.b.f.0.x.x.4.1.0.0.2.ip6.arpa."

DNS neue Zone IPv6

.
.
Dann hat man die PTR aus den /64 Netzen zusammen in einer arpa-Zone

DNS arpa Zone IPv6

.
.
Das manuelle Anlegen eines PTR für IPv6 ist etwas umständlich, man muss die Adresse ausschreiben:

manueller PTR IPv6

balken-unten

.
.

Reverse DNS Auflösung für das interne LAN, zB 192.168.100.0/24

'100.168.192.in-addr.arpa' -> Interner DNS-Server

1.168.192.in-addr.arpa-interner-DNS-Server

.

Hier ist ein Microsoft KB Artikel zu den Thema PTR/IPv4 von Subnetzen.

.
.

Das gleich kann man dann auch für IPv6 erstellen, ist ein bisschen länger, hier kann auch das IPv6 /48 angegeben werden

IPv6 arpa Sophos UTM Astaro

Wenn man RDNS/PTR für die UTM testen will, kann man diese per NSLOOKUP als DNS Server wählen:

nslookup - IPmeinerUTM

Unter nslookup sollte jeder IPv4 und IPv6 Adresse zum Hostnamen ausgelöst werden, natürlich nur wenn im internen DNS Server auch ein Eintrag vorhanden ist.

.
.
Das Gleiche wird auch so für angebundene Standorte konfiguriert, wenn es dort eine andere lokale Domäne und einen DNS Server gibt. Damit können extern über den Site to Site Tunnel zugreifende IP Adressen des Remote Netzes Clienten zugeordnet werden können. Dazu muss der DNS Server des angebunden Standortes auch als Host angelegt werden.

Wenn alle Server als Host mit Reverse DNS in der UTM angelegt sind, nutze ich die UTM als 2. DNS, falls der DNS-Dienst des DCs kurzfristig nicht erreichbar ist. Alle Server/Host mit fester IP Adresse sollten in der Sophos UTM als Host hinterlegt werden.

Wenn es einen 2. DC gibt, sollte dieser als 2. DNS Eintrag gesetzt werden.

.
.
Im DC/DNS-Server kann man die Sophos UTM auch als Weiterleitung angeben, die UTM ist auch DNS Proxy.

.
.
Testen des DNS der Sophos UTM:

nslookup - 192.168.100.1 //Adresse des Interfaces der Sophos UTM angeben

Dann die Adresse des lokalen Client eingeben, IPv4 und IPv6 (nicht die Verbindungslokale oder temporäre). Die UTM sollte die Adressen jetzt über den DC in Namen auflösen.

.
.
Danach sollten Sie Authentication Servers – Active Directory SSO einrichten

 

 

Münster AD 2013

Share