Hoppa till innehållet
Avanet

Konfigurera DNS Request Routes på Sophos Firewall

Med DNS Request Routes kan du på Sophos Firewall bestämma vilken DNS-server som ska användas för specifika domäner eller nätverk. Detta är särskilt användbart när brandväggen använder offentliga DNS-servrar, men interna namn måste lösas via en intern DNS-server.

Typiska exempel är Active Directory-domäner, interna applikationer, reverse-uppslag eller VPN-miljöer.

När Sophos DNS Protection med Sophos Firewall används blir DNS Request Routes ännu viktigare. Offentliga domäner går då till DNS Protection-tjänsten, medan interna domäner fortfarande går till den lokala DNS-servern eller domänkontrollanten. Utan denna separation kan interna applikationer, AD-inloggningar eller reverse-uppslag plötsligt verka som nätverksproblem.

Orientering och design

DNS Request Routes är bara meningsfulla när önskat DNS-beteende och ansvariga DNS-servrar är tydligt definierade.

DNS Request Route, DNS-server eller DHCP Option?

DNS Request Routes förväxlas ofta med globala DNS-servrar eller DHCP-alternativ. Funktionerna löser olika problem.

  • Globala DNS-servrar: Standardupplösning för brandväggen Internet-DNS, allmän FQDN-upplösning, uppdateringar och molntjänster.
  • DNS Request Route: skicka specifik domän eller reverse-zon till definierad DNS-server Active Directory, interna domäner, plats-DNS, Split DNS.
  • DHCP Option: distribuera DNS-servrar eller sökdomän till klienter Klienter ska direkt använda en specifik DNS-server.

En DNS Request Route ändrar alltså inte automatiskt DNS-konfigurationen för alla klienter. Routen styr vart Sophos Firewall själv eller klienter som använder brandväggen som DNS-forwarder vidarebefordrar specifika DNS-förfrågningar. Om klienter direkt ska använda en intern DNS-server passar en DHCP Option på Sophos Firewall bättre.

Vilken DNS-design passar?

Innan du skapar en DNS Request Route bör det vara klart vilken resolver som används i respektive nätverk. Routen hjälper bara om Sophos Firewall också ser förfrågan.

  • Klienter frågar Sophos Firewall: Brandväggen vidarebefordrar offentliga domäner globalt och interna domäner via DNS Request Route små och medelstora platser, DNS Protection, gäst-/klientnätverk.
  • Klienter frågar interna DNS-servrar direkt: Domänkontrollant eller DNS-server löser internt och vidarebefordrar externt klassiska Active Directory-nätverk med Windows-DNS som central resolver.
  • VPN-klienter frågar brandväggen: Brandväggen använder Request Routes för interna domäner Fjärråtkomst med enkel DNS-väg via brandväggen.
  • VPN-klienter frågar interna DNS-servrar direkt: DNS går via VPN till domänkontrollant eller DNS-server större AD-miljöer, när klienter ska använda samma DNS-logik som i LAN.

I blandade miljöer är en kort DNS-skiss mycket hjälpsam: klientnätverk, tilldelad DNS-server, sökdomän, interna DNS-zoner, DNS Request Routes och routingväg till målservern. Utan denna översikt arbetar man senare ofta med Request Route, även om klienten inte använder brandväggen som DNS-resolver.

När behövs DNS Request Routes?

DNS Request Routes är användbara när:

  • interna värdnamn som server01.firma.local måste lösas
  • reverse-uppslag för interna IP-nätverk ska fungera
  • VPN-användare ska använda interna namn
  • flera platser har egna DNS-zoner
  • brandväggen själv måste nå interna system via FQDN
  • offentliga DNS-servrar inte känner till interna namn

Utan DNS Request Route frågar brandväggen den globalt konfigurerade DNS-servern. Om den interna domänen inte är känd där, misslyckas upplösningen.

Denna skillnad är särskilt viktig vid fjärråtkomst. Om VPN-klienter använder brandväggen som DNS-server kan en DNS Request Route säkerställa att interna domäner ändå hamnar hos rätt domänkontrollant eller DNS-server. Om VPN-klienter däremot direkt får interna DNS-servrar måste det också kontrolleras om routing, brandväggsregler och DNS-suffix på klienten är korrekta.

Förutsättningar

  • Tillgång till Sophos Firewall WebAdmin
  • Intern DNS-server är tillgänglig
  • Domän eller nätverk är känt
  • Brandväggsregler tillåter DNS-trafik till målservern
  • Vid platsnätverk: Routing till DNS-servern fungerar
  • Den berörda klienten använder antingen brandväggen som DNS-server eller får medvetet en annan DNS-server

⚠️ DNS-problem verkar ofta som routing-, VPN- eller applikationsproblem. Innan större ändringar bör man kontrollera om målservern är nåbar via IP och om endast namnupplösningen misslyckas.

Konfigurera DNS Request Route

Routen anger vilka DNS-servrar som frågas för en specifik domän eller reverse-zon.

Skapa DNS Request Route för en domän

En domänrutt säkerställer att förfrågningar för en specifik domän skickas till en definierad DNS-server.

Exempel:

  • Värd/domännamn: firma.local
  • DNS-server: 10.10.10.10

Procedur:

  1. Logga in på Sophos Firewall.
  2. Öppna Network.
  3. Välj DNS.
  4. Gå till avsnittet DNS request route.
  5. Lägg till en ny DNS Request Route.
  6. Vid Host/domain name ange den interna domänen, till exempel firma.local.
  7. Vid Target servers välj den interna DNS-servern eller skapa som värd via Create.
  8. Spara.

Därefter frågar brandväggen den angivna DNS-servern för denna domän.

Sophos Firewall - Lägg till DNS Request Route med intern DNS-server
Sophos Firewall - Network > DNS > Add DNS request route

Använda flera Target Servers

Under Target servers kan du lägga till mer än en DNS-server. Detta är användbart om det finns flera interna DNS-servrar eller om DNS ska vara redundant tillgängligt via en platsanslutning.

Möjliga målservrar:

  • interna DNS-servrar i det lokala nätverket
  • DNS-servrar på andra sidan en VPN-anslutning
  • DNS-servrar på en annan plats
  • offentliga DNS-servrar, om en specifik domän medvetet ska lösas externt

Ordningen är relevant. Brandväggen frågar de valda värdarna i den ordning de står i listan. För varje DNS Request Route kan upp till åtta IP-adresser anges. Fler målservrar innebär dock inte automatiskt bättre redundans om servrarna har olika zonstatus, olika vidarebefordringar eller olika tillgänglighet via VPN.

Sophos Firewall - Översikt av en DNS Request Route för avanet.local
Sophos Firewall - Network > DNS > DNS request route

Vid flera Target Servers bör du inte bara ange redundans, utan också kontrollera ansvaret. Om den första DNS-servern känner till zonen men levererar föråldrade poster, kommer Request Route tekniskt att fungera men ändå ge felaktiga svar.

Split DNS för VPN och platser

Split DNS innebär att samma namn löses olika beroende på plats eller nätverk. En intern portal kan till exempel internt peka på en privat IP, medan samma namn externt pekar på en offentlig adress eller inte löses alls.

På Sophos Firewall är tre punkter avgörande:

  1. Den passande DNS Request Route för den interna domänen.
  2. En brandväggsregel som tillåter DNS från brandväggen eller klienten till den interna DNS-servern.
  3. En routingväg till DNS-servern, särskilt vid Site-to-Site-VPN, SSL VPN eller Sophos Connect.

För fjärråtkomstmiljöer bör du dessutom kontrollera vilka DNS-servrar och sökdomäner klienten får. För Sophos Connect passar Konfigurera Sophos Connect på Sophos Firewall. För klassiska SSL-VPN-inställningar passar Ställ in Sophos Firewall SSL VPN Remote Access.

Reverse DNS för interna nätverk

En Reverse DNS Request Route vidarebefordrar PTR-förfrågningar för ett internt IP-nätverk till DNS-servern som känner till den passande Reverse Lookup-zonen. Detta hjälper när loggar, rapporter eller tjänster från en IP-adress ska göra om till ett värdnamn.

Exempel:

  • Nätverk: 172.16.16.0/24
  • DNS-server: 172.16.16.10
  • Reverse-zon: 16.16.172.in-addr.arpa

För reverse-uppslag skapar du också en DNS Request Route under Network > DNS > DNS request route. Vid Host/domain name anger du dock inte den vanliga domänen, utan reverse-zonen.

Exempel för 172.16.16.0/24:

16.16.172.in-addr.arpa

Oktetternas ordning är omvänd. Från nätverket 172.16.16.0/24 blir det alltså 16.16.172.in-addr.arpa.

För större nätverk kan reverse-zonen vara bredare. Exempel: För 172.16.0.0/16 skulle det vara 16.172.in-addr.arpa. Avgörande är hur Reverse Lookup-zonen har skapats på den interna DNS-servern.

Om det inte finns någon PTR-zon eller PTR-poster på den interna DNS-servern hjälper inte Request Route. Brandväggen kan bara skicka förfrågan till rätt DNS-server, men den skapar inga reverse-DNS-poster på DNS-servern.

I IPv6-miljöer med leverantörsprefix bör du också tänka på DNS tidigt. Hur klienter får sin IPv6-adress och vilken roll Router Advertisement och DHCPv6 spelar, står i Konfigurera IPv6 Prefix Delegation på Sophos Firewall.

Tester och drift

DNS-ändringar bör alltid verifieras från firewallen och från riktiga klienter.

Tester och validering

Efter konfigurationen bör du testa namnupplösningen:

  • Kan brandväggen lösa det interna namnet?
  • Fungerar upplösningen från VPN- eller användarzonen?
  • Är DNS-servern nåbar via Ping eller TCP/UDP 53?
  • Finns det poster i DNS- eller brandväggsloggen?

Om upplösningen inte fungerar bör du först kontrollera:

  • Är domänen korrekt skriven?
  • Använder klienten verkligen Sophos Firewall eller rätt DNS-server?
  • Blockerar en brandväggsregel DNS?
  • Saknas en rutt till DNS-servern?
  • Svarar DNS-servern på förfrågningar från brandväggen?

Ett meningsfullt test separerar IP-nåbarhet och DNS-upplösning:

  1. Testa målsystemet via IP, till exempel Ping, TCP-port eller applikation.
  2. Nå DNS-servern själv via IP.
  3. Lös namn via den förväntade DNS-källan.
  4. Testa sedan applikationen via namnet.

Om åtkomst via IP fungerar men inte via namn ligger fokus på DNS Request Route, DNS-suffix, klient-DNS eller reverse-uppslag. Om åtkomst via IP redan misslyckas bör du först kontrollera routing, brandväggsregel, NAT eller VPN. För denna avgränsning hjälper Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture och Sophos Firewall-regel matchar inte: Kontrollera orsaker.

Testkommandon för brandvägg och klienter

På Sophos Firewall kan Device Console hjälpa till att testa DNS ur brandväggens perspektiv:

dnslookup server01.firma.local
dnslookup example.com

På klienter bör du dessutom kontrollera vilken resolver som verkligen används.

Windows:

ipconfig /all
nslookup server01.firma.local
nslookup server01.firma.local <firewall-ip>
Resolve-DnsName server01.firma.local

macOS:

scutil --dns
dig server01.firma.local
dig @<firewall-ip> server01.firma.local

Linux:

resolvectl status
dig server01.firma.local
dig @<firewall-ip> server01.firma.local

<firewall-ip> står för den interna gränssnittsadressen för Sophos Firewall i respektive nätverk. Om förfrågan mot brandväggen fungerar men den normala klientförfrågan inte gör det, ligger problemet oftast hos DHCP, VPN-profil, DNS-suffix, lokal resolver eller webbläsar-/system-DNS-beteende. Om även förfrågan mot brandväggen misslyckas är Request Route, Target Server, routing eller brandväggsregel nästa kontrollpunkter.

Driftkontroll

DNS Request Routes bör vara så specifika som möjligt. En rutt för den exakta interna domänen är bättre än en för bred konfiguration. För större miljöer lönar det sig med en liten tabell med domän, DNS-server, plats och syfte, så att senare ändringar kan spåras.

Praktisk dokumentation:

  • Domän eller Reverse-zon: ad.firma.local
  • Target Servers: 10.10.10.10, 10.10.10.11
  • Syfte: Active Directory DNS för huvudkontor.
  • Berörda nätverk: LAN, Admin-VPN, plats Zürich.
  • Beroenden: Site-to-Site-VPN, domänkontrollant, brandväggsregel DNS.
  • Test: server01.ad.firma.local löses till förväntad intern IP.

Definiera positivt och negativt test

En DNS Request Route är ordentligt testad först när inte bara det önskade interna namnet fungerar, utan även ett motexempel har kontrollerats. Annars är det oklart om routen träffar exakt den interna zonen eller om DNS styrs om för brett.

En kort testplan räcker oftast:

  • Positivt test: Ett internt namn från målzonen slår upp till förväntad privat IP-adress, till exempel server01.ad.firma.local.
  • Negativt test: En opåverkad publik domän fortsätter använda avsedd standardväg, till exempel global DNS, DNS Protection eller intern forwarder.
  • Klienttest: Kör testet från berörd VLAN, VPN-profil eller plats, inte bara direkt på firewallen.
  • Loggkontroll: Firewall-logg, DNS-logg eller Packet Capture visar att frågan når förväntad resolver.
  • Regression: Upprepa samma test efter ändringar i VPN, DHCP, DNS Protection eller site-routing.

Detta lilla negativa test förhindrar typiska bieffekter: publika domäner besvaras internt, DNS Protection kringgås, Split-DNS fungerar bara från vissa nät eller en VPN-klient använder fortfarande en gammal resolver.

  • Negativt test: till exempel använder example.com fortfarande avsedd standardväg.

Felsökning

Om det förväntade resultatet saknas kontrolleras logging, rule matching och policybeteende steg för steg.

Typiska fel

  • Internt namn löses inte: fel domän, till exempel firma.local istället för ad.firma.local Kontrollera domän i Request Route och klientens sökdomän.
  • VPN-klient löser inte interna namn: Klienten använder inte brandväggen eller fel DNS-server Kontrollera VPN-DNS-inställningar, klient-DNS och brandväggsregel.
  • Brandväggen kan inte nå DNS-servern: Rutt, VPN eller brandväggsregel saknas Kontrollera Ping, Packet Capture och Route Lookup.
  • Reverse Lookup fungerar inte: PTR-zon eller PTR-poster saknas Kontrollera Reverse Lookup-zon på den interna DNS-servern.
  • Enskilda platser ger fel svar: fel Target Server eller föråldrade zondata Kontrollera ordning på Target Servers och DNS-replikation.
  • Offentliga namn besvaras plötsligt internt: Request Route är för bred Använd mer specifik domän och undvik wildcard-tänk.

I VPN-miljöer bör du dessutom kontrollera om VPN-klienterna får rätt DNS-servrar och sökdomäner.

FAQ

När behövs en DNS Request Route på Sophos Firewall?

En DNS Request Route är användbar när specifika domäner eller reverse-zoner inte ska lösas via brandväggens globala DNS-servrar, utan via interna DNS-servrar. Typiska fall är Active Directory, interna applikationer, VPN och platsnätverk.

Ersätter en DNS Request Route DHCP-DNS-alternativen?

Nej. En DNS Request Route styr vidarebefordran av specifika DNS-förfrågningar. DHCP-alternativ distribuerar däremot DNS-servrar eller sökdomäner till klienter. Beroende på design kombineras båda funktionerna.

Varför fungerar inte DNS över VPN trots att Request Route finns?

Då använder VPN-klienten kanske inte den förväntade DNS-källan, har ingen passande sökdomän, når inte DNS-servern eller blockeras av routing och brandväggsregler. Först bör du separat kontrollera om åtkomst via IP fungerar och om DNS-förfrågan verkligen når rätt server.

Behövs DNS Request Routes för reverse-uppslag?

Ja, om PTR-förfrågningar för interna nätverk ska gå till en intern DNS-server. För detta anges den passande in-addr.arpa-zonen som värd/domännamn. Zonen måste dock finnas på den interna DNS-servern.

Behövs DNS Request Routes med Sophos DNS Protection?

Ja, om klienter eller brandväggen måste lösa interna domäner. DNS Protection känner inte till lokala AD-zoner, interna applikationsdomäner och reverse-zoner. Dessa förfrågningar bör gå till interna DNS-servrar via DNS Request Route.

Varför ser inte brandväggen DNS-förfrågan?

Oftast använder klienten inte Sophos Firewall som DNS-server. Då hjälper DNS Request Routes på brandväggen inte direkt. Du bör kontrollera DHCP-alternativ, VPN-profil, manuella klient-DNS-inställningar, interna DNS-forwarders och alternativa resolvers.