Nameserver DNS Forwarding

Konfiguration eines Nameservers mit DNS-Forwarding

Letzte Anpassung zur Version: 14.0.0

Neu:

DNS over TLS möglich

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.6.1 12.4 12.2.3 11.7 11.6.11

DNS Forwarding

Ein DNS Forwarding wird dazu verwendet, um alle DNS Anfragen, die an den Nameserver der Firewall gestellt werden, an eine andere IP weiterzuleiten.

DNS Forwarding hinzufügen

Menü Anwendungen Nameserver Bereich DNS Forwarding Schaltfläche + DNS Forwarding hinzufügen

Beschriftung	Wert	Beschreibung	DNS Forwarding hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Anlegen eines DNS Forwarding
Typ:	DNSDoT	DNS: Klassische unverschlüsselte DNS-Auflösung
IP-Adresse:	203.0.113.113	IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen

notempty Neu ab v14.0
Typ:	DNSDoT	DoT: DNS over TLS DNS Anfragen werden mit TLS verschlüsselt	DNS Forwarding hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver DNS over TLS notempty Neu ab v14.0
IP-Adresse:	1.1.1.1 Beispielwert	IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen
Hostname	cloudflare-dns.com Beispielwert	Der Hostname ist für die Verifizierung des TLS Zertifikats erforderlich
		Speichert den Eintrag

Provider-DNS Provider-DNS
DNS-Server des Providers verwenden:	Aus	Bei Aktivierung Ein wird der DNS-Server des Internetproviders verwendet	Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen
In vorhergehenden Versionen befand sich diese Option in den Allgemeinen Einstellungen Ist ein TLS-Forwarder (DoT) konfiguriert, werden DNS Forwarder nicht genutzt			Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen

Domain Forwarding durch einen VPN-Tunnel

Teilweise ist es nötig, interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem VPN befindet.

Hier ist zu beachten, daß standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird jedoch nicht in einen VPN-Tunnel geroutet.

Nameserver der Firewall festlegen

Beschriftung	Wert	Beschreibung	Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Nameserver IP
Nameserver vor lokalem Cache prüfen:	Ja	Sollte aktiviert sein
Primärer Nameserver:	127.0.0.1	Die IP der UTM selbst (localhost=127.0.0.1)
Sekundärer Nameserver:		Kann leer bleiben oder einen weiteren DNS im VPN bezeichnen
		Speichert den Eintrag

Relay anlegen

notempty

Für dieses Beispiel wurde eine IPSec-Verbindung genutzt. Für SSL-VPN erfolgt die Einrichtung auf die gleiche Art und Weise.

Menü Menü Anwendungen Nameserver Bereich Zonen Schaltfläche + Relay-Zone hinzufügen.

Beschriftung	Wert	Beschreibung	Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Anlegen der Relay-Zone
Zonenname:	relay.test.local	Zonenname der gewünschten Domain
Typ::	Relay	Diesen Typ auswählen
IP-Adresse:	192.168.8.5	Klick auf Server hinzufügen und im Feld IP-Adresse wird die Adresse des entfernten Nameservers eingetragen Den Eintrag bearbeiten Den Eintrag löschen
		Speichert den Eintrag

Netzwerkobjekt anlegen

Menü Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen. Für das IPSec Netzwerk muss ein Netzwerkobjekt angelegt werden.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekt Netzwerkobjekt
Name:	IPSec-Netzwerk	Eindeutigen Namen wählen
Typ::	VPN-Netzwerk	Diesen Typ auswählen
Adresse:	192.168.8.0/24	Die IP-Adresse entspricht der des IPSec Netzwerkes
Zone:	vpn-ipsec	Passende Zone muss ausgewählt werden
		Speichert den Eintrag

Regeln hinzufügen

Im letzten Schritt muss eine Firewall-regel, mit einem Hide-NAT angelegt werden. Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.
Menü Firewall Paketfilter Schaltfläche + Regel hinzufügen.

Beschriftung	Wert	Regeln hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
Aktiv:	Ein
Quelle:	external-interface
Ziel:	IPSec-Netzwerk
Dienst:	domain-udp
[-] NAT
Typ::	HIDENAT
Netzwerkobjekt:	internal-interface
	Speichert die Regel und schließt den Dialog. Anschließend müssen die Regeln noch aktualisiert werden.

Safe Search bei externem DHCP Server

Wenn ein externer DHCP-Server verwendet wird, funktioniert der aktive Webfilter Safe Search bei Suchmaschinen, speziell bei Google, bei der Bildersuche oft nicht.
Damit dieser Webfilter auch da greift, müssen folgende Forward-Zonen für alle ccTLDs (siehe https://www.google.com/supported_domains : www.google.de, www.google.ch, ...) eingerichtet werden.
Menü Anwendungen Nameserver Schaltfläche + Forward-Zone hinzufügen.

Beschriftung	Wert	Zone bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Die eingerichtete Forward-Zone für www.google.com
Zonenname:	www.google.com
Nameserver Hostname:	localhost
Nameserver IP-Adresse:
Im Fenster Nameserver in der Zone www.google.de auf klicken. Im Fenster Zone bearbeiten auf Eintrag hinzufügen klicken.
Name:	www.google.com
Typ::	A
Wert:	216.239.38.120
Speichern und nochmal auf Eintrag hinzufügen klicken.
Name:	www.google.com
Typ::	AAAA
Wert:	2001:4860:4802:32::78
	Speichert den Eintrag