ukulele-7
Goto Top

Sophos UTM: DNS

Morgen,

ich versuch mich kurz zu fassen da mein Problem glaube ich leicht lösbar ist und ich es einfach nur nicht sehe.

Szenario:
- Windows 2012 R2 Domänencontroller mit DNS (IP 10.0.0.2)
- Sophos UTM 9.x mit DNS (IP 10.0.0.1)

Beide haben statische DNS Einträge und können eigentlich alles auflösen. Wenn ich jetzt den Windows Server als DNS eingetragen habe und nslookup auf intern.domain.de mache bekomme ich ads.intern.domain.de als Antwort zurück, wie gewollt.

C:\>nslookup intern.domain.de
Server: ads.intern.domain.de
Address: 10.0.0.2

Nutze ich die Sophos als DNS bekomme ich:

C:\>nslookup intern.domain.de
Server: unknown
Address: 10.0.0.1

Ich kriege die Sophos nicht dazu auf meinen Windows Server als Domänencontroller zu verweisen, ergo kriege ich auch keine Verbindung zur Domäne obwohl die im selben Netz hängt. Die UTM ist nicht Mitglied der Domäne, authentifiziert aber VPN Benutzer mit dem Domänencontroller.

Content-Key: 290285

Url: https://administrator.de/contentid/290285

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: Philipp711
Philipp711 07.12.2015 aktualisiert um 10:19:26 Uhr
Goto Top
Würde es mit einer Anfrageroute für deine Domain versuchen. Zu finden in den "Netzwerkdiensten" unter "DNS" im Reiter "Anfragerouten"...Versuchs mal damit!
Mitglied: Criemo
Lösung Criemo 07.12.2015 aktualisiert um 17:00:45 Uhr
Goto Top
Hi,
du solltest in der UTM

bei Request Routing: einen Eintrag anlegen mit deinem lokalen FQDN. und diesem dann den entsprechenden internen DNS zuweisen als Netzwerkobjekt hin zu fügen.

Wichtig ist, dass du in der Firewall den internen Verkehr zu deinem Server frei gibst, wenn du das nicht schon gemacht hast.


also die UTM, würde ich auf jeden Fall in die Domäne joinen. Sonst wirst du öfter ganz kuriose Probleme bekommen.

VG
Cream
Mitglied: ukulele-7
ukulele-7 07.12.2015 um 11:03:24 Uhr
Goto Top
Das habe ich in der tat schon so probiert. Bei Request Routing gibt es derzeit 2 Regeln die definitiv funktionieren und ein weiteres Netzwerk in einem externen VPN auflösen. Ich habe eine dritte Regel erstellt:

Domain: intern.domain.de
Target Servers: ads.intern.domain.de

Das schien erst nicht zu funktionieren, auch nicht mit ipconfig /flushdns aber an einem anderen Gerät geht das nun plötzlich, ich werde das noch testen.

Bedeutet das, das er alles was er statisch selbst eingetragen hat auch selbst beantwortet oder leitet er jegliche Anfrage auf x.intern.domain.de direkt an ads.intern.domain.de?
Mitglied: Criemo
Criemo 07.12.2015 um 11:20:21 Uhr
Goto Top
Zitat von @ukulele-7:

Das habe ich in der tat schon so probiert. Bei Request Routing gibt es derzeit 2 Regeln die definitiv funktionieren und ein weiteres Netzwerk in einem externen VPN auflösen. Ich habe eine dritte Regel erstellt:

Domain: intern.domain.de
Target Servers: ads.intern.domain.de

Das schien erst nicht zu funktionieren, auch nicht mit ipconfig /flushdns aber an einem anderen Gerät geht das nun plötzlich, ich werde das noch testen.

Bedeutet das, das er alles was er statisch selbst eingetragen hat auch selbst beantwortet oder leitet er jegliche Anfrage auf x.intern.domain.de direkt an ads.intern.domain.de?


ist hinter dem namen ein Netzwerkobjekt auf der UTM hinterlegt mit entsprechender internen Server IP Adresse?
hast du in der Firewall selber den auch den Traffic freigegeben

Source: UTM
Target: interner.Server
Service: Any

VG
Cream
Mitglied: ukulele-7
ukulele-7 07.12.2015 um 12:00:24 Uhr
Goto Top
Also ads.intern.domain.de ist als Host-Objekt angelegt und die hinterlegte IP stimmt.

In der Firewall der UTM habe ich bisher nichts frei gegeben, es gibt allerdings bereits eine Regel Network -> any -> any die das eigentlich mit abdecken sollte. Die Hosts (UTM, Win Server und Client) sind außerdem im selben Netz
Mitglied: Criemo
Criemo 07.12.2015 um 12:22:25 Uhr
Goto Top
ich glaube ich bin hier falsch...

du möchtest dass die UTM den DNS macht, richtig?

dann musst du ihr das sagen. unter Network Services -> Global Allowed Networks

VG
Mitglied: ukulele-7
ukulele-7 07.12.2015 um 12:23:02 Uhr
Goto Top
Also nslookup intern.tomik.de bringt jetzt:

Server: Unknown
Adress: 10.0.0.1

Nicht autorisierende Antwort:
Name: intern.domain.de
Adress: 10.0.0.2

Damit scheint sich die Weiterleitung auszuwirken und (bisher) kann ich auch gpupdate nutzen. Ich werde nachher mal einen Domänenbeitritt testen.
Mitglied: ukulele-7
ukulele-7 07.12.2015 um 12:25:23 Uhr
Goto Top
Mein Netzwerk ist natürlich in Global Allowed Networks, das sollte kein Thema sein. DNS macht die Sophos auch, nur das nslookup war bisher problematisch. Ich kann dann meine ads pingen aber kann z.B. nicht der Domäne beitreten.
Mitglied: Criemo
Lösung Criemo 07.12.2015 aktualisiert um 17:00:33 Uhr
Goto Top
Hast du denn unter definitions & Users -> Athentication Servers -> den DC eingetragen? Der muss zwingend darein!

Und anschließend auf dem DNS den Windows DNS autorisieren : https://technet.microsoft.com/de-de/library/cc770984.aspx
weiterhin für anfragen die der Interne DNS nicht beantworten kann solltest du noch auf dem DNS das Forwarding aktivieren Richtung UTM und von da aus zum ISP
Mitglied: ukulele-7
ukulele-7 07.12.2015 um 13:03:29 Uhr
Goto Top
Zitat von @Criemo:

Hast du denn unter definitions & Users -> Athentication Servers -> den DC eingetragen? Der muss zwingend darein!
Ja steht drin damit sich die VPN User authentifizieren können, für DNS ist das glaube ich unerheblich.
Zitat von @Criemo:

Und anschließend auf dem DNS den Windows DNS autorisieren : https://technet.microsoft.com/de-de/library/cc770984.aspx
weiterhin für anfragen die der Interne DNS nicht beantworten kann solltest du noch auf dem DNS das Forwarding aktivieren Richtung UTM und von da aus zum ISP
Das hatte ich noch nicht gemacht und habe es eben eingetragen. Meine Antwort ist nach wie vor "nicht authorisiert" aber mal abwarten face-smile
Mitglied: Criemo
Criemo 07.12.2015 um 13:07:24 Uhr
Goto Top
du solltest den DNS Cache leeren und vielleicht den Server mal durch booten.
sowie den Rechner.

eigentlich müsste es so richtig sein...

ansonsten musste mal logs anonymisiert posten....
Mitglied: Pjordorf
Lösung Pjordorf 07.12.2015 aktualisiert um 17:00:53 Uhr
Goto Top
Hallo,

Zitat von @ukulele-7:
Meine Antwort ist nach wie vor "nicht authorisiert" aber mal abwarten face-smile
Wer? Wo? Von NSLookup?
Wer soll dein DNS für dein Windows DC/Clients denn nun derjenige sein welche alle ansprechen? Deine Sohpos UTM oder dein DC mit installiertem DNS? Empfohlen ist dein DC. Der macht eine Weiterleitung zur Sophos oder gleich zum ISP oder zu DNS deiner Wahl im Inet. Entsprechend unter
Network Services - DNS - Global - allowed Networks - leer lassen
Networks listed here are allowed to use the system as a recursive DNS resolver. You will typically specify your internal networks here. If you already run an internal DNS server (for example as part of Active Directory), you should leave this setting empty.
Unter DNS - Forwarders - deinen DC bzw. DNS eintragen und wichtig: das Häkchen bei "Use forwarders assigned by ISP" raus
Forwarders are DNS servers that can resolve DNS resolution requests. Forwarders can be provided by your ISP, or can be in your internal network (for example the DNS server of an Active Directory zone).
wobei du diesen als Host anlegen musst und bitte mit statischer IP damit dieser immer von der UTM aufgelöst/erreicht werden kann.
Den Clients per DHCP (ebenfalls dein DC) deinen DC als DNS eintragen, fertisch.

Dann sollte dein DNS laufen.

Gruß,
Peter
Mitglied: ukulele-7
ukulele-7 07.12.2015 um 14:33:24 Uhr
Goto Top
Ich möchte das beide korrekt auflösen, sowohl Windows DNS als auch Sophos. Beide sollen dies möglichst unabhängig, daher sind alle Einträge in beiden DNS Servern identisch.

Soweit klappt das auch bei server.intern.domain.de, nur nslookup auf intern.domain.de gegen den Sophos DNS liefert mir falsche Ergebnisse. Der Request wird nicht von der Sophos beantwortet sondern vom ISP DNS. Mit einer Route unter Request Routing kriege ich die Anfrage auf den Windows DNS weiter geleitet, das liefert zumindest das gewünschte Ergebnis. Ideal wäre es, das Sophos DNS würde die Anfrage gleich selbst beantworten.
Mitglied: Criemo
Criemo 07.12.2015 um 14:40:39 Uhr
Goto Top
Das funktioniert aber nicht so.
der Standard ist entweder oder.

also entweder den Windows DNS garnicht nutzen und alles über die UTM machen oder den Windows DNS benutzen für die Internen anfragen und die UTM nur für die externen anfragen benutzen die vom Internen DNS nicht beantwortet werden können.

VG
Criemo
Mitglied: Pjordorf
Pjordorf 07.12.2015 um 14:43:51 Uhr
Goto Top
Hallo,

Zitat von @ukulele-7:
Ich möchte das beide korrekt auflösen, sowohl Windows DNS als auch Sophos
Dann finde ich das dein DNS Konzept fehlerhaft ist. Wenn es wenigsten 2 mal Windows oder 2 mal Linux DNS wären....

Beide sollen dies möglichst unabhängig
Deinem AD ist es aber nicht wurscht wer wann warum. Du musst dich schon entscheiden wie dein DNS laufen sollen tut anstatt irgendwie rum zu krabbeln...

daher sind alle Einträge in beiden DNS Servern identisch.
Dürfen die ja sein, nur dein Konzept sieht es so nicht vor.

Soweit klappt das auch bei server.intern.domain.de, nur nslookup auf intern.domain.de gegen den Sophos DNS
Dann trag den Record manuell ein und gut ist.

Der Request wird nicht von der Sophos beantwortet sondern vom ISP DNS.
Warum? Weil deine UTM keinerlei Veranlassung sieht deine andere DNS zu fragen.

das Sophos DNS würde die Anfrage gleich selbst beantworten.
Das tut die UTM auch, aber nur wenn die UTM die angeforderten Namen auch kennt.

Gruß,
Peter
Mitglied: ukulele-7
ukulele-7 07.12.2015 um 17:00:10 Uhr
Goto Top
Ich habe im Sophos DNS alle Records eingetragen: für alle hosts.intern.domain.de werden diese auch korrekt aufgelöst. Nur eben nicht per nslookup auf intern.domain.de . Diese Anfrage funktioniert aber jetzt wenn ich sie auf den Windows DNS weiterleite.
Mitglied: Pjordorf
Pjordorf 07.12.2015 um 17:06:41 Uhr
Goto Top
Hallo,

Zitat von @ukulele-7:
Nur eben nicht per nslookup auf intern.domain.de .
Kommt darauf an wie du wen fragst. https://de.wikipedia.org/wiki/Nslookup

Diese Anfrage funktioniert aber jetzt wenn ich sie auf den Windows DNS weiterleite.
Bau dir keinen Kreisverkehr ohne Ausfahrt. DNS 1 fragt DNS 2 und dieser fragt DNS 1 wenn er etwas nicht kennt...

Gruß,
Peter
Mitglied: ukulele-7
ukulele-7 07.12.2015 um 17:16:11 Uhr
Goto Top
Schon klar, mein Windows DNS kennt meine Sophos auch nicht, nur als Host.

Rein aus Neugirde, wie würde sich eine DNS Schleife bemerkbar machen?
Mitglied: Criemo
Criemo 07.12.2015 um 17:32:13 Uhr
Goto Top
In dem deine DNS Server nicht mehr antworten, du keine Sauberen Antworten mehr von den DNS Servern bekommst, dein Netz komplett zu ist weil die mit sich selber beschäftigt sind, als mit Client Anfragen.

Ps: einen Domain Join macht übrigens nur Sinn wenn du SSO benutzen möchtest, sonst kannst du es auch ohne Domain join benutzen.
Mitglied: Pjordorf
Pjordorf 07.12.2015 um 18:28:36 Uhr
Goto Top
Hallo,

Zitat von @ukulele-7:
Rein aus Neugirde, wie würde sich eine DNS Schleife bemerkbar machen?
Papp ein Wireshark auf dein DNS und lass ein Capture filter auf DNS los. Dann mal deine DNS so einstellen und du wirst es erleben wie deine Syteme reagieren wenn du eine Namensauflösung anstößt.

Oder ein Paketmittschnitt auf der Sothos UTM mit tcpdump -lvi any "udp port 53"

https://sophserv.sophos.com/repo_kb/115343/file/308674.pdf
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://2.na.dl.wireshark.org/win32/WiresharkPortable_2.0.0.paf.exe

Gruß,
Peter