Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sophos UTM: DNS

Mitglied: ukulele-7

ukulele-7 (Level 2) - Jetzt verbinden

07.12.2015, aktualisiert 17:00 Uhr, 5909 Aufrufe, 20 Kommentare

Morgen,

ich versuch mich kurz zu fassen da mein Problem glaube ich leicht lösbar ist und ich es einfach nur nicht sehe.

Szenario:
- Windows 2012 R2 Domänencontroller mit DNS (IP 10.0.0.2)
- Sophos UTM 9.x mit DNS (IP 10.0.0.1)

Beide haben statische DNS Einträge und können eigentlich alles auflösen. Wenn ich jetzt den Windows Server als DNS eingetragen habe und nslookup auf intern.domain.de mache bekomme ich ads.intern.domain.de als Antwort zurück, wie gewollt.

C:\>nslookup intern.domain.de
Server: ads.intern.domain.de
Address: 10.0.0.2

Nutze ich die Sophos als DNS bekomme ich:

C:\>nslookup intern.domain.de
Server: unknown
Address: 10.0.0.1

Ich kriege die Sophos nicht dazu auf meinen Windows Server als Domänencontroller zu verweisen, ergo kriege ich auch keine Verbindung zur Domäne obwohl die im selben Netz hängt. Die UTM ist nicht Mitglied der Domäne, authentifiziert aber VPN Benutzer mit dem Domänencontroller.
Mitglied: Philipp711
07.12.2015, aktualisiert um 10:19 Uhr
Würde es mit einer Anfrageroute für deine Domain versuchen. Zu finden in den "Netzwerkdiensten" unter "DNS" im Reiter "Anfragerouten"...Versuchs mal damit!
Bitte warten ..
Mitglied: Criemo
LÖSUNG 07.12.2015, aktualisiert um 17:00 Uhr
Hi,
du solltest in der UTM

bei Request Routing: einen Eintrag anlegen mit deinem lokalen FQDN. und diesem dann den entsprechenden internen DNS zuweisen als Netzwerkobjekt hin zu fügen.

Wichtig ist, dass du in der Firewall den internen Verkehr zu deinem Server frei gibst, wenn du das nicht schon gemacht hast.


also die UTM, würde ich auf jeden Fall in die Domäne joinen. Sonst wirst du öfter ganz kuriose Probleme bekommen.

VG
Cream
Bitte warten ..
Mitglied: ukulele-7
07.12.2015 um 11:03 Uhr
Das habe ich in der tat schon so probiert. Bei Request Routing gibt es derzeit 2 Regeln die definitiv funktionieren und ein weiteres Netzwerk in einem externen VPN auflösen. Ich habe eine dritte Regel erstellt:

Domain: intern.domain.de
Target Servers: ads.intern.domain.de

Das schien erst nicht zu funktionieren, auch nicht mit ipconfig /flushdns aber an einem anderen Gerät geht das nun plötzlich, ich werde das noch testen.

Bedeutet das, das er alles was er statisch selbst eingetragen hat auch selbst beantwortet oder leitet er jegliche Anfrage auf x.intern.domain.de direkt an ads.intern.domain.de?
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 11:20 Uhr
Zitat von ukulele-7:

Das habe ich in der tat schon so probiert. Bei Request Routing gibt es derzeit 2 Regeln die definitiv funktionieren und ein weiteres Netzwerk in einem externen VPN auflösen. Ich habe eine dritte Regel erstellt:

Domain: intern.domain.de
Target Servers: ads.intern.domain.de

Das schien erst nicht zu funktionieren, auch nicht mit ipconfig /flushdns aber an einem anderen Gerät geht das nun plötzlich, ich werde das noch testen.

Bedeutet das, das er alles was er statisch selbst eingetragen hat auch selbst beantwortet oder leitet er jegliche Anfrage auf x.intern.domain.de direkt an ads.intern.domain.de?


ist hinter dem namen ein Netzwerkobjekt auf der UTM hinterlegt mit entsprechender internen Server IP Adresse?
hast du in der Firewall selber den auch den Traffic freigegeben

Source: UTM
Target: interner.Server
Service: Any

VG
Cream
Bitte warten ..
Mitglied: ukulele-7
07.12.2015 um 12:00 Uhr
Also ads.intern.domain.de ist als Host-Objekt angelegt und die hinterlegte IP stimmt.

In der Firewall der UTM habe ich bisher nichts frei gegeben, es gibt allerdings bereits eine Regel Network -> any -> any die das eigentlich mit abdecken sollte. Die Hosts (UTM, Win Server und Client) sind außerdem im selben Netz
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 12:22 Uhr
ich glaube ich bin hier falsch...

du möchtest dass die UTM den DNS macht, richtig?

dann musst du ihr das sagen. unter Network Services -> Global Allowed Networks

VG
Bitte warten ..
Mitglied: ukulele-7
07.12.2015 um 12:23 Uhr
Also nslookup intern.tomik.de bringt jetzt:

Server: Unknown
Adress: 10.0.0.1

Nicht autorisierende Antwort:
Name: intern.domain.de
Adress: 10.0.0.2

Damit scheint sich die Weiterleitung auszuwirken und (bisher) kann ich auch gpupdate nutzen. Ich werde nachher mal einen Domänenbeitritt testen.
Bitte warten ..
Mitglied: ukulele-7
07.12.2015 um 12:25 Uhr
Mein Netzwerk ist natürlich in Global Allowed Networks, das sollte kein Thema sein. DNS macht die Sophos auch, nur das nslookup war bisher problematisch. Ich kann dann meine ads pingen aber kann z.B. nicht der Domäne beitreten.
Bitte warten ..
Mitglied: Criemo
LÖSUNG 07.12.2015, aktualisiert um 17:00 Uhr
Hast du denn unter definitions & Users -> Athentication Servers -> den DC eingetragen? Der muss zwingend darein!

Und anschließend auf dem DNS den Windows DNS autorisieren : https://technet.microsoft.com/de-de/library/cc770984.aspx
weiterhin für anfragen die der Interne DNS nicht beantworten kann solltest du noch auf dem DNS das Forwarding aktivieren Richtung UTM und von da aus zum ISP
Bitte warten ..
Mitglied: ukulele-7
07.12.2015 um 13:03 Uhr
Zitat von Criemo:

Hast du denn unter definitions & Users -> Athentication Servers -> den DC eingetragen? Der muss zwingend darein!
Ja steht drin damit sich die VPN User authentifizieren können, für DNS ist das glaube ich unerheblich.
Zitat von Criemo:

Und anschließend auf dem DNS den Windows DNS autorisieren : https://technet.microsoft.com/de-de/library/cc770984.aspx
weiterhin für anfragen die der Interne DNS nicht beantworten kann solltest du noch auf dem DNS das Forwarding aktivieren Richtung UTM und von da aus zum ISP
Das hatte ich noch nicht gemacht und habe es eben eingetragen. Meine Antwort ist nach wie vor "nicht authorisiert" aber mal abwarten
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 13:07 Uhr
du solltest den DNS Cache leeren und vielleicht den Server mal durch booten.
sowie den Rechner.

eigentlich müsste es so richtig sein...

ansonsten musste mal logs anonymisiert posten....
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 07.12.2015, aktualisiert um 17:00 Uhr
Hallo,

Zitat von ukulele-7:
Meine Antwort ist nach wie vor "nicht authorisiert" aber mal abwarten
Wer? Wo? Von NSLookup?
Wer soll dein DNS für dein Windows DC/Clients denn nun derjenige sein welche alle ansprechen? Deine Sohpos UTM oder dein DC mit installiertem DNS? Empfohlen ist dein DC. Der macht eine Weiterleitung zur Sophos oder gleich zum ISP oder zu DNS deiner Wahl im Inet. Entsprechend unter
Network Services - DNS - Global - allowed Networks - leer lassen
Networks listed here are allowed to use the system as a recursive DNS resolver. You will typically specify your internal networks here. If you already run an internal DNS server (for example as part of Active Directory), you should leave this setting empty.
Unter DNS - Forwarders - deinen DC bzw. DNS eintragen und wichtig: das Häkchen bei "Use forwarders assigned by ISP" raus
Forwarders are DNS servers that can resolve DNS resolution requests. Forwarders can be provided by your ISP, or can be in your internal network (for example the DNS server of an Active Directory zone).
wobei du diesen als Host anlegen musst und bitte mit statischer IP damit dieser immer von der UTM aufgelöst/erreicht werden kann.
Den Clients per DHCP (ebenfalls dein DC) deinen DC als DNS eintragen, fertisch.

Dann sollte dein DNS laufen.

Gruß,
Peter
Bitte warten ..
Mitglied: ukulele-7
07.12.2015 um 14:33 Uhr
Ich möchte das beide korrekt auflösen, sowohl Windows DNS als auch Sophos. Beide sollen dies möglichst unabhängig, daher sind alle Einträge in beiden DNS Servern identisch.

Soweit klappt das auch bei server.intern.domain.de, nur nslookup auf intern.domain.de gegen den Sophos DNS liefert mir falsche Ergebnisse. Der Request wird nicht von der Sophos beantwortet sondern vom ISP DNS. Mit einer Route unter Request Routing kriege ich die Anfrage auf den Windows DNS weiter geleitet, das liefert zumindest das gewünschte Ergebnis. Ideal wäre es, das Sophos DNS würde die Anfrage gleich selbst beantworten.
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 14:40 Uhr
Das funktioniert aber nicht so.
der Standard ist entweder oder.

also entweder den Windows DNS garnicht nutzen und alles über die UTM machen oder den Windows DNS benutzen für die Internen anfragen und die UTM nur für die externen anfragen benutzen die vom Internen DNS nicht beantwortet werden können.

VG
Criemo
Bitte warten ..
Mitglied: Pjordorf
07.12.2015 um 14:43 Uhr
Hallo,

Zitat von ukulele-7:
Ich möchte das beide korrekt auflösen, sowohl Windows DNS als auch Sophos
Dann finde ich das dein DNS Konzept fehlerhaft ist. Wenn es wenigsten 2 mal Windows oder 2 mal Linux DNS wären....

Beide sollen dies möglichst unabhängig
Deinem AD ist es aber nicht wurscht wer wann warum. Du musst dich schon entscheiden wie dein DNS laufen sollen tut anstatt irgendwie rum zu krabbeln...

daher sind alle Einträge in beiden DNS Servern identisch.
Dürfen die ja sein, nur dein Konzept sieht es so nicht vor.

Soweit klappt das auch bei server.intern.domain.de, nur nslookup auf intern.domain.de gegen den Sophos DNS
Dann trag den Record manuell ein und gut ist.

Der Request wird nicht von der Sophos beantwortet sondern vom ISP DNS.
Warum? Weil deine UTM keinerlei Veranlassung sieht deine andere DNS zu fragen.

das Sophos DNS würde die Anfrage gleich selbst beantworten.
Das tut die UTM auch, aber nur wenn die UTM die angeforderten Namen auch kennt.

Gruß,
Peter
Bitte warten ..
Mitglied: ukulele-7
07.12.2015 um 17:00 Uhr
Ich habe im Sophos DNS alle Records eingetragen: für alle hosts.intern.domain.de werden diese auch korrekt aufgelöst. Nur eben nicht per nslookup auf intern.domain.de . Diese Anfrage funktioniert aber jetzt wenn ich sie auf den Windows DNS weiterleite.
Bitte warten ..
Mitglied: Pjordorf
07.12.2015 um 17:06 Uhr
Hallo,

Zitat von ukulele-7:
Nur eben nicht per nslookup auf intern.domain.de .
Kommt darauf an wie du wen fragst. https://de.wikipedia.org/wiki/Nslookup

Diese Anfrage funktioniert aber jetzt wenn ich sie auf den Windows DNS weiterleite.
Bau dir keinen Kreisverkehr ohne Ausfahrt. DNS 1 fragt DNS 2 und dieser fragt DNS 1 wenn er etwas nicht kennt...

Gruß,
Peter
Bitte warten ..
Mitglied: ukulele-7
07.12.2015 um 17:16 Uhr
Schon klar, mein Windows DNS kennt meine Sophos auch nicht, nur als Host.

Rein aus Neugirde, wie würde sich eine DNS Schleife bemerkbar machen?
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 17:32 Uhr
In dem deine DNS Server nicht mehr antworten, du keine Sauberen Antworten mehr von den DNS Servern bekommst, dein Netz komplett zu ist weil die mit sich selber beschäftigt sind, als mit Client Anfragen.

Ps: einen Domain Join macht übrigens nur Sinn wenn du SSO benutzen möchtest, sonst kannst du es auch ohne Domain join benutzen.
Bitte warten ..
Mitglied: Pjordorf
07.12.2015 um 18:28 Uhr
Hallo,

Zitat von ukulele-7:
Rein aus Neugirde, wie würde sich eine DNS Schleife bemerkbar machen?
Papp ein Wireshark auf dein DNS und lass ein Capture filter auf DNS los. Dann mal deine DNS so einstellen und du wirst es erleben wie deine Syteme reagieren wenn du eine Namensauflösung anstößt.

Oder ein Paketmittschnitt auf der Sothos UTM mit tcpdump -lvi any "udp port 53"

https://sophserv.sophos.com/repo_kb/115343/file/308674.pdf
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://2.na.dl.wireshark.org/win32/WiresharkPortable_2.0.0.paf.exe

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
Firewall
Sophos UTM als DNS Server?
gelöst Frage von 129511Firewall2 Kommentare

Ich verwende im Moment eine Sophos UTM und würde gerne wissen, was ich einstellen muss, damit der DNS Server ...

Firewall
Sophos UTM Logging
Frage von Leo-leFirewall3 Kommentare

Hallo zusammen, wenn ich z.B. Checkpoint und Sophos vom Logging gegenüberstelle, finde ich bisher das Logging von der UTM ...

Firewall
Sophos UTM Home Edition
gelöst Frage von SnuffchenFirewall11 Kommentare

Hallo zusammen, kurze Frage die Sophos UTM Home Edition (in einer VM) läuft doch auch nach der 30 Tage ...

Firewall
Welche Sophos UTM Hardware?
gelöst Frage von Freak-On-SiliconFirewall11 Kommentare

Servus; Ich hab hier eine Sophos UTM virtuell auf einem ESXi. Ich will nun endlich diese auf eine extra ...

Neue Wissensbeiträge
Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Tipp von ChriBo vor 9 StundenFirewall

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 1 TagInternet

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 1 TagGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Google Android
Facebooks unsichtbare Datensammlung
Information von AnkhMorpork vor 1 TagGoogle Android2 Kommentare

Rund 30 Prozent aller Apps im Play-Store nehmen Kontakt zu Facebook auf, sobald man sie startet. So erfährt der ...

Heiß diskutierte Inhalte
Linux Userverwaltung
LogIn Versuche beschränken auf EINEN Versuch
gelöst Frage von GarroshLinux Userverwaltung21 Kommentare

Folgendes Problem Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk. ...

DSL, VDSL
Neuer Glasfaser Anschluss - IPv4-Adressraum
Frage von norre2000DSL, VDSL12 Kommentare

Hallo Zusammen, ich werde meinen Glasfaser Anschluss wechseln und bin beim Ausfüllen des Antrags auf Fragen gestoßen bei denen ...

Internet
Aktuell HP-Support-Seite kaputt?
gelöst Frage von LochkartenstanzerInternet12 Kommentare

Hallo Kollegen, Weiß einer von euch, seit wann die HP-Support-Seite kaputt ist? ) Wollte heute morgen Druckertreiber runterladen und ...

Ubuntu
Exchange Alternative auf Ubuntu
Frage von TELLOUbuntu11 Kommentare

Hi NG, wir müssen für unsere Kleine Firma (5 User) das Email / Kalendersystem neu einrichten. Ich könnte jetzt ...