Vai al contenuto
Avanet

Configurare DNS Request Routes su Sophos Firewall

Sophos Firewall

Con le DNS Request Routes si puo definire su Sophos Firewall quale DNS server deve essere usato per determinati domini o reti. Questo e particolarmente utile quando la Firewall usa DNS server pubblici, ma i nomi interni devono essere risolti tramite un DNS server interno.

Esempi tipici sono domini Active Directory, applicazioni interne, reverse lookup o ambienti VPN.

Quando servono le DNS Request Routes?

Le DNS Request Routes sono utili quando:

  • devono essere risolti hostname interni come server01.firma.local
  • i reverse lookup per reti IP interne devono funzionare
  • gli utenti VPN devono usare nomi interni
  • piu sedi hanno zone DNS proprie
  • la Firewall stessa deve raggiungere sistemi interni tramite FQDN
  • i DNS server pubblici non conoscono i nomi interni

Senza DNS Request Route, la Firewall interroga il DNS server configurato globalmente. Se quel server non conosce il dominio interno, la risoluzione fallisce.

Prerequisiti

  • Accesso al WebAdmin della Sophos Firewall
  • DNS server interno raggiungibile
  • Dominio o rete noti
  • Firewall rules che permettono il traffico DNS verso il server di destinazione
  • In caso di collegamento tra sedi: routing funzionante verso il DNS server

⚠️ I problemi DNS spesso sembrano problemi di routing, VPN o applicazione. Prima di modifiche piu ampie, conviene verificare se il server di destinazione e raggiungibile via IP e se fallisce solo la risoluzione dei nomi.

Creare una DNS Request Route per un dominio

Una domain route fa in modo che le query per un dominio specifico vengano inviate a un DNS server definito.

Esempio:

  • Host/domain name: firma.local
  • DNS server: 10.10.10.10

Procedura:

  1. Accedi alla Sophos Firewall.
  2. Apri Network.
  3. Seleziona DNS.
  4. Vai alla sezione DNS request route.
  5. Aggiungi una nuova DNS Request Route.
  6. In Host/domain name, inserisci il dominio interno, per esempio firma.local.
  7. In Target servers, seleziona il DNS server interno oppure crealo come Host tramite Create.
  8. Salva.

Dopo questa configurazione, la Firewall interroga il DNS server specificato per questo dominio.

Sophos Firewall - aggiunta di una DNS Request Route con DNS server interno
Sophos Firewall - Network > DNS > Add DNS request route

Usare piu Target Servers

In Target servers si puo aggiungere piu di un DNS server. Questo e utile se esistono piu DNS server interni o se DNS deve essere raggiungibile in modo ridondante tramite un collegamento tra sedi.

Possibili server di destinazione:

  • DNS server interni nella rete locale
  • DNS server dall’altra parte di una connessione VPN
  • DNS server in un’altra sede
  • DNS server pubblici, se un determinato dominio deve essere risolto consapevolmente all’esterno

L’ordine e rilevante. Sophos interroga gli host selezionati nell’ordine in cui compaiono nella lista. Secondo Sophos si possono configurare fino a otto indirizzi IP: Add a DNS request route.

Sophos Firewall - panoramica di una DNS Request Route per avanet.local
Sophos Firewall - Network > DNS > DNS request route

Reverse DNS per reti interne

Una Reverse-DNS-Request-Route inoltra le query PTR per una rete IP interna al DNS server che conosce la relativa Reverse Lookup Zone. Questo aiuta quando log, report o servizi devono ricavare di nuovo un hostname da un indirizzo IP.

Esempio:

  • Rete: 172.16.16.0/24
  • DNS server: 172.16.16.10
  • Reverse zone: 16.16.172.in-addr.arpa

Anche per i reverse lookup si crea una DNS Request Route in Network > DNS > DNS request route. In Host/domain name, pero, non si inserisce il dominio normale, ma la Reverse zone.

Esempio per 172.16.16.0/24:

16.16.172.in-addr.arpa

L’ordine degli ottetti e invertito. Dalla rete 172.16.16.0/24 si ottiene quindi 16.16.172.in-addr.arpa.

Per reti piu grandi, la Reverse zone puo essere piu ampia. Esempio: per 172.16.0.0/16 sarebbe 16.172.in-addr.arpa. Conta come e stata creata la Reverse Lookup Zone sul DNS server interno.

Se sul DNS server interno non esiste una PTR zone o non esistono PTR records, neppure la Request Route risolve il problema. La Firewall puo solo inviare la query al DNS server corretto, ma non crea record Reverse DNS sul DNS server.

Test

Dopo la configurazione bisogna testare la risoluzione dei nomi:

  • La Firewall riesce a risolvere il nome interno?
  • La risoluzione funziona da zone VPN o utente?
  • Il DNS server e raggiungibile via Ping o TCP/UDP 53?
  • Ci sono voci nei DNS Logs o nei Firewall Logs?

Se la risoluzione non funziona, controlla prima:

  • Il dominio e scritto correttamente?
  • Il client usa davvero la Sophos Firewall o il DNS server corretto?
  • Una Firewall rule blocca DNS?
  • Manca una route verso il DNS server?
  • Il DNS server risponde alle query della Firewall?

Errori tipici

Cause frequenti:

  • dominio errato, per esempio firma.local invece di ad.firma.local
  • DNS server raggiungibile solo dalla LAN, non dalla VPN
  • la Firewall invia la query tramite una route errata
  • Reverse Lookup Zone mancante
  • traffico DNS influenzato da una regola o da NAT

Negli ambienti VPN bisogna anche verificare che i VPN clients ricevano i DNS server e i search domains corretti.

Raccomandazione

Le DNS Request Routes dovrebbero essere il piu specifiche possibile. Una route per il dominio interno esatto e meglio di una configurazione troppo ampia. Per ambienti piu grandi conviene mantenere una piccola tabella con dominio, DNS server, sede e scopo, cosi le modifiche successive restano comprensibili.