Aller au contenu
Avanet

Configurer DNS Request Routes sur Sophos Firewall

Sophos Firewall

Avec DNS Request Routes, on peut définir sur la Sophos Firewall quel serveur DNS doit être utilisé pour certains domaines ou réseaux. C’est particulièrement utile lorsque la firewall utilise des serveurs DNS publics, mais que les noms internes doivent être résolus par un serveur DNS interne.

Les exemples typiques sont les domaines Active Directory, les applications internes, les reverse lookups ou les environnements VPN.

Quand faut-il utiliser DNS Request Routes ?

DNS Request Routes est utile lorsque :

  • des noms d’hôtes internes comme server01.firma.local doivent être résolus
  • les reverse lookups pour les réseaux IP internes doivent fonctionner
  • les utilisateurs VPN doivent utiliser des noms internes
  • plusieurs sites possèdent leurs propres zones DNS
  • la firewall elle-même doit atteindre des systèmes internes par FQDN
  • les serveurs DNS publics ne connaissent pas les noms internes

Sans DNS Request Route, la firewall interroge le serveur DNS globalement configuré. Si ce serveur ne connaît pas le domaine interne, la résolution échoue.

Prérequis

  • Accès au WebAdmin de la Sophos Firewall
  • Serveur DNS interne joignable
  • Domaine ou réseau connu
  • Règles firewall autorisant le trafic DNS vers le serveur cible
  • En cas d’interconnexion de sites : routage fonctionnel vers le serveur DNS

⚠️ Les problèmes DNS ressemblent souvent à des problèmes de routing, de VPN ou d’application. Avant des changements importants, il faut vérifier si le serveur cible est joignable par IP et si seule la résolution de nom échoue.

Créer une DNS Request Route pour un domaine

Une route de domaine fait en sorte que les requêtes pour un domaine précis soient envoyées à un serveur DNS défini.

Exemple :

  • Host/domain name: firma.local
  • DNS-Server: 10.10.10.10

Procédure :

  1. Se connecter à la Sophos Firewall.
  2. Ouvrir Network.
  3. Sélectionner DNS.
  4. Aller dans la section DNS request route.
  5. Ajouter une nouvelle DNS Request Route.
  6. Dans Host/domain name, saisir le domaine interne, par exemple firma.local.
  7. Dans Target servers, sélectionner le serveur DNS interne ou le créer comme host avec Create.
  8. Enregistrer.

Ensuite, la firewall interroge le serveur DNS indiqué pour ce domaine.

Sophos Firewall - ajout d'une DNS Request Route avec un serveur DNS interne
Sophos Firewall - Network > DNS > Add DNS request route

Utiliser plusieurs Target Servers

Sous Target servers, on peut ajouter plus d’un serveur DNS. C’est utile lorsqu’il existe plusieurs serveurs DNS internes ou lorsque le DNS doit être joignable de manière redondante via une liaison intersite.

Serveurs cibles possibles :

  • serveurs DNS internes du réseau local
  • serveurs DNS de l’autre côté d’une connexion VPN
  • serveurs DNS sur un autre site
  • serveurs DNS publics, si un domaine précis doit volontairement être résolu à l’extérieur

L’ordre est important. Sophos interroge les hosts sélectionnés dans l’ordre où ils apparaissent dans la liste. Selon Sophos, jusqu’à huit adresses IP peuvent être configurées : Add a DNS request route.

Sophos Firewall - aperçu d'une DNS Request Route pour avanet.local
Sophos Firewall - Network > DNS > DNS request route

Reverse DNS pour les réseaux internes

Une Reverse-DNS-Request-Route transmet les requêtes PTR d’un réseau IP interne au serveur DNS qui connaît la Reverse Lookup Zone correspondante. Cela aide lorsque des logs, des rapports ou des services doivent retrouver un nom d’hôte à partir d’une adresse IP.

Exemple :

  • Réseau : 172.16.16.0/24
  • Serveur DNS : 172.16.16.10
  • Reverse-Zone : 16.16.172.in-addr.arpa

Pour les reverse lookups, on crée également une DNS Request Route sous Network > DNS > DNS request route. Dans Host/domain name, on ne saisit pas le domaine normal, mais la Reverse-Zone.

Exemple pour 172.16.16.0/24 :

16.16.172.in-addr.arpa

L’ordre des octets est inversé. Le réseau 172.16.16.0/24 devient donc 16.16.172.in-addr.arpa.

Pour les réseaux plus grands, la Reverse-Zone peut être plus large. Exemple : pour 172.16.0.0/16, ce serait 16.172.in-addr.arpa. Le point décisif est la façon dont la Reverse Lookup Zone a été créée sur le serveur DNS interne.

S’il n’existe pas de PTR-Zone ou de PTR-Records sur le serveur DNS interne, la Request Route ne résout pas le problème. La firewall peut uniquement envoyer la requête au bon serveur DNS, mais elle ne crée pas d’entrées Reverse DNS sur ce serveur.

Tests

Après la configuration, il faut tester la résolution de noms :

  • La firewall peut-elle résoudre le nom interne ?
  • La résolution fonctionne-t-elle depuis les zones VPN ou utilisateurs ?
  • Le serveur DNS est-il joignable en ping ou via TCP/UDP 53 ?
  • Y a-t-il des entrées dans le log DNS ou firewall ?

Si la résolution ne fonctionne pas, il faut d’abord vérifier :

  • Le domaine est-il correctement écrit ?
  • Le client utilise-t-il vraiment la Sophos Firewall ou le bon serveur DNS ?
  • Une règle firewall bloque-t-elle DNS ?
  • Une route vers le serveur DNS manque-t-elle ?
  • Le serveur DNS répond-il aux requêtes de la firewall ?

Erreurs typiques

Causes fréquentes :

  • mauvais domaine, par exemple firma.local au lieu de ad.firma.local
  • serveur DNS joignable seulement depuis le LAN, pas depuis le VPN
  • la firewall envoie la requête via une mauvaise route
  • Reverse Lookup Zone manquante
  • trafic DNS influencé par une règle ou du NAT

Dans les environnements VPN, il faut aussi vérifier si les clients VPN reçoivent les bons serveurs DNS et les bons domaines de recherche.

Recommandation

Les DNS Request Routes doivent être aussi spécifiques que possible. Une route pour le domaine interne exact est préférable à une configuration trop large. Pour les environnements plus importants, un petit tableau avec domaine, serveur DNS, site et objectif facilite le suivi des modifications ultérieures.