Hoppa till innehållet
Avanet

Konfigurera DNS Request Routes på Sophos Firewall

Sophos Firewall

Med DNS Request Routes kan man på Sophos Firewall ange vilken DNS-server som ska användas för specifika domäner eller nät. Det är särskilt användbart när brandväggen använder publika DNS-servrar, men interna namn måste slås upp via en intern DNS-server.

Typiska exempel är Active Directory-domäner, interna applikationer, reverse lookups eller VPN-miljöer.

När behövs DNS Request Routes?

DNS Request Routes är användbara när:

  • interna hostnamn som server01.firma.local måste kunna lösas upp
  • reverse lookups för interna IP-nät ska fungera
  • VPN-användare ska använda interna namn
  • flera platser har egna DNS-zoner
  • brandväggen själv måste nå interna system via FQDN
  • publika DNS-servrar inte känner till interna namn

Utan DNS Request Route frågar brandväggen den globalt konfigurerade DNS-servern. Om den interna domänen inte är känd där misslyckas namnuppslagningen.

Förutsättningar

  • Åtkomst till WebAdmin på Sophos Firewall
  • Intern DNS-server är nåbar
  • Domän eller nät är känt
  • Firewall-regler tillåter DNS-trafik till målservern
  • Vid platskoppling: routing till DNS-servern fungerar

⚠️ DNS-problem ser ofta ut som routing-, VPN- eller applikationsproblem. Innan större ändringar bör man kontrollera om målservern kan nås via IP och om det bara är namnuppslagningen som misslyckas.

Skapa DNS Request Route för en domän

En domänroute gör att frågor för en viss domän skickas till en definierad DNS-server.

Exempel:

  • Host/domain name: firma.local
  • DNS-server: 10.10.10.10

Gör så här:

  1. Logga in i Sophos Firewall.
  2. Öppna Network.
  3. Välj DNS.
  4. Gå till området DNS request route.
  5. Lägg till en ny DNS Request Route.
  6. Ange den interna domänen vid Host/domain name, till exempel firma.local.
  7. Välj den interna DNS-servern vid Target servers eller skapa den som host via Create.
  8. Spara.

Därefter frågar brandväggen den angivna DNS-servern för denna domän.

Sophos Firewall - lägga till DNS Request Route med intern DNS-server
Sophos Firewall - Network > DNS > Add DNS request route

Använda flera Target Servers

Under Target servers kan man lägga till mer än en DNS-server. Det är användbart om det finns flera interna DNS-servrar eller om DNS ska vara redundant nåbar över en platsförbindelse.

Möjliga målservrar:

  • interna DNS-servrar i det lokala nätverket
  • DNS-servrar på andra sidan en VPN-anslutning
  • DNS-servrar på en annan plats
  • publika DNS-servrar, om en viss domän medvetet ska lösas externt

Ordningen är relevant. Sophos frågar de valda hostarna i den ordning de står i listan. Enligt Sophos kan upp till åtta IP-adresser anges: Add a DNS request route.

Sophos Firewall - översikt över en DNS Request Route för avanet.local
Sophos Firewall - Network > DNS > DNS request route

Reverse DNS för interna nät

En Reverse-DNS-Request-Route vidarebefordrar PTR-frågor för ett internt IP-nät till den DNS-server som känner till rätt Reverse Lookup Zone. Det hjälper när logs, reports eller tjänster ska översätta en IP-adress tillbaka till ett hostnamn.

Exempel:

  • Nät: 172.16.16.0/24
  • DNS-server: 172.16.16.10
  • Reverse-zon: 16.16.172.in-addr.arpa

För reverse lookups skapar man också en DNS Request Route under Network > DNS > DNS request route. Vid Host/domain name anger man dock inte den vanliga domänen, utan reverse-zonen.

Exempel för 172.16.16.0/24:

16.16.172.in-addr.arpa

Oktetterna anges i omvänd ordning. Nätet 172.16.16.0/24 blir alltså 16.16.172.in-addr.arpa.

För större nät kan reverse-zonen vara bredare. Exempel: för 172.16.0.0/16 blir det 16.172.in-addr.arpa. Avgörande är hur Reverse Lookup Zone har skapats på den interna DNS-servern.

Om det inte finns någon PTR-zon eller några PTR-records på den interna DNS-servern hjälper inte heller Request Route. Brandväggen kan bara skicka frågan till rätt DNS-server, men den skapar inga Reverse-DNS-poster på DNS-servern.

Tester

Efter konfigurationen bör man testa namnuppslagningen:

  • Kan brandväggen lösa upp det interna namnet?
  • Fungerar uppslagningen från VPN- eller användarzoner?
  • Är DNS-servern nåbar via ping eller TCP/UDP 53?
  • Finns det poster i DNS- eller firewall-loggen?

Om uppslagningen inte fungerar bör man först kontrollera:

  • Är domänen korrekt skriven?
  • Använder klienten verkligen Sophos Firewall eller rätt DNS-server?
  • Blockerar en firewall-regel DNS?
  • Saknas en route till DNS-servern?
  • Svarar DNS-servern på frågor från brandväggen?

Typiska fel

Vanliga orsaker är:

  • fel domän, till exempel firma.local i stället för ad.firma.local
  • DNS-servern är bara nåbar från LAN, inte från VPN
  • brandväggen skickar frågan via fel route
  • Reverse Lookup Zone saknas
  • DNS-trafik påverkas av en regel eller NAT

I VPN-miljöer bör man dessutom kontrollera om VPN-klienterna får rätt DNS-servrar och sökdomäner.

Rekommendation

DNS Request Routes bör vara så specifika som möjligt. En route för den exakta interna domänen är bättre än en för bred konfiguration. För större miljöer lönar det sig med en liten tabell över domän, DNS-server, plats och syfte, så att senare ändringar förblir spårbara.