Ir al contenido
Avanet

DNS Request Routes en Sophos Firewall

Sophos Firewall

Con DNS Request Routes se puede definir en Sophos Firewall que servidor DNS debe utilizarse para determinados dominios o redes. Esto es especialmente útil cuando la firewall usa servidores DNS públicos, pero los nombres internos deben resolverse mediante un servidor DNS interno.

Ejemplos tipicos son dominios de Active Directory, aplicaciones internas, reverse lookups o entornos VPN.

Cuándo se necesitan DNS Request Routes

DNS Request Routes tienen sentido cuando:

  • deben resolverse nombres internos como server01.firma.local
  • deben funcionar reverse lookups para redes IP internas
  • los usuarios VPN deben utilizar nombres internos
  • varios sitios tienen sus propias zonas DNS
  • la propia firewall debe alcanzar sistemas internos mediante FQDN
  • los servidores DNS públicos no conocen nombres internos

Sin una DNS Request Route, Sophos Firewall consulta el servidor DNS configurado de forma global. Si ese servidor no conoce el dominio interno, la resolucion fallá.

Requisitos

  • Acceso al WebAdmin de Sophos Firewall
  • El servidor DNS interno es alcanzable
  • Se conoce el dominio o la red
  • Las reglas de firewall permiten tráfico DNS hacia el servidor de destino
  • En interconexion de sedes: el routing hacia el servidor DNS funciona

⚠️ Los problemas DNS suelen parecer problemas de routing, VPN o aplicación. Antes de hacer cambios grandes, conviene comprobar si el servidor de destino es alcanzable por IP y si solo fallá la resolucion de nombres.

Crear una DNS Request Route para un dominio

Una ruta de dominio hace que las consultas para un dominio determinado se envien a un servidor DNS definido.

Ejemplo:

  • Host/domain name: firma.local
  • DNS-Server: 10.10.10.10

Procedimiento:

  1. Iniciar sesión en Sophos Firewall.
  2. Abrir Network.
  3. Seleccionar DNS.
  4. Ir a la seccion DNS request route.
  5. Añadir una nueva DNS Request Route.
  6. En Host/domain name, introducir el dominio interno, por ejemplo firma.local.
  7. En Target servers, seleccionar el servidor DNS interno o crearlo como host mediante Create.
  8. Guardar.

Después, la firewall consultara ese servidor DNS para ese dominio.

Sophos Firewall - Añadir DNS Request Route con servidor DNS interno
Sophos Firewall - Network > DNS > Add DNS request route

Usar varios Target Servers

En Target servers se puede añadir más de un servidor DNS. Esto tiene sentido si existen varios servidores DNS internos o si DNS debe estar disponible de forma redundante a traves de una conexión entre sedes.

Servidores de destino posibles:

  • servidores DNS internos en la red local
  • servidores DNS al otro lado de una conexión VPN
  • servidores DNS en otra sede
  • servidores DNS públicos, si un dominio concreto debe resolverse conscientemente de forma externa

El orden es relevante. Sophos consulta los hosts seleccionados en el orden en que aparecen en la lista. Según Sophos, pueden configurarse hasta ocho direcciones IP: Añadir una DNS Request Route.

Sophos Firewall - Vista general de una DNS Request Route para avanet.local
Sophos Firewall - Network > DNS > DNS request route

Reverse DNS para redes internas

Una Reverse-DNS-Request-Route reenvía consultas PTR de una red IP interna al servidor DNS que conoce la Reverse Lookup Zone correspondiente. Esto ayuda cuando logs, reports o servicios deben convertir una dirección IP de nuevo en un nombre de host.

Ejemplo:

  • Red: 172.16.16.0/24
  • DNS-Server: 172.16.16.10
  • Reverse-Zone: 16.16.172.in-addr.arpa

Para reverse lookups también se crea una DNS Request Route en Network > DNS > DNS request route. En Host/domain name no se introduce el dominio normal, sino la Reverse-Zone.

Ejemplo para 172.16.16.0/24:

16.16.172.in-addr.arpa

El orden de los octetos se invierte. De la red 172.16.16.0/24 se obtiene por tanto 16.16.172.in-addr.arpa.

Para redes más grandes, la Reverse-Zone puede ser más amplia. Ejemplo: para 172.16.0.0/16 sería 16.172.in-addr.arpa. Lo decisivo es cómo se haya creado la Reverse Lookup Zone en el servidor DNS interno.

Si en el servidor DNS interno no existe una zona PTR o no existen registros PTR, la Request Route tampoco lo solucionará. La firewall solo puede enviar la consulta al servidor DNS correcto, pero no crea registros Reverse DNS en el servidor DNS.

Pruebas

Después de la configuración se debe probar la resolucion de nombres:

  • ¿Puede la firewall resolver el nombre interno?
  • ¿Funciona la resolucion desde zonas VPN o de usuarios?
  • ¿El servidor DNS es alcanzable por ping o por TCP/UDP 53?
  • ¿Hay entradas en el log DNS o de firewall?

Si la resolucion no funciona, conviene comprobar primero:

  • ¿El dominio está escrito correctamente?
  • ¿El cliente usa realmente Sophos Firewall o el servidor DNS correcto?
  • ¿Una regla de firewall bloquea DNS?
  • ¿Falta una ruta hacia el servidor DNS?
  • ¿El servidor DNS responde a consultas desde la firewall?

Errores tipicos

Causas frecuentes:

  • dominio incorrecto, por ejemplo firma.local en lugar de ad.firma.local
  • el servidor DNS solo es alcanzable desde LAN, no desde VPN
  • la firewall envia la consulta por una ruta incorrecta
  • falta la Reverse Lookup Zone
  • el tráfico DNS se ve afectado por una regla o por NAT

En entornos VPN también se debe comprobar si los clientes VPN reciben los servidores DNS y search domains correctos.

Recomendacion

DNS Request Routes deben ser lo más específicas posible. Una ruta para el dominio interno exacto es mejor que una configuración demasiado amplia. En entornos grandes merece la pena mantener una pequeña tabla con dominio, servidor DNS, sede y propósito, para que los cambios posteriores sigan siendo trazables.