Naar de inhoud
Avanet

DNS Request Routes op Sophos Firewall configureren

Sophos Firewall

Met DNS Request Routes kun je op de Sophos Firewall bepalen welke DNS-server voor bepaalde domeinen of netwerken moet worden gebruikt. Dat is vooral nuttig wanneer de firewall publieke DNS-servers gebruikt, maar interne namen via een interne DNS-server moeten worden opgelost.

Typische voorbeelden zijn Active Directory-domeinen, interne applicaties, reverse lookups of VPN-omgevingen.

Wanneer heb je DNS Request Routes nodig?

DNS Request Routes zijn zinvol wanneer:

  • interne hostnamen zoals server01.firma.local moeten worden opgelost
  • reverse lookups voor interne IP-netwerken moeten werken
  • VPN-gebruikers interne namen moeten gebruiken
  • meerdere locaties eigen DNS-zones hebben
  • de firewall zelf interne systemen via FQDN moet bereiken
  • publieke DNS-servers geen interne namen kennen

Zonder DNS Request Route vraagt de firewall de globaal geconfigureerde DNS-server. Als die het interne domein niet kent, mislukt de resolutie.

Vereisten

  • Toegang tot de WebAdmin van de Sophos Firewall
  • Interne DNS-server is bereikbaar
  • Domain of netwerk is bekend
  • Firewallregels staan DNS-verkeer naar de doelserver toe
  • Bij site-to-site-connectiviteit: routing naar de DNS-server werkt

⚠️ DNS-problemen lijken vaak op routing-, VPN- of applicatieproblemen. Controleer voor grotere wijzigingen of de doelserver via IP bereikbaar is en of alleen de naamresolutie faalt.

DNS Request Route voor een domein aanmaken

Een domeinroute zorgt ervoor dat aanvragen voor een bepaald domein naar een gedefinieerde DNS-server worden gestuurd.

Voorbeeld:

  • Host/domain name: firma.local
  • DNS-server: 10.10.10.10

Werkwijze:

  1. Aanmelden bij de Sophos Firewall.
  2. Network openen.
  3. DNS selecteren.
  4. Naar het onderdeel DNS request route gaan.
  5. Een nieuwe DNS Request Route toevoegen.
  6. Bij Host/domain name het interne domein invoeren, bijvoorbeeld firma.local.
  7. Bij Target servers de interne DNS-server selecteren of via Create als host aanmaken.
  8. Opslaan.

Daarna vraagt de firewall voor dit domein de opgegeven DNS-server.

Sophos Firewall - DNS Request Route met interne DNS-server toevoegen
Sophos Firewall - Network > DNS > Add DNS request route

Meerdere Target Servers gebruiken

Onder Target servers kun je meer dan één DNS-server toevoegen. Dat is zinvol wanneer er meerdere interne DNS-servers zijn of wanneer DNS via een locatieverbinding redundant bereikbaar moet zijn.

Mogelijke doelservers:

  • interne DNS-servers in het lokale netwerk
  • DNS-servers aan de andere kant van een VPN-verbinding
  • DNS-servers op een andere locatie
  • publieke DNS-servers, wanneer een bepaald domein bewust extern moet worden opgelost

De volgorde is relevant. Sophos vraagt de geselecteerde hosts op in de volgorde waarin ze in de lijst staan. Volgens Sophos kunnen tot acht IP-adressen worden ingevoerd: Add a DNS request route.

Sophos Firewall - overzicht van een DNS Request Route voor avanet.local
Sophos Firewall - Network > DNS > DNS request route

Reverse DNS voor interne netwerken

Een Reverse-DNS-Request-Route stuurt PTR-aanvragen voor een intern IP-netwerk door naar de DNS-server die de passende Reverse Lookup Zone kent. Dat helpt wanneer logs, reports of diensten van een IP-adres weer een hostnaam moeten maken.

Voorbeeld:

  • Netwerk: 172.16.16.0/24
  • DNS-server: 172.16.16.10
  • Reverse-zone: 16.16.172.in-addr.arpa

Voor reverse lookups maak je eveneens een DNS Request Route aan onder Network > DNS > DNS request route. Bij Host/domain name voer je echter niet het normale domain in, maar de reverse-zone.

Voorbeeld voor 172.16.16.0/24:

16.16.172.in-addr.arpa

De volgorde van de octetten is daarbij omgekeerd. Uit het netwerk 172.16.16.0/24 wordt dus 16.16.172.in-addr.arpa.

Voor grotere netwerken kan de reverse-zone breder zijn. Voorbeeld: voor 172.16.0.0/16 zou dat 16.172.in-addr.arpa zijn. Doorslaggevend is hoe de Reverse Lookup Zone op de interne DNS-server is aangemaakt.

Als er op de interne DNS-server geen PTR-zone of geen PTR-records bestaan, helpt ook de Request Route niet. De firewall kan de aanvraag alleen naar de juiste DNS-server sturen, maar maakt zelf geen reverse-DNS-records op de DNS-server aan.

Tests

Na de configuratie moet je de naamresolutie testen:

  • Kan de firewall de interne naam oplossen?
  • Werkt de resolutie vanuit VPN- of gebruikerszones?
  • Is de DNS-server via ping of TCP/UDP 53 bereikbaar?
  • Zijn er entries in de DNS- of firewalllog?

Als de resolutie niet werkt, controleer dan eerst:

  • Is het domein correct gespeld?
  • Gebruikt de client echt de Sophos Firewall of de juiste DNS-server?
  • Blokkeert een firewallregel DNS?
  • Ontbreekt een route naar de DNS-server?
  • Antwoordt de DNS-server op aanvragen van de firewall?

Typische fouten

Veelvoorkomende oorzaken zijn:

  • verkeerd domein, bijvoorbeeld firma.local in plaats van ad.firma.local
  • DNS-server is alleen vanuit LAN bereikbaar, niet vanuit VPN
  • firewall stuurt de aanvraag via een verkeerde route
  • Reverse Lookup Zone ontbreekt
  • DNS-verkeer wordt door een regel of NAT beïnvloed

Bij VPN-omgevingen moet je daarnaast controleren of VPN-clients de juiste DNS-servers en search domains ontvangen.

Aanbeveling

DNS Request Routes moeten zo specifiek mogelijk zijn. Een route voor het exacte interne domein is beter dan een te brede configuratie. Voor grotere omgevingen loont een kleine tabel met domein, DNS-server, locatie en doel, zodat latere wijzigingen begrijpelijk blijven.