20
Sophos UTM: DNS
Morgen,
ich versuch mich kurz zu fassen da mein Problem glaube ich leicht lösbar ist und ich es einfach nur nicht sehe.
Szenario:
- Windows 2012 R2 Domänencontroller mit DNS (IP 10.0.0.2)
- Sophos UTM 9.x mit DNS (IP 10.0.0.1)
Beide haben statische DNS Einträge und können eigentlich alles auflösen. Wenn ich jetzt den Windows Server als DNS eingetragen habe und nslookup auf intern.domain.de mache bekomme ich ads.intern.domain.de als Antwort zurück, wie gewollt.
C:\>nslookup intern.domain.de
Server: ads.intern.domain.de
Address: 10.0.0.2
Nutze ich die Sophos als DNS bekomme ich:
C:\>nslookup intern.domain.de
Server: unknown
Address: 10.0.0.1
Ich kriege die Sophos nicht dazu auf meinen Windows Server als Domänencontroller zu verweisen, ergo kriege ich auch keine Verbindung zur Domäne obwohl die im selben Netz hängt. Die UTM ist nicht Mitglied der Domäne, authentifiziert aber VPN Benutzer mit dem Domänencontroller.
ich versuch mich kurz zu fassen da mein Problem glaube ich leicht lösbar ist und ich es einfach nur nicht sehe.
Szenario:
- Windows 2012 R2 Domänencontroller mit DNS (IP 10.0.0.2)
- Sophos UTM 9.x mit DNS (IP 10.0.0.1)
Beide haben statische DNS Einträge und können eigentlich alles auflösen. Wenn ich jetzt den Windows Server als DNS eingetragen habe und nslookup auf intern.domain.de mache bekomme ich ads.intern.domain.de als Antwort zurück, wie gewollt.
C:\>nslookup intern.domain.de
Server: ads.intern.domain.de
Address: 10.0.0.2
Nutze ich die Sophos als DNS bekomme ich:
C:\>nslookup intern.domain.de
Server: unknown
Address: 10.0.0.1
Ich kriege die Sophos nicht dazu auf meinen Windows Server als Domänencontroller zu verweisen, ergo kriege ich auch keine Verbindung zur Domäne obwohl die im selben Netz hängt. Die UTM ist nicht Mitglied der Domäne, authentifiziert aber VPN Benutzer mit dem Domänencontroller.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 290285
Url: https://administrator.de/forum/sophos-utm-dns-290285.html
Ausgedruckt am: 28.03.2025 um 09:03 Uhr
20 Kommentare
Neuester Kommentar
Würde es mit einer Anfrageroute für deine Domain versuchen. Zu finden in den "Netzwerkdiensten" unter "DNS" im Reiter "Anfragerouten"...Versuchs mal damit!
Hi,
du solltest in der UTM
bei Request Routing: einen Eintrag anlegen mit deinem lokalen FQDN. und diesem dann den entsprechenden internen DNS zuweisen als Netzwerkobjekt hin zu fügen.
Wichtig ist, dass du in der Firewall den internen Verkehr zu deinem Server frei gibst, wenn du das nicht schon gemacht hast.
also die UTM, würde ich auf jeden Fall in die Domäne joinen. Sonst wirst du öfter ganz kuriose Probleme bekommen.
VG
Cream
du solltest in der UTM
bei Request Routing: einen Eintrag anlegen mit deinem lokalen FQDN. und diesem dann den entsprechenden internen DNS zuweisen als Netzwerkobjekt hin zu fügen.
Wichtig ist, dass du in der Firewall den internen Verkehr zu deinem Server frei gibst, wenn du das nicht schon gemacht hast.
also die UTM, würde ich auf jeden Fall in die Domäne joinen. Sonst wirst du öfter ganz kuriose Probleme bekommen.
VG
Cream
Das habe ich in der tat schon so probiert. Bei Request Routing gibt es derzeit 2 Regeln die definitiv funktionieren und ein weiteres Netzwerk in einem externen VPN auflösen. Ich habe eine dritte Regel erstellt:
Domain: intern.domain.de
Target Servers: ads.intern.domain.de
Das schien erst nicht zu funktionieren, auch nicht mit ipconfig /flushdns aber an einem anderen Gerät geht das nun plötzlich, ich werde das noch testen.
Bedeutet das, das er alles was er statisch selbst eingetragen hat auch selbst beantwortet oder leitet er jegliche Anfrage auf x.intern.domain.de direkt an ads.intern.domain.de?
Domain: intern.domain.de
Target Servers: ads.intern.domain.de
Das schien erst nicht zu funktionieren, auch nicht mit ipconfig /flushdns aber an einem anderen Gerät geht das nun plötzlich, ich werde das noch testen.
Bedeutet das, das er alles was er statisch selbst eingetragen hat auch selbst beantwortet oder leitet er jegliche Anfrage auf x.intern.domain.de direkt an ads.intern.domain.de?
Zitat von @ukulele-7:
Das habe ich in der tat schon so probiert. Bei Request Routing gibt es derzeit 2 Regeln die definitiv funktionieren und ein weiteres Netzwerk in einem externen VPN auflösen. Ich habe eine dritte Regel erstellt:
Domain: intern.domain.de
Target Servers: ads.intern.domain.de
Das schien erst nicht zu funktionieren, auch nicht mit ipconfig /flushdns aber an einem anderen Gerät geht das nun plötzlich, ich werde das noch testen.
Bedeutet das, das er alles was er statisch selbst eingetragen hat auch selbst beantwortet oder leitet er jegliche Anfrage auf x.intern.domain.de direkt an ads.intern.domain.de?
Das habe ich in der tat schon so probiert. Bei Request Routing gibt es derzeit 2 Regeln die definitiv funktionieren und ein weiteres Netzwerk in einem externen VPN auflösen. Ich habe eine dritte Regel erstellt:
Domain: intern.domain.de
Target Servers: ads.intern.domain.de
Das schien erst nicht zu funktionieren, auch nicht mit ipconfig /flushdns aber an einem anderen Gerät geht das nun plötzlich, ich werde das noch testen.
Bedeutet das, das er alles was er statisch selbst eingetragen hat auch selbst beantwortet oder leitet er jegliche Anfrage auf x.intern.domain.de direkt an ads.intern.domain.de?
ist hinter dem namen ein Netzwerkobjekt auf der UTM hinterlegt mit entsprechender internen Server IP Adresse?
hast du in der Firewall selber den auch den Traffic freigegeben
Source: UTM
Target: interner.Server
Service: Any
VG
Cream
Also ads.intern.domain.de ist als Host-Objekt angelegt und die hinterlegte IP stimmt.
In der Firewall der UTM habe ich bisher nichts frei gegeben, es gibt allerdings bereits eine Regel Network -> any -> any die das eigentlich mit abdecken sollte. Die Hosts (UTM, Win Server und Client) sind außerdem im selben Netz
In der Firewall der UTM habe ich bisher nichts frei gegeben, es gibt allerdings bereits eine Regel Network -> any -> any die das eigentlich mit abdecken sollte. Die Hosts (UTM, Win Server und Client) sind außerdem im selben Netz
ich glaube ich bin hier falsch...
du möchtest dass die UTM den DNS macht, richtig?
dann musst du ihr das sagen. unter Network Services -> Global Allowed Networks
VG
du möchtest dass die UTM den DNS macht, richtig?
dann musst du ihr das sagen. unter Network Services -> Global Allowed Networks
VG
Also nslookup intern.tomik.de bringt jetzt:
Server: Unknown
Adress: 10.0.0.1
Nicht autorisierende Antwort:
Name: intern.domain.de
Adress: 10.0.0.2
Damit scheint sich die Weiterleitung auszuwirken und (bisher) kann ich auch gpupdate nutzen. Ich werde nachher mal einen Domänenbeitritt testen.
Server: Unknown
Adress: 10.0.0.1
Nicht autorisierende Antwort:
Name: intern.domain.de
Adress: 10.0.0.2
Damit scheint sich die Weiterleitung auszuwirken und (bisher) kann ich auch gpupdate nutzen. Ich werde nachher mal einen Domänenbeitritt testen.
Mein Netzwerk ist natürlich in Global Allowed Networks, das sollte kein Thema sein. DNS macht die Sophos auch, nur das nslookup war bisher problematisch. Ich kann dann meine ads pingen aber kann z.B. nicht der Domäne beitreten.
Hast du denn unter definitions & Users -> Athentication Servers -> den DC eingetragen? Der muss zwingend darein!
Und anschließend auf dem DNS den Windows DNS autorisieren : https://technet.microsoft.com/de-de/library/cc770984.aspx
weiterhin für anfragen die der Interne DNS nicht beantworten kann solltest du noch auf dem DNS das Forwarding aktivieren Richtung UTM und von da aus zum ISP
Und anschließend auf dem DNS den Windows DNS autorisieren : https://technet.microsoft.com/de-de/library/cc770984.aspx
weiterhin für anfragen die der Interne DNS nicht beantworten kann solltest du noch auf dem DNS das Forwarding aktivieren Richtung UTM und von da aus zum ISP
Zitat von @Criemo:
Hast du denn unter definitions & Users -> Athentication Servers -> den DC eingetragen? Der muss zwingend darein!
Ja steht drin damit sich die VPN User authentifizieren können, für DNS ist das glaube ich unerheblich.Hast du denn unter definitions & Users -> Athentication Servers -> den DC eingetragen? Der muss zwingend darein!
Zitat von @Criemo:
Und anschließend auf dem DNS den Windows DNS autorisieren : https://technet.microsoft.com/de-de/library/cc770984.aspx
weiterhin für anfragen die der Interne DNS nicht beantworten kann solltest du noch auf dem DNS das Forwarding aktivieren Richtung UTM und von da aus zum ISP
Das hatte ich noch nicht gemacht und habe es eben eingetragen. Meine Antwort ist nach wie vor "nicht authorisiert" aber mal abwarten Und anschließend auf dem DNS den Windows DNS autorisieren : https://technet.microsoft.com/de-de/library/cc770984.aspx
weiterhin für anfragen die der Interne DNS nicht beantworten kann solltest du noch auf dem DNS das Forwarding aktivieren Richtung UTM und von da aus zum ISP
du solltest den DNS Cache leeren und vielleicht den Server mal durch booten.
sowie den Rechner.
eigentlich müsste es so richtig sein...
ansonsten musste mal logs anonymisiert posten....
sowie den Rechner.
eigentlich müsste es so richtig sein...
ansonsten musste mal logs anonymisiert posten....
Hallo,
Wer? Wo? Von NSLookup?
Wer soll dein DNS für dein Windows DC/Clients denn nun derjenige sein welche alle ansprechen? Deine Sohpos UTM oder dein DC mit installiertem DNS? Empfohlen ist dein DC. Der macht eine Weiterleitung zur Sophos oder gleich zum ISP oder zu DNS deiner Wahl im Inet. Entsprechend unter
Network Services - DNS - Global - allowed Networks - leer lassenUnter DNS - Forwarders - deinen DC bzw. DNS eintragen und wichtig: das Häkchen bei "Use forwarders assigned by ISP" raus wobei du diesen als Host anlegen musst und bitte mit statischer IP damit dieser immer von der UTM aufgelöst/erreicht werden kann.
Den Clients per DHCP (ebenfalls dein DC) deinen DC als DNS eintragen, fertisch.
Dann sollte dein DNS laufen.
Gruß,
Peter
Wer? Wo? Von NSLookup?
Wer soll dein DNS für dein Windows DC/Clients denn nun derjenige sein welche alle ansprechen? Deine Sohpos UTM oder dein DC mit installiertem DNS? Empfohlen ist dein DC. Der macht eine Weiterleitung zur Sophos oder gleich zum ISP oder zu DNS deiner Wahl im Inet. Entsprechend unter
Network Services - DNS - Global - allowed Networks - leer lassen
Networks listed here are allowed to use the system as a recursive DNS resolver. You will typically specify your internal networks here. If you already run an internal DNS server (for example as part of Active Directory), you should leave this setting empty.Forwarders are DNS servers that can resolve DNS resolution requests. Forwarders can be provided by your ISP, or can be in your internal network (for example the DNS server of an Active Directory zone).Den Clients per DHCP (ebenfalls dein DC) deinen DC als DNS eintragen, fertisch.
Dann sollte dein DNS laufen.
Gruß,
Peter
Ich möchte das beide korrekt auflösen, sowohl Windows DNS als auch Sophos. Beide sollen dies möglichst unabhängig, daher sind alle Einträge in beiden DNS Servern identisch.
Soweit klappt das auch bei server.intern.domain.de, nur nslookup auf intern.domain.de gegen den Sophos DNS liefert mir falsche Ergebnisse. Der Request wird nicht von der Sophos beantwortet sondern vom ISP DNS. Mit einer Route unter Request Routing kriege ich die Anfrage auf den Windows DNS weiter geleitet, das liefert zumindest das gewünschte Ergebnis. Ideal wäre es, das Sophos DNS würde die Anfrage gleich selbst beantworten.
Soweit klappt das auch bei server.intern.domain.de, nur nslookup auf intern.domain.de gegen den Sophos DNS liefert mir falsche Ergebnisse. Der Request wird nicht von der Sophos beantwortet sondern vom ISP DNS. Mit einer Route unter Request Routing kriege ich die Anfrage auf den Windows DNS weiter geleitet, das liefert zumindest das gewünschte Ergebnis. Ideal wäre es, das Sophos DNS würde die Anfrage gleich selbst beantworten.
Das funktioniert aber nicht so.
der Standard ist entweder oder.
also entweder den Windows DNS garnicht nutzen und alles über die UTM machen oder den Windows DNS benutzen für die Internen anfragen und die UTM nur für die externen anfragen benutzen die vom Internen DNS nicht beantwortet werden können.
VG
Criemo
der Standard ist entweder oder.
also entweder den Windows DNS garnicht nutzen und alles über die UTM machen oder den Windows DNS benutzen für die Internen anfragen und die UTM nur für die externen anfragen benutzen die vom Internen DNS nicht beantwortet werden können.
VG
Criemo
Hallo,
Dann finde ich das dein DNS Konzept fehlerhaft ist. Wenn es wenigsten 2 mal Windows oder 2 mal Linux DNS wären....
Gruß,
Peter
Dann finde ich das dein DNS Konzept fehlerhaft ist. Wenn es wenigsten 2 mal Windows oder 2 mal Linux DNS wären....
Beide sollen dies möglichst unabhängig
Deinem AD ist es aber nicht wurscht wer wann warum. Du musst dich schon entscheiden wie dein DNS laufen sollen tut anstatt irgendwie rum zu krabbeln...daher sind alle Einträge in beiden DNS Servern identisch.
Dürfen die ja sein, nur dein Konzept sieht es so nicht vor.Soweit klappt das auch bei server.intern.domain.de, nur nslookup auf intern.domain.de gegen den Sophos DNS
Dann trag den Record manuell ein und gut ist.Der Request wird nicht von der Sophos beantwortet sondern vom ISP DNS.
Warum? Weil deine UTM keinerlei Veranlassung sieht deine andere DNS zu fragen.das Sophos DNS würde die Anfrage gleich selbst beantworten.
Das tut die UTM auch, aber nur wenn die UTM die angeforderten Namen auch kennt.Gruß,
Peter
Ich habe im Sophos DNS alle Records eingetragen: für alle hosts.intern.domain.de werden diese auch korrekt aufgelöst. Nur eben nicht per nslookup auf intern.domain.de . Diese Anfrage funktioniert aber jetzt wenn ich sie auf den Windows DNS weiterleite.
Hallo,
Kommt darauf an wie du wen fragst. https://de.wikipedia.org/wiki/Nslookup
Gruß,
Peter
Kommt darauf an wie du wen fragst. https://de.wikipedia.org/wiki/Nslookup
Diese Anfrage funktioniert aber jetzt wenn ich sie auf den Windows DNS weiterleite.
Bau dir keinen Kreisverkehr ohne Ausfahrt. DNS 1 fragt DNS 2 und dieser fragt DNS 1 wenn er etwas nicht kennt...Gruß,
Peter
Schon klar, mein Windows DNS kennt meine Sophos auch nicht, nur als Host.
Rein aus Neugirde, wie würde sich eine DNS Schleife bemerkbar machen?
Rein aus Neugirde, wie würde sich eine DNS Schleife bemerkbar machen?
In dem deine DNS Server nicht mehr antworten, du keine Sauberen Antworten mehr von den DNS Servern bekommst, dein Netz komplett zu ist weil die mit sich selber beschäftigt sind, als mit Client Anfragen.
Ps: einen Domain Join macht übrigens nur Sinn wenn du SSO benutzen möchtest, sonst kannst du es auch ohne Domain join benutzen.
Ps: einen Domain Join macht übrigens nur Sinn wenn du SSO benutzen möchtest, sonst kannst du es auch ohne Domain join benutzen.
Hallo,
Papp ein Wireshark auf dein DNS und lass ein Capture filter auf DNS los. Dann mal deine DNS so einstellen und du wirst es erleben wie deine Syteme reagieren wenn du eine Namensauflösung anstößt.
Oder ein Paketmittschnitt auf der Sothos UTM mit tcpdump -lvi any "udp port 53"
https://sophserv.sophos.com/repo_kb/115343/file/308674.pdf
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://2.na.dl.wireshark.org/win32/WiresharkPortable_2.0.0.paf.exe
Gruß,
Peter
Papp ein Wireshark auf dein DNS und lass ein Capture filter auf DNS los. Dann mal deine DNS so einstellen und du wirst es erleben wie deine Syteme reagieren wenn du eine Namensauflösung anstößt.
Oder ein Paketmittschnitt auf der Sothos UTM mit tcpdump -lvi any "udp port 53"
https://sophserv.sophos.com/repo_kb/115343/file/308674.pdf
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://2.na.dl.wireshark.org/win32/WiresharkPortable_2.0.0.paf.exe
Gruß,
Peter
