Zum Inhalt springen
Avanet

DNS Request Routes auf Sophos Firewall konfigurieren

Sophos Firewall

Mit DNS Request Routes kann man auf der Sophos Firewall festlegen, welcher DNS-Server für bestimmte Domains oder Netze verwendet werden soll. Das ist besonders nützlich, wenn die Firewall öffentliche DNS-Server nutzt, interne Namen aber über einen internen DNS-Server aufgelöst werden müssen.

Typische Beispiele sind Active Directory Domains, interne Applikationen, Reverse-Lookups oder VPN-Umgebungen.

Wann braucht man DNS Request Routes?

DNS Request Routes sind sinnvoll, wenn:

  • interne Hostnamen wie server01.firma.local aufgelöst werden müssen
  • Reverse-Lookups für interne IP-Netze funktionieren sollen
  • VPN-Benutzer interne Namen verwenden sollen
  • mehrere Standorte eigene DNS-Zonen haben
  • die Firewall selbst interne Systeme per FQDN erreichen muss
  • öffentliche DNS-Server keine internen Namen kennen

Ohne DNS Request Route fragt die Firewall den global konfigurierten DNS-Server. Wenn dort die interne Domain nicht bekannt ist, schlägt die Auflösung fehl.

Voraussetzungen

  • Zugriff auf den WebAdmin der Sophos Firewall
  • Interner DNS-Server ist erreichbar
  • Domain oder Netz ist bekannt
  • Firewall-Regeln erlauben DNS-Traffic zum Zielserver
  • Bei Standortvernetzung: Routing zum DNS-Server funktioniert

⚠️ DNS-Probleme wirken oft wie Routing-, VPN- oder Applikationsprobleme. Vor grösseren Änderungen sollte man prüfen, ob der Zielserver per IP erreichbar ist und ob nur die Namensauflösung fehlschlägt.

DNS Request Route für eine Domain erstellen

Eine Domain-Route sorgt dafür, dass Anfragen für eine bestimmte Domain an einen definierten DNS-Server gesendet werden.

Beispiel:

  • Host/domain name: firma.local
  • DNS-Server: 10.10.10.10

Vorgehen:

  1. In der Sophos Firewall anmelden.
  2. Network öffnen.
  3. DNS auswählen.
  4. Zum Bereich DNS request route wechseln.
  5. Eine neue DNS Request Route hinzufügen.
  6. Bei Host/domain name die interne Domain eintragen, zum Beispiel firma.local.
  7. Bei Target servers den internen DNS-Server auswählen oder über Create als Host anlegen.
  8. Speichern.

Danach fragt die Firewall für diese Domain den angegebenen DNS-Server.

Sophos Firewall - DNS Request Route mit internem DNS-Server hinzufügen
Sophos Firewall - Network > DNS > Add DNS request route

Mehrere Target Servers verwenden

Unter Target servers kann man mehr als einen DNS-Server hinzufügen. Das ist sinnvoll, wenn es mehrere interne DNS-Server gibt oder wenn DNS über eine Standortverbindung redundant erreichbar sein soll.

Mögliche Zielserver:

  • interne DNS-Server im lokalen Netzwerk
  • DNS-Server auf der anderen Seite einer VPN-Verbindung
  • DNS-Server an einem anderen Standort
  • öffentliche DNS-Server, wenn eine bestimmte Domain bewusst extern aufgelöst werden soll

Die Reihenfolge ist relevant. Sophos fragt die ausgewählten Hosts in der Reihenfolge ab, in der sie in der Liste stehen. Laut Sophos können bis zu acht IP-Adressen hinterlegt werden: Add a DNS request route.

Sophos Firewall - Übersicht einer DNS Request Route für avanet.local
Sophos Firewall - Network > DNS > DNS request route

Reverse DNS für interne Netze

Eine Reverse-DNS-Request-Route leitet PTR-Abfragen für ein internes IP-Netz an den DNS-Server weiter, der die passende Reverse Lookup Zone kennt. Das hilft, wenn Logs, Reports oder Dienste aus einer IP-Adresse wieder einen Hostnamen machen sollen.

Beispiel:

  • Netz: 172.16.16.0/24
  • DNS-Server: 172.16.16.10
  • Reverse-Zone: 16.16.172.in-addr.arpa

Für Reverse-Lookups erstellt man ebenfalls eine DNS Request Route unter Network > DNS > DNS request route. Bei Host/domain name trägt man aber nicht die normale Domain ein, sondern die Reverse-Zone.

Beispiel für 172.16.16.0/24:

16.16.172.in-addr.arpa

Die Reihenfolge der Oktette ist dabei umgekehrt. Aus dem Netz 172.16.16.0/24 wird also 16.16.172.in-addr.arpa.

Für grössere Netze kann die Reverse-Zone breiter sein. Beispiel: Für 172.16.0.0/16 wäre es 16.172.in-addr.arpa. Entscheidend ist, wie die Reverse Lookup Zone auf dem internen DNS-Server angelegt wurde.

Wenn auf dem internen DNS-Server keine PTR-Zone oder keine PTR-Records existieren, hilft auch die Request Route nicht. Die Firewall kann die Anfrage nur an den richtigen DNS-Server senden, aber sie erzeugt keine Reverse-DNS-Einträge auf dem DNS-Server.

Tests

Nach der Konfiguration sollte man die Namensauflösung testen:

  • Kann die Firewall den internen Namen auflösen?
  • Funktioniert die Auflösung aus VPN- oder Benutzerzonen?
  • Ist der DNS-Server per Ping oder TCP/UDP 53 erreichbar?
  • Gibt es Einträge im DNS- oder Firewall-Log?

Falls die Auflösung nicht funktioniert, sollte man zuerst prüfen:

  • Ist die Domain korrekt geschrieben?
  • Verwendet der Client wirklich die Sophos Firewall oder den richtigen DNS-Server?
  • Blockiert eine Firewall-Regel DNS?
  • Fehlt eine Route zum DNS-Server?
  • Antwortet der DNS-Server auf Anfragen von der Firewall?

Typische Fehler

Häufige Ursachen sind:

  • falsche Domain, zum Beispiel firma.local statt ad.firma.local
  • DNS-Server ist nur aus dem LAN erreichbar, nicht aus dem VPN
  • Firewall sendet die Anfrage über eine falsche Route
  • Reverse Lookup Zone fehlt
  • DNS-Traffic wird durch eine Regel oder NAT beeinflusst

Bei VPN-Umgebungen sollte man zusätzlich prüfen, ob die VPN-Clients die richtigen DNS-Server und Suchdomänen erhalten.

Empfehlung

DNS Request Routes sollten möglichst spezifisch sein. Eine Route für die genaue interne Domain ist besser als eine zu breite Konfiguration. Für grössere Umgebungen lohnt sich eine kleine Tabelle mit Domain, DNS-Server, Standort und Zweck, damit spätere Änderungen nachvollziehbar bleiben.