Wechseln zu:Navigation, Suche
Wiki

UTM/APP/Nameserver: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
K Der Seiteninhalt wurde durch einen anderen Text ersetzt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{:UTM/APP/Nameserver.lang}} {{var | neu--mDNS Repeater | Layoutänderung beim mDNS-Repeater | Layout adjustment for the [{{#var:host}}UTM/APP/Nameserver#mDNS-Repeater mDNS-Repeater] }} </div><div class="new_design"></div>{{TOC2|limit=2}}{{Select_lang}} {{Header|12.6.1| * {{#var:neu--mDNS Repeater}} * {{#var:neu--rwi}} |UTM/APP/Name…“
Markierung: Ersetzt
KKeine Bearbeitungszusammenfassung
Zeile 5: Zeile 5:


{{var | neu--mDNS Repeater
{{var | neu--mDNS Repeater
| Layoutänderung beim [[UTM/APP/Nameserver#mDNS-Repeater | mDNS-Repeater]]
| Layoutänderung und Porthinweis beim [[UTM/APP/Nameserver#mDNS-Repeater | mDNS-Repeater]]
| Layout adjustment for the [{{#var:host}}UTM/APP/Nameserver#mDNS-Repeater mDNS-Repeater] }}
| Layout adjustment and port note for the [{{#var:host}}UTM/APP/Nameserver#mDNS-Repeater mDNS-Repeater] }}


</div><div class="new_design"></div>{{TOC2|limit=2}}{{Select_lang}}
</div><div class="new_design"></div>{{TOC2|limit=2}}{{Select_lang}}

Version vom 4. April 2024, 12:50 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden














Nameserver Konfiguration auf der UTM

Letzte Anpassung zur Version: 12.6.1

Neu:
  • Layoutänderung und Porthinweis beim mDNS-Repeater
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen Nameserver


In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden

























































Einleitung

Der Nameserver der UTM bietet:

  • Forward-Zonen: Namensauflösung (FQDN) in IP-Adressen
  • Reverse-Zonen: IP-Adressen in FQDN
  • Relay-Zonen: Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören
  • DNS Forwarding: Weiterleiten sämtlicher DNS Anfragen

 Um den Nameserver der UTM nutzen zu können, muss im Paketfilter eine Regel mit dem jeweiligen Netz als Quelle und dem Ziel  xy-Interface existieren.
Als Dienst muss mindestens  dns erlaubt werden (Port 53 für TCP und UDP).
Es empfiehlt sich in der Regel jedoch die Dienstgruppe  proxy zu verwenden. Dies gibt weitere Ports für Dienste wie z.B. den transparenten Proxy, webcache oder einen Ping frei.


Voraussetzungen

In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden







Firewall als Nameserver festlegen

Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Nameserver IP Im ersten Schritt muss die UTM selbst als Nameserver der Firewall festgelegt werden.

  1. Konfiguration unter Netzwerk Servereinstellungen  Bereich Servereinstellungen Abschnitt
    DNS-Server
  2. Feld Primärer Nameserver als IP die 127.0.0.1 (localhost) setzen.
  3. Speichern mit
  • Wird kein Nameserver hinterlegt, werden DNS-Anfragen über die root-DNS-Server und die dort hinterlegten DNS-Server für die Top-Level-Domains aufgelöst



    • Forward-Zone

    Eine Forward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet.
    Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain gezeigt.
    Wird der DNS der Firewall zur Auflösung verwendet, soll eine private IP aus dem internen Netz zurückgegeben werden.

    Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist.
    Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden.
    Einrichtung unter Anwendungen Nameserver  Bereich Zonen Schaltfläche Forward-Zone hinzufügen.

    notempty
    Wenn ein NAT-Router vorhanden ist, muss eine Forward-Zone eingerichtet werden.


    A-RR anlegen

    Forward-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver
    Schritt 1
    Zonenname: webserver.anyideas.de
    Domain, die von einem internen DNS-Server verwaltet wird
    Forward-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver
    Schritt 2
    Nameserver Hostname: localhost
    Als Nameserver dient die UTM selbst
    Forward-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver
    Schritt 3
    IP-Adresse:    
  • Die IP-Adresse ist nur dann erforderlich, wenn der Nameserver in der Zone liegt, die gerade erstellt wird und nicht der localhost, also die UTM selbst ist
    • Abschluss des Assistenten mit der Schaltfläche Fertig


    Beschriftung Wert Beschreibung Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen Zonen Übersicht
    Bearbeiten Die Zone kann durch einen Klick auf den Schraubenschlüssel bearbeitet werden
    Einstellungen
    Typ: Normal Einstellungen für Forward Zonen Zone bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Zone bearbeiten
    Aktualisierung: 10000 Sekunden Frequenz, mit der der Eintrag aktualisiert wird
    Retry: 1800 Sekunden Wiederholung der Aktualisierung bei Fehlschlag
    Läuft ab: 3600000 Sekunden Ablauffrist des Eintrags (beginnt nach erfolgreicher Aktualisierung erneut)
    Minimum: 3600 Sekunden
    Einträge
    Typ NS localhost. Es existiert bereits ein NS-Eintrag (mit Punkt am Ende!)
    Bearbeiten Öffnet den Record-Eintrag zum Bearbeiten
    Löschen Löscht den Record-Eintrag
    Eintrag hinzufügen Weiteren Record Eintrag hinzufügen
    Name: webserver.anyideas.de. Gewünschter Domain Name
  • An die Domain wird ein Punkt "." gehängt (=Top-Level)
    		•  Eintrag hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserverZone bearbeiten Eintrag hinzufügen
    Typ: A A-Record Eintrag wählen

































    Typ Beschreibung
    NS Ein NS-Record (bzw. NS-RR: Name Server Resource Record) ist ein Datensatz eines DNS Servers und kann zwei unterschiedliche Funktionen erfüllen:
    • Er definiert, welche Nameserver für diese Zone offiziell zuständig sind.
    • Er verkettet Zonen zu einem Zonen-Baum (Delegation).

    In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist.
    Ist zum Bsp. die Firewall selbst zuständig muss hier "localhost" ausgewählt/eingegeben werden.

    A Mit einem A-RR (A Resource Record) wird einem DNS-Namen eine IPv4-Adresse zugeordnet.
    AAAA Mit einem AAAA Resource Record („quad-A“) wird einem DNS-Namen eine IPv6-Adresse zugeordnet.
    Es handelt sich damit um die IPv6-Entsprechung zum A Resource Record.
    TXT Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden.
    TXT Records können unter anderem zum Tunneln über DNS eingesetzt werden.
    PTR PTR Resource Records ordnen im Domain Name System einer gegebenen IP-Adresse einen oder mehrere Hostname(n) zu. Sie stellen damit gewissermaßen das Gegenstück zur klassischen Zuordnung einer oder mehrerer IP-Adresse(n) zu einem gegebenen Hostname per A- oder AAAA Resource Record dar.

    PTR Resource Records sind ein zentrales Element des Reverse DNS. Sie werden üblicherweise ausschließlich verwendet

    • in der in-addr.arpa-Zone (für den Reverse-Lookup von IPv4-Adressen),
    • in der Zone ip6.arpa (für den Reverse-Lookup von IPv6-Adressen)[1] sowie
    • in anderen Zonen für Hostnames, auf die ein CNAME Resource Record aus einer der vorgenannten Zonen zeigt.
    MX Der MX Resource Record (MX-RR) einer Domain ist ein Eintrag im Domain Name System, der sich ausschließlich auf den Dienst E-Mail (SMTP) bezieht.

    Ein MX-Record sagt aus, unter welchem Fully Qualified Domain Name (FQDN) der Mail-Server zu einer Domäne oder Subdomäne erreichbar ist. Es ist üblich, für eine Domäne mehrere MX-Records zu definieren mit unterschiedlichen Prioritäten, so dass bei Ausfall eines Mail-Servers ein anderer die E-Mails entgegennehmen kann. Dies erhöht die Wahrscheinlichkeit, dass eine Mail trotzdem an die Empfängerdomain zugestellt werden kann.

    CNAME Ein CNAME Resource Record (CNAME RR) ist im Domain Name System dazu vorgesehen, einer Domänen einen weiteren Namen zuzuordnen. Die Abkürzung "CNAME" steht für canonical name (canonical = anerkannt, bezeichnet also den primären, quasi echten Namen).

    Im einfachsten Fall verweist der Name eines CNAME Resource Records auf den Namen eines A Resource Records und/oder eines AAAA Resource Records. Die Namen dieser Resource Records verweisen auf eine IP-Adresse. Beim Wechsel einer IP-Adresse muss dann für mehrere Namen nur ein einziger Resource Record geändert werden. Ein NS Resource Record, MX Resource Record oder PTR Resource Record darf nicht auf einen CNAME Resource Record verweisen. Umgekehrt darf ein PTR Resource Record aber durchaus nur über einen CNAME Resource Record zugänglich sein. Der Name eines CNAME Resource Records darf nicht als Name anderer Resource Records verwendet werden, da er stellvertretend für alle Resource Records des Ziels steht.

    Wert: 192.168.222.2 IP des Servers, auf den die Domain verweisen soll
    Schließt den Dialog für den DNS-Record
    Schließt den Dialog zum Bearbeiten der Zone

    A-RR testen

    Testen des angelegten A-RR über die Tool-Leiste mit Netzwerkwerkzeuge Bereich Host
    Einstellungen
    		Netzwerkwerkzeuge UTMbenutzer@firewall.name.fqdnNetzwerk
    Abfragetyp A Abfragetyp des Angelegten DNS-Records
    Hostname: webserver.anyideas.de Webserver-Adresse wie im Record-Eintrag unter Name eingetragen (mit oder ohne den abschließenden Punkt)
    Nameserver: 127.0.0.1 Localhost-Adresse der UTM

    Antwort

    Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, die Domain auf die korrekte IP-Adresse aufgelöst.

    Alternatives Testen durch ein nslookup webserver.anyideas.de von einem Rechner aus dem Netzwerk der UTM

    Reverse-Zone

    • Reverse DNS lookup (rDNS) bezeichnet eine DNS-Anfrage, bei der zu einer IP-Adresse der Name ermittelt werden soll
  • Als RR-Typen sind nur PTR Resource Records zulässig
    Bei einem PTR-RR steht eine IP-Adresse als Anfragebasis und ein Name als Ergebnis – im Gegensatz zum A Resource Record, wo ein Name die Anfrage und eine IP-Adresse das Ergebnis darstellt.
    • Genutzt wird ein rDNS lookup häufig im Zusammenhang mit Spamfiltern.
      Viele Spam-Mails werden von Fake-Domänen versendet.
      Der Empfänger kann anhand einer Rückauflösung der IP festzustellen ob die Domain auch wirklich zu der ankommenden IP gehört, ist dies nicht der Fall wird die Mail abgewiesen.

    PTR-RR anlegen

    Ein PTR-Eintrag (Pointer Record) ordnet einer IP-Adresse einen Domainnamen zu und wird für Reverse-DNS-Abfragen benötigt. Die in-addr.arpa-Domäne organisiert IP-Adressen in umgekehrter Reihenfolge (z. B. 1.2.0.192.in-addr.arpa für die IP 192.0.2.1), um eine effiziente Auflösung zu ermöglichen.
    1. Reverse-Zone erstellen:
      1. In der Navigationsleiste zu AnwendungenNameserver navigieren.
      2. Im Dropdown-Menü Reverse-Zone hinzufügen auswählen.
      3. Im Schritt 1 das Subnetz eingeben (z. B. 192.0.2.0/24).
      4. Im Schritt 2 unter Nameserver den Eintrag localhost hinterlegen und auf Fertig klicken.
        (Der Zonenname wird automatisch generiert, z. B. 2.0.192.in-addr.arpa.)
    2. PTR-Eintrag konfigurieren:
      1. Die neu angelegte Zone durch Klick auf den Schraubenschlüssel bearbeiten.
      2. Im Dialog auf Eintrag hinzufügen klicken.
      3. Feld "Name": Die letzte Zahl der IP-Adresse eintragen (z. B. 1 für 192.0.2.1).
      4. Typ: PTR auswählen.
      5. Feld "Wert": Die Ziel-Domain eintragen (z. B. beispiel.de.).
        (Der Punkt am Ende der Domain ist erforderlich.)
      6. Mit Hinzufügen und anschließend Speichern bestätigen.
    Hinweis: Bei Verwendung anderer Subnetze (z. B. /16) sind die Ebenen der in-addr.arpa-Domäne entsprechend anzupassen.

    Anwendungen Nameserver  Bereich Zonen Schaltfläche Reverse-Zone hinzufügen

    Reverse-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver
    Schritt 1
    Das gewünschte Subnetz, indem sich die IP-Adresse zu der gewünschten Domain befindet
    Reverse-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver
    Schritt 2
    Nameserver ist der localhost, also die UTM selbst
    Abschluss des Assistenten mit der Schaltfläche Fertig
    Den neu angelegten Eintrag Bearbeiten und einen Eintrag hinzufügen
    Beschriftung Wert Beschreibung Eintrag hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserverZone bearbeiten PTR-RR Eintrag hinzufügen
    Name: 60 Der letzte Zahlblock der Host-IP, die zu der gewünschten Domain gehört (Im Beispiel die 60)
    Typ: PTR PTR (Pointer)-Record

































    Typ Beschreibung
    NS Ein NS-Record (bzw. NS-RR: Name Server Resource Record) ist ein Datensatz eines DNS Servers und kann zwei unterschiedliche Funktionen erfüllen:
    • Er definiert, welche Nameserver für diese Zone offiziell zuständig sind.
    • Er verkettet Zonen zu einem Zonen-Baum (Delegation).

    In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist.
    Ist zum Bsp. die Firewall selbst zuständig muss hier "localhost" ausgewählt/eingegeben werden.

    A Mit einem A-RR (A Resource Record) wird einem DNS-Namen eine IPv4-Adresse zugeordnet.
    AAAA Mit einem AAAA Resource Record („quad-A“) wird einem DNS-Namen eine IPv6-Adresse zugeordnet.
    Es handelt sich damit um die IPv6-Entsprechung zum A Resource Record.
    TXT Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden.
    TXT Records können unter anderem zum Tunneln über DNS eingesetzt werden.
    PTR PTR Resource Records ordnen im Domain Name System einer gegebenen IP-Adresse einen oder mehrere Hostname(n) zu. Sie stellen damit gewissermaßen das Gegenstück zur klassischen Zuordnung einer oder mehrerer IP-Adresse(n) zu einem gegebenen Hostname per A- oder AAAA Resource Record dar.

    PTR Resource Records sind ein zentrales Element des Reverse DNS. Sie werden üblicherweise ausschließlich verwendet

    • in der in-addr.arpa-Zone (für den Reverse-Lookup von IPv4-Adressen),
    • in der Zone ip6.arpa (für den Reverse-Lookup von IPv6-Adressen)[1] sowie
    • in anderen Zonen für Hostnames, auf die ein CNAME Resource Record aus einer der vorgenannten Zonen zeigt.
    MX Der MX Resource Record (MX-RR) einer Domain ist ein Eintrag im Domain Name System, der sich ausschließlich auf den Dienst E-Mail (SMTP) bezieht.

    Ein MX-Record sagt aus, unter welchem Fully Qualified Domain Name (FQDN) der Mail-Server zu einer Domäne oder Subdomäne erreichbar ist. Es ist üblich, für eine Domäne mehrere MX-Records zu definieren mit unterschiedlichen Prioritäten, so dass bei Ausfall eines Mail-Servers ein anderer die E-Mails entgegennehmen kann. Dies erhöht die Wahrscheinlichkeit, dass eine Mail trotzdem an die Empfängerdomain zugestellt werden kann.

    CNAME Ein CNAME Resource Record (CNAME RR) ist im Domain Name System dazu vorgesehen, einer Domänen einen weiteren Namen zuzuordnen. Die Abkürzung "CNAME" steht für canonical name (canonical = anerkannt, bezeichnet also den primären, quasi echten Namen).

    Im einfachsten Fall verweist der Name eines CNAME Resource Records auf den Namen eines A Resource Records und/oder eines AAAA Resource Records. Die Namen dieser Resource Records verweisen auf eine IP-Adresse. Beim Wechsel einer IP-Adresse muss dann für mehrere Namen nur ein einziger Resource Record geändert werden. Ein NS Resource Record, MX Resource Record oder PTR Resource Record darf nicht auf einen CNAME Resource Record verweisen. Umgekehrt darf ein PTR Resource Record aber durchaus nur über einen CNAME Resource Record zugänglich sein. Der Name eines CNAME Resource Records darf nicht als Name anderer Resource Records verwendet werden, da er stellvertretend für alle Resource Records des Ziels steht.

    Wert: mail.anyideas.de. Die Domain, auf die die IP-Adresse zeigen soll
  • An die Domain wird ein Punkt "." gehängt (=Top-Level)
    • Schließt den Dialog für den DNS-Record
    Schließt den Dialog zum Bearbeiten der Zone
    Das Anlegen des PTR-RR ist damit abgeschlossen und die Firewall setzt auf Anfrage die IP auf die gewünschte Domain um!

    PTR-RR testen

    Testen des angelegten PTR-RR über die Tool-Leiste mit Netzwerkwerkzeuge Bereich Host
    Einstellungen
    		Netzwerkwerkzeuge UTMbenutzer@firewall.name.fqdnNetzwerk
    Abfragetyp PTR Abfragetyp des Angelegten DNS-Records
    Hostname: 192.168.222.60 IP-Adresse des gewünschten Servers
    Nameserver: 127.0.0.1 Localhost-Adresse der UTM

    Antwort
    Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, die IP-Adresse auf die korrekte Domain aufgelöst.

    Alternativ durch ein nslookup 192.168.222.60 von einem Rechner aus dem Netzwerk der UTM

    Relay-Zone

    Eine Relay-Zone ist für das Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören zuständig.
    Anwendungsbeispiel:

    • Die Firewall wird im internen Netz von allen Clients als Nameserver verwendet
    • Zusätzlich ist im internen Netz ein Nameserver integriert der für die interne Domänenverwaltung (anyideas.local)zuständig ist
    • Möchte nun ein Client einen internen Namen auflösen (z.B.: uma.anyideas.local) wird diese DNS-Anfrage an die Firewall gestellt
    • Durch eine Weiterleitung aller Anfragen auf anyideas.local an den internen Nameserver können diese ohne Probleme von selbigem aufgelöst werden
  • Anfragen die nicht zur internen Domain gehören, löst die Firewall weiterhin selbst auf


    • Relay anlegen

    Anwendungen Nameserver  Bereich Zonen Schaltfläche Relay-Zone hinzufügen
    Beschriftung Wert Beschreibung Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver
    Zonenname: anyideas.local Domain, die von einem internen DNS-Server verwaltet wird
    Typ Relay Zonentyp ist Relay
    Server
    Server hinzufügen
    IP-Adresse: 192.168.222.5 IP-Adresse (IPv4 oder IPv6) des internen DNS-Servers Server hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserverRelay-Zone hinzufügen
    Port: 53 Default: 53 für DNS-Anfragen
    Speichert die Angaben und schließt den Dialog
    Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen Nameserver mit Relay-Zonen für IPv4 und IPv6





























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden









    {{var | Nameserver der Firewall festlegen--desc

    | Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen Abschnitt {{b|
    DNS-Server
    . | Menu Network Server Settings  Bereich Server Settings section
    DNS-Server
    .










































    DNS Forwarding

    DNS Forwarding

    Ein DNS Forwarding wird dazu verwendet, um alle DNS Anfragen, die an den Nameserver der Firewall gestellt werden, an eine andere IP weiterzuleiten.

    Cloud Shield

    Cloud Shield notempty
    Neu ab v14.1.0
  • Liegt eine Cloud Shield Konfiguration über das USP (Unified Security Portal) vor, ist eine Konfiguration des DNS Forwardings auf der UTM selbst nicht möglich
    • Die Einstellungen aus dem USP werden angezeigt, können aber nur dort geändert werden
    • Der Abschnitt auf der UTM wird deaktiviert
    		 Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen 42 Cloud Shield Konfiguration im USP vorhanden
    DNS Forwarding

    DNS Forwarding hinzufügen

    DNS Forwarding hinzufügen

    Menü Anwendungen Nameserver  Bereich DNS Forwarding Schaltfläche + DNS Forwarding hinzufügen

    Beschriftung Wert Beschreibung DNS Forwarding hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Anlegen eines DNS Forwarding
    Typ: DNSDoT DNS: Klassische unverschlüsselte DNS-Auflösung
    IP-Adresse: 203.0.113.113 IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen
    notempty
    Neu ab v14.0
    Typ: DNSDoT DoT: DNS over TLS DNS Anfragen werden mit TLS verschlüsselt DNS Forwarding hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver DNS over TLS notempty
    Neu ab v14.0
    IP-Adresse: 1.1.1.1
    Beispielwert    		 IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen
    Hostname cloudflare-dns.com
    Beispielwert    		 Der Hostname ist für die Verifizierung des TLS Zertifikats erforderlich
    Speichert den Eintrag

    Provider-DNS

    Provider-DNS
    DNS-Server des Providers verwenden: Aus Bei Aktivierung Ein wird der DNS-Server des Internetproviders verwendet Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen


  • Ist ein TLS-Forwarder (DoT) konfiguriert, werden DNS Forwarder nicht genutzt

    • Domain Forwarding durch einen VPN-Tunnel

    Teilweise ist es nötig, interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem VPN befindet.

    Hier ist zu beachten, daß standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird jedoch nicht in einen VPN-Tunnel geroutet.


    Nameserver der Firewall festlegen

    Beschriftung Wert Beschreibung Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Nameserver IP
    Nameserver vor lokalem Cache prüfen: Ja Sollte aktiviert sein
    Primärer Nameserver: 127.0.0.1 Die IP der UTM selbst (localhost=127.0.0.1)
    Sekundärer Nameserver:     Kann leer bleiben oder einen weiteren DNS im VPN bezeichnen
    Speichert den Eintrag


    Relay anlegen

    notempty
    Für dieses Beispiel wurde eine IPSec-Verbindung genutzt. Für SSL-VPN erfolgt die Einrichtung auf die gleiche Art und Weise.

    Menü Anwendungen Nameserver  Bereich Zonen Schaltfläche + Relay-Zone hinzufügen.

    Beschriftung Wert Beschreibung Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Anlegen der Relay-Zone
    Zonenname: relay.test.local Zonenname der gewünschten Domain
    Typ:: Relay Diesen Typ auswählen
    IP-Adresse: 192.168.8.5 Klick auf Server hinzufügen und im Feld IP-Adresse wird die Adresse des entfernten Nameservers eingetragen
    Den Eintrag bearbeiten
    Den Eintrag löschen
    Speichert den Eintrag


    Netzwerkobjekt anlegen

    Menü Firewall Netzwerkobjekte  Schaltfläche + Objekt hinzufügen. Für das IPSec Netzwerk muss ein Netzwerkobjekt angelegt werden.

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekt Netzwerkobjekt
    Name: IPSec-Netzwerk Eindeutigen Namen wählen
    Typ:: VPN-Netzwerk Diesen Typ auswählen
    Adresse: 192.168.8.0/24 Die IP-Adresse entspricht der des IPSec Netzwerkes
    Zone: vpn-ipsec Passende Zone muss ausgewählt werden
    Speichert den Eintrag


    Regeln hinzufügen

    Im letzten Schritt muss eine Firewall-regel, mit einem Hide-NAT angelegt werden. Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.
    Menü Firewall Paketfilter  Schaltfläche + Regel hinzufügen.

    Beschriftung Wert Regeln hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
    Aktiv: Ein
    Quelle:  external-interface
    Ziel:  IPSec-Netzwerk
    Dienst:  domain-udp

    [-] NAT
    Typ:: HIDENAT
    Netzwerkobjekt:  internal-interface
    Speichert die Regel und schließt den Dialog. Anschließend müssen die Regeln noch aktualisiert werden.


    Safe Search bei externem DHCP Server

    Wenn ein externer DHCP-Server verwendet wird, funktioniert der aktive Webfilter Safe Search bei Suchmaschinen, speziell bei Google, bei der Bildersuche oft nicht.
    Damit dieser Webfilter auch da greift, müssen folgende Forward-Zonen für alle ccTLDs (siehe https://www.google.com/supported_domains : www.google.de, www.google.ch, ...) eingerichtet werden.
    Menü Anwendungen Nameserver  Schaltfläche + Forward-Zone hinzufügen.

    Beschriftung Wert Zone bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Die eingerichtete Forward-Zone für www.google.com
    Zonenname: www.google.com
    Nameserver Hostname: localhost
    Nameserver IP-Adresse:    
    Im Fenster Nameserver in der Zone www.google.de auf klicken.
    Im Fenster Zone bearbeiten auf Eintrag hinzufügen klicken.
    Name: www.google.com
    Typ:: A
    Wert: 216.239.38.120
    Speichern und nochmal auf Eintrag hinzufügen klicken.
    Name: www.google.com
    Typ:: AAAA
    Wert: 2001:4860:4802:32::78
    Speichert den Eintrag


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden















    DNS Rebinding Attacke und Prevention

    Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.

    Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

    Der Angriff erfolgt in mehreren Schritten:
    1. Das Opfer wird auf eine präparierte Website gelockt, deren IP-Adresse nur für wenige Sekunden als gültig markiert ist.
    2. Auf der Website wird Schadcode geladen, der nach Ablauf der Gültigkeit der IP-Adresse einen erneuten Aufruf startet,
    3. der nun aber durch einen modifizierten, eigenen DNS-Server eine Adresse aus dem lokalen Netzwerk des Opfers als Ziel ausgibt
    4. Der Angreifer hat nun durch seinen Schadcode (z.B. Java-Script) Zugriff auf den Host mit der internen IP

    DNS Rebinding Prevention verhindert, daß interne IP-Adressen aus dem lokalen Netzwerk als Antwort auf eine DNS-Anfrage ausgegeben werden.



    Konfiguration

    DNS Rebinding Prevention wird unter Anwendungen Nameserver  Bereich DNS Rebinding Prevention konfiguriert.

    Beschriftung Wert Beschreibung Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen Reiter DNS Rebinding Prevention
    DNS Rebinding Prevention: Ein
    default    		 Aktiviert die DNS Rebinding Prevention
    Modus: Automatisch In den Werkseinstellungen werden alle privaten IP-Adressen (Klasse A, B und C) geblockt.
    Auch die entsprechenden privaten IPv6-Adressen und die Unique Local Unicast-Adresse wird im automatischen Modus geschützt.
    Benutzerdefiniert Die Adressen können manuell eingestellt werden.
    Geschützte Adressen:     Hier werden alle Adressen angezeigt, die durch die Prevention geschützt werden.
    Speichert die Einstellungen
    Geschützte Aliases
    Die bereits konfigurierten DNS Einträge werden standardmäßig als Geschützte Aliases aktiviert.
    Es werden nur Zonen angezeigt für die auch ein Relay konfiguriert ist. notempty
    Ab v14.0.1

    Wenn die im Reiter Zonen bereits konfigurierten Aliase vom Schutz ausgenommen werden sollen, können diese deaktiviert werden. Aus





























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden
























    Warnung: Der Anzeigetitel „mDNS-Repeater“ überschreibt den früheren Anzeigetitel „Nameserver“.



    mDNS-Repeater der UTM

    Letzte Anpassung zur Version: 14.0.0(11.2024)

    Neu:
    • Der mDNS-Repeater hat ein eigenes Menü erhalten
    notempty
    Dieser Artikel bezieht sich auf eine Beta-Version
    Aufruf: UTM-IP:Port oder UTM-URL:Port
    Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
    Default-Port: 11115
    z.B.: https://utm.ttt-point.de:11115
    Default: https://192.168.175.1:11115     Anwendungen MDNS-Repeater

    mDNS-Repeater

    Der Multicast-DNS-Repeater leitet mDNS-Anfragen zwischen Schnittstellen und Netzwerken weiter, ohne daß hierfür ein extra DNS-Server konfiguriert werden muss.
    Multicast-fähige Geräte, wie bspw. Drucker können hiermit z.B. über verschiedene Netze hinweg auffindbar gemacht werden.

  • Der mDNS-Repeater verwendet ausschließlich Port 5353 als Quell- und Zielport!
    • Beschriftung Wert Beschreibung MDNS-Repeater UTMbenutzer@firewall.name.fqdnAnwendungen mDNS-Repeater Konfiguration
    mDNS-Repeater aktivieren: Ja Aktiviert den Multicast DNS-Repeater
    		Der mDNS-Repeater ist aktiv
    		Der mDNS-Repeater ist deaktiviert
    Schnittstellen: LAN1 LAN2 Auswahl der Schnittstellen, zwischen denen mDNS-Anfragen weiter geleitet werden sollen.
     Es müssen mindestens zwei Schnittstellen eingetragen werden.
    Standardverhalten für Netzwerke: default Alle Netzwerke, die an den Schnittstellen anliegen verwenden den mDNS-Repeater
    Blockierte Netzwerk-Ausnahmen:     Netzwerke, aus denen mDNS Anfragen nicht weiter geleitet werden
    Erlaubte Netzwerk-Ausnahmen: Nur bei deaktiviertem Standardverhalten für alle Netzwerke     Explizite Angabe der Netzwerke, aus denen mDNS Anfragen weiter geleitet werden


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden





















    Allgemeine Einstellungen

    Allgemeine Einstellungen werden unter Anwendungen Nameserver  Bereich Allgemein vorgenommen.
    Beschriftung Wert Beschreibung Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen Reiter Allgemein
    DNSSEC Überprüfung im Resolver: Aus notempty
    Achtung!
    Wird die DNSSEC Überprüfung in Verbindung mit Foward-Zonen verwendet, müssen die Domains zu den Zonen im globalen DNS validierbar sein oder sie müssen unten zur Liste der ignorierten Domains hinzugefügt werden. Antworten zu nicht global registrierten Domains werden zurückgewiesen. Dies führt dazu, dass Anfragen zu dieser Domain mit SERVFAIL beantwortet werden.

    Bei Aktivierung dieser Funktion werden ausnahmslos alle DNS-Einträge mit DNSSEC aufgelöst. Damit würde auch bei lediglich lokalen Adressen eine Validierung in der DNS-Hierarchie versucht. Aufgrund der fehlenden Eindeutigkeit der lokalen Adresse kann diese aber nicht bei übergeordneten DNS-Servern registriert werden. Es kommt zu einer Fehlermeldung, die Adresse wird nicht aufgelöst und die Zone ist damit (unter Verwendung von DNS) nicht erreichbar.
    Dies betrifft zum Beispiel .local - Domänen!
    Weitere Hinweise zur Umsetzung von DNSSEC finden sich hier.
    DNS Anfragen nur aus gerouteten und VPN-Netzwerken erlauben: Ein
    Default    		 Per Default werden nur DNS-Anfragen aus folgenden Quellen beantwortet:
    • localhost
    • lokale Netze
    • Netze die über ein anderes Gateway geroutet werden, aber keine default Route (oder geteilte default Route) enthalten
    • VPN Transfernetze bzw. Roadwarrior Adress-Pools
    Aus Sollen auch von anderen externen Netzen DNS-Anfragen beantwortet werden, muss diese Option deaktiviert werden
    Domains bei DNSSEC-Überprüfung ignorierennotempty
    Neu ab v14.0
    		     Domains, die nicht mit DNSSEC validiert werden sollen
    DHCP Domainnamen auflösen: notempty
    Neu ab v14.0
    		 anyideas.local (Pool: Local-Pool1 Wird in den DHCP-Pool Konfigurationen ein Domainname angegeben, sind diese Domains hier auswählbar. Wird eine Domain ausgewählt, sind die DHCP-Hosts entweder über den vergebenen Namen des statischen Leases, oder, wenn keines definiert ist, über den Clientnamen mit dem sich der Client beim DHCP Server meldet, auflösbar.
  • Die Domain wird immer umgelenkt. Konfiguriert man bspw. für seinen DHCP-Pool die Domain .de, wird man keine .de Domains mehr im Internet auflösen können
    • EDNS für folgende Server deaktivieren notempty
    Neu ab v14.0
     notempty
    Update v14.0.1
    		 Die EDNS-Option entfällt zu Gunsten der Option Domains bei DNSSEC-Überprüfung ignorieren
    • Sollte EDNS in einer vorhergehenden Version konfiguriert worden sein, wird nach dem Login eine Warnung angezeigt.
      Inhalte in der extc-Variablen EDNS_SERVERS_OFF
    • Mit Klick auf die Schaltfläche Ja wird der Nameserverdialog geöffnet und es lassen sich Werte für Domains bei DNSSEC-Überprüfung ignorieren setzen.
      Inhalte in der extc-Variablen EDNS_SKIP_DOMAINS

      Speichern nicht vergessen!
    • Lehnt man die Warnung ab (Schaltfläche Nein), wird diese fürs erste ignoriert.

    Beim nächsten Login taucht die Nachricht allerdings erneut auf

  • Die alten Werte sind vorübergehend bei Domains bei DNSSEC-Überprüfung ignorieren eingetragen, werden jedoch als ungültig markiert und müssen geändert werden.
    		•
    Dialog beim Login nach einem Update
    Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen Beispiel für ungültige IP Adressen, aus vorheriger Konfiguration
    DNS-Server des Providers verwenden: Diese Einstellung wird im Abschnitt DNS-Forwarding vorgenommen
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Nameserver&oldid=90884