Przejdz do tresci
Avanet

DNS Request Routes w Sophos Firewall dla Split-DNS

Sophos Firewall

Za pomocą DNS Request Routes można w Sophos Firewall określić, który serwer DNS ma być używany dla konkretnych domen albo sieci. Jest to szczególnie przydatne, gdy firewall korzysta z publicznych serwerów DNS, ale nazwy wewnętrzne muszą być rozwiązywane przez wewnętrzny serwer DNS.

Typowe przykłady to domeny Active Directory, aplikacje wewnętrzne, reverse lookups albo środowiska VPN.

Kiedy potrzebne są DNS Request Routes?

DNS Request Routes są sensowne, gdy:

  • trzeba rozwiązywać wewnętrzne nazwy hostów, takie jak server01.firma.local
  • mają działać reverse lookups dla wewnętrznych zakresów IP
  • użytkownicy VPN mają używać wewnętrznych nazw
  • kilka lokalizacji ma własne strefy DNS
  • sam firewall musi osiągać wewnętrzne systemy przez FQDN
  • publiczne serwery DNS nie znają nazw wewnętrznych

Bez DNS Request Route firewall pyta globalnie skonfigurowany serwer DNS. Jeśli wewnętrzna domena nie jest tam znana, rozwiązanie nazwy kończy się błędem.

Wymagania

  • Dostęp do WebAdmin Sophos Firewall
  • Wewnętrzny serwer DNS jest osiągalny
  • Domena albo sieć jest znana
  • Reguły firewalla zezwalają na DNS-Traffic do serwera docelowego
  • Przy połączeniach między lokalizacjami: routing do serwera DNS działa

⚠️ Problemy DNS często wyglądają jak problemy routingu, VPN albo aplikacji. Przed większymi zmianami warto sprawdzić, czy serwer docelowy jest osiągalny po IP i czy problem dotyczy tylko rozwiązywania nazw.

Tworzenie DNS Request Route dla domeny

Route dla domeny powoduje, że zapytania dla określonej domeny są wysyłane do zdefiniowanego serwera DNS.

Przykład:

  • Host/domain name: firma.local
  • DNS-Server: 10.10.10.10

Procedura:

  1. Zalogować się do Sophos Firewall.
  2. Otworzyć Network.
  3. Wybrać DNS.
  4. Przejść do sekcji DNS request route.
  5. Dodać nową DNS Request Route.
  6. W Host/domain name wpisać domenę wewnętrzną, na przykład firma.local.
  7. W Target servers wybrać wewnętrzny serwer DNS albo utworzyć go jako host przez Create.
  8. Zapisać.

Od tej chwili firewall pyta wskazany serwer DNS dla tej domeny.

Sophos Firewall - dodawanie DNS Request Route z wewnętrznym serwerem DNS
Sophos Firewall - Network > DNS > Add DNS request route

Używanie kilku Target Servers

W Target servers można dodać więcej niż jeden serwer DNS. Ma to sens, gdy istnieje kilka wewnętrznych serwerów DNS albo gdy DNS ma być redundantnie osiągalny przez połączenie między lokalizacjami.

Możliwe serwery docelowe:

  • wewnętrzne serwery DNS w sieci lokalnej
  • serwery DNS po drugiej stronie połączenia VPN
  • serwery DNS w innej lokalizacji
  • publiczne serwery DNS, jeśli konkretna domena ma być świadomie rozwiązywana zewnętrznie

Kolejność ma znaczenie. Sophos odpytuje wybrane hosty w kolejności, w jakiej znajdują się na liście. Według Sophos można wpisać do ośmiu adresów IP: Add a DNS request route.

Sophos Firewall - przegląd DNS Request Route dla avanet.local
Sophos Firewall - Network > DNS > DNS request route

Reverse DNS dla sieci wewnętrznych

Reverse-DNS-Request-Route przekazuje zapytania PTR dla wewnętrznej sieci IP do serwera DNS, który zna właściwą Reverse Lookup Zone. Pomaga to, gdy logi, raporty albo usługi mają zamienić adres IP z powrotem na nazwę hosta.

Przykład:

  • Sieć: 172.16.16.0/24
  • DNS-Server: 172.16.16.10
  • Reverse-Zone: 16.16.172.in-addr.arpa

Dla reverse lookups również tworzy się DNS Request Route w Network > DNS > DNS request route. W Host/domain name nie wpisuje się jednak normalnej domeny, tylko reverse zone.

Przykład dla 172.16.16.0/24:

16.16.172.in-addr.arpa

Kolejność oktetów jest odwrócona. Z sieci 172.16.16.0/24 powstaje więc 16.16.172.in-addr.arpa.

Dla większych sieci reverse zone może być szersza. Przykład: dla 172.16.0.0/16 byłoby to 16.172.in-addr.arpa. Decydujące jest to, jak Reverse Lookup Zone została utworzona na wewnętrznym serwerze DNS.

Jeśli na wewnętrznym serwerze DNS nie istnieje strefa PTR ani rekordy PTR, sama Request Route nie pomoże. Firewall może tylko wysłać zapytanie do właściwego serwera DNS, ale nie tworzy wpisów Reverse DNS na serwerze DNS.

Testy

Po konfiguracji należy przetestować rozwiązywanie nazw:

  • Czy firewall może rozwiązać nazwę wewnętrzną?
  • Czy rozwiązywanie działa ze stref VPN albo użytkowników?
  • Czy serwer DNS jest osiągalny przez ping albo TCP/UDP 53?
  • Czy są wpisy w logach DNS albo firewalla?

Jeśli rozwiązywanie nie działa, najpierw sprawdzić:

  • Czy domena jest wpisana poprawnie?
  • Czy klient naprawdę używa Sophos Firewall albo właściwego serwera DNS?
  • Czy reguła firewalla blokuje DNS?
  • Czy brakuje trasy do serwera DNS?
  • Czy serwer DNS odpowiada na zapytania z firewalla?

Typowe błędy

Częste przyczyny:

  • błędna domena, na przykład firma.local zamiast ad.firma.local
  • serwer DNS jest osiągalny tylko z LAN, ale nie z VPN
  • firewall wysyła zapytanie niewłaściwą trasą
  • brakuje Reverse Lookup Zone
  • DNS-Traffic jest modyfikowany przez regułę albo NAT

W środowiskach VPN warto dodatkowo sprawdzić, czy klienci VPN otrzymują właściwe serwery DNS i search domains.

Rekomendacja

DNS Request Routes powinny być możliwie specyficzne. Route dla dokładnej domeny wewnętrznej jest lepsza niż zbyt szeroka konfiguracja. W większych środowiskach opłaca się prowadzić małą tabelę z domeną, serwerem DNS, lokalizacją i celem, aby późniejsze zmiany były zrozumiałe.