UTM/APP/Nameserver-DNS Forwarding: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied

Aktuelle Version vom 27. August 2025, 15:21 Uhr

Konfiguration eines Nameservers mit DNS-Forwarding

Letzte Anpassung zur Version: 14.1.0 (08.2025)

Neu:

Liegt eine Cloud Shield Konfiguration über die USC vor, kann lokal kein DNS-Forwarding konfiguriert werden

DNS over TLS (DoT) möglich

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

12.6.1 12.4 12.2.3 11.7 11.6.11

DNS Forwarding

Ein DNS Forwarding wird dazu verwendet, um alle DNS Anfragen, die an den Nameserver der Firewall gestellt werden, an eine andere IP weiterzuleiten.

Cloud Shield Cloud Shield notempty Neu ab v14.1.0
Liegt eine Cloud Shield Konfiguration über das USP (Unified Security Portal) vor, ist eine *Konfiguration des DNS Forwardings* auf der UTM selbst nicht möglich** Die Einstellungen aus dem USP werden angezeigt, können aber nur dort https://portal.securepoint.cloud Unified Security Console UTM Profile / Profil wählen Reiter Cloud Shield Option Cloud Shield aktivieren bzw. Option Fallback DNS erlauben aktivieren bzw. deaktivieren geändert werden Der Abschnitt auf der UTM wird deaktiviert			Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen 42 Cloud Shield Konfiguration im USP vorhanden

DNS Forwarding
DNS Forwarding hinzufügen DNS Forwarding hinzufügen Menü Anwendungen Nameserver Bereich DNS Forwarding Schaltfläche + DNS Forwarding hinzufügen
Beschriftung	Wert	Beschreibung	DNS Forwarding hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Anlegen eines DNS Forwarding
Typ:	DNSDoT	DNS: Klassische unverschlüsselte DNS-Auflösung
IP-Adresse:	203.0.113.113	IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen

notempty Neu ab v14.0
Typ:	DNSDoT	DoT: DNS over TLS DNS Anfragen werden mit TLS verschlüsselt	DNS Forwarding hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver DNS over TLS notempty Neu ab v14.0
IP-Adresse:	1.1.1.1 Beispielwert	IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen
Hostname	cloudflare-dns.com Beispielwert	Der Hostname ist für die Verifizierung des TLS Zertifikats erforderlich
		Speichert den Eintrag

Provider-DNS Provider-DNS
DNS-Server des Providers verwenden:	Aus	Bei Aktivierung Ein wird der DNS-Server des Internetproviders verwendet	Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen
Ist ein TLS-Forwarder (DoT) konfiguriert, werden DNS Forwarder nicht genutzt			Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen

Domain Forwarding durch einen VPN-Tunnel

Teilweise ist es nötig, interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem VPN befindet.

Hier ist zu beachten, daß standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird jedoch nicht in einen VPN-Tunnel geroutet.

Nameserver der Firewall festlegen

Beschriftung	Wert	Beschreibung	Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Nameserver IP
Nameserver vor lokalem Cache prüfen:	Ja	Sollte aktiviert sein
Primärer Nameserver:	127.0.0.1	Die IP der UTM selbst (localhost=127.0.0.1)
Sekundärer Nameserver:		Kann leer bleiben oder einen weiteren DNS im VPN bezeichnen
		Speichert den Eintrag

Relay anlegen

notempty

Für dieses Beispiel wurde eine IPSec-Verbindung genutzt. Für SSL-VPN erfolgt die Einrichtung auf die gleiche Art und Weise.

Menü Anwendungen Nameserver Bereich Zonen Schaltfläche + Relay-Zone hinzufügen.

Beschriftung	Wert	Beschreibung	Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Anlegen der Relay-Zone
Zonenname:	relay.test.local	Zonenname der gewünschten Domain
Typ::	Relay	Diesen Typ auswählen
IP-Adresse:	192.168.8.5	Klick auf Server hinzufügen und im Feld IP-Adresse wird die Adresse des entfernten Nameservers eingetragen Den Eintrag bearbeiten Den Eintrag löschen
		Speichert den Eintrag

Netzwerkobjekt anlegen

Menü Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen. Für das IPSec Netzwerk muss ein Netzwerkobjekt angelegt werden.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekt Netzwerkobjekt
Name:	IPSec-Netzwerk	Eindeutigen Namen wählen
Typ::	VPN-Netzwerk	Diesen Typ auswählen
Adresse:	192.168.8.0/24	Die IP-Adresse entspricht der des IPSec Netzwerkes
Zone:	vpn-ipsec	Passende Zone muss ausgewählt werden
		Speichert den Eintrag

Regeln hinzufügen

Im letzten Schritt muss eine Firewall-regel, mit einem Hide-NAT angelegt werden. Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.
Menü Firewall Paketfilter Schaltfläche + Regel hinzufügen.

Beschriftung	Wert	Regeln hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
Aktiv:	Ein
Quelle:	external-interface
Ziel:	IPSec-Netzwerk
Dienst:	domain-udp
[-] NAT
Typ::	HIDENAT
Netzwerkobjekt:	internal-interface
	Speichert die Regel und schließt den Dialog. Anschließend müssen die Regeln noch aktualisiert werden.

Safe Search bei externem DHCP Server

Wenn ein externer DHCP-Server verwendet wird, funktioniert der aktive Webfilter Safe Search bei Suchmaschinen, speziell bei Google, bei der Bildersuche oft nicht.
Damit dieser Webfilter auch da greift, müssen folgende Forward-Zonen für alle ccTLDs (siehe https://www.google.com/supported_domains : www.google.de, www.google.ch, ...) eingerichtet werden.
Menü Anwendungen Nameserver Schaltfläche + Forward-Zone hinzufügen.

Beschriftung	Wert	Zone bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Die eingerichtete Forward-Zone für www.google.com
Zonenname:	www.google.com
Nameserver Hostname:	localhost
Nameserver IP-Adresse:
Im Fenster Nameserver in der Zone www.google.de auf klicken. Im Fenster Zone bearbeiten auf Eintrag hinzufügen klicken.
Name:	www.google.com
Typ::	A
Wert:	216.239.38.120
Speichern und nochmal auf Eintrag hinzufügen klicken.
Name:	www.google.com
Typ::	AAAA
Wert:	2001:4860:4802:32::78
	Speichert den Eintrag

@@ Zeile 1: / Zeile 1: @@
-<noinclude>{{Set_lang}}
+{{Set_lang}}
 {{#vardefine:headerIcon|spicon-utm}}
+{{:UTM/APP/Nameserver-DNS_Forwarding.lang}}
+{{var	| neu--Cloud Shield
+		| Liegt eine ''Cloud Shield'' Konfiguration über die USC vor, kann lokal kein DNS-Forwarding konfiguriert werden
+		| If there is a ''Cloud Shield'' configuration via the USC, no DNS forwarding can be configured locally }}
+{{var	| neu--DoT
+		| [[#DoT | DNS over TLS (DoT) möglich]]
+		| [[#DoT | DNS over TLS (DoT) possible]] }}
-{{var	| Anwendungen
-		| Anwendungen
-		| Applications }}
-</div><div class="new_design"></div>{{Select_lang}}{{TOC2}}
+</div><div class="new_design"></div><noinclude>{{Select_lang}}{{TOC2}}
-{{Header|12.6.1|
+{{Header|14.1.0|
-* {{#var:neu--rwi}}
+* {{#var:neu--Cloud Shield}}
-|[[UTM/APP/Nameserver-DNS_Forwarding_v12.4 | 12.4]]
+|vorher-ver=14.0
+|vorher=
+* {{#var:neu--DoT}}
+|[[UTM/APP/Nameserver-DNS_Forwarding_v12.6.1 | 12.6.1]]
+[[UTM/APP/Nameserver-DNS_Forwarding_v12.4 | 12.4]]
 [[UTM/APP/Nameserver-DNS_Forwarding_v12.2.3 | 12.2.3]]
 [[UTM/APP/Nameserver-DNS_Forwarding_11.7 | 11.7]]
 [[UTM/APP/Nameserver_11.6 | 11.6.11]]
-| {{Menu-UTM|{{#var:Anwendungen}}|Nameserver|DNS Forwarding}}
+| {{Menu-UTM|Anwendungen|Nameserver|DNS Forwarding}}
 }}
 ----
-</noinclude>{{:UTM/APP/Nameserver-DNS_Forwarding.lang}}
+</noinclude>
-=== DNS Forwarding ===
+{{h-3| DNS Forwarding }}
-<div class="einrücken">
+<includeonly>{{h-3|| DNS Forwarding }}</includeonly>
 {{#var:DNS Forwarding--desc}}
-</div>
+{| class= "sptable2 pd5 zh1 Einrücken"
+|- class="noborder"
+| colspan="3" | {{h-4| {{#var:Cloud Shield}} | {{Reiter| {{#var:Cloud Shield}} }} &emsp; <SMALL>{{Hinweis-box|{{#var:neu ab}} v14.1.0|gr|14.1.0|status=neu}}</small> }}
-==== {{#var:DNS Forwarding hinzufügen}} ====
+|- class="noborder"
-<div class="einrücken">
+| colspan="3" | {{#var:Cloud Shield--desc}}
+| class=Bild | {{Bild| {{#var:Cloud Shield--Bild}} | {{#var:Cloud Shield--cap}} ||Nameserver|{{#var:Anwendungen}} |Alerts=true |icon=fa-save}}
+|- class="Leerzeile"
+|
+|-  class="Leerzeile"
+| colspan="3" | {{h-3|| {{Reiter| DNS Forwarding }} }}
+|- class=noborder
+| colspan="3" |
+<div class="Einrücken">{{h-4| {{#var:DNS Forwarding hinzufügen}} | {{#var:DNS Forwarding hinzufügen}} }}</div>
 {{#var:DNS Forwarding hinzufügen--desc}}
-</div>
+|-
-{| class= "sptable2 pd5 zh1 Einrücken"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
 | class="Bild" rowspan="4" | {{Bild| {{#var:DNS Forwarding hinzufügen--Bild}} |{{#var:DNS Forwarding hinzufügen--cap}}||{{#var:DNS Forwarding hinzufügen}}|{{#var:Anwendungen}}|Nameserver|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |-
-| {{b|{{#var:IP-Adresse}}:}} || {{ic|192.168.175.2|class=available}} || {{#var:IP-Adresse--desc}}
+| {{b|{{#var:Typ}} }} || {{Button|DNS|class=aktiv}}{{button|DoT|class=inaktiv}} || {{#var:Typ DNS--desc}}
-|- class="Leerzeile"
+|-
-| colspan="2" | {{Button-dialog}} || {{#var:Speichern--desc}}
+| {{b|{{#var:IP-Adresse}}:}} || {{ic|203.0.113.113|class=available}} || {{#var:IP-Adresse DNS--desc}}
 |- class="Leerzeile"
+|
+|- class=noborder
+| colspan="3" | <span id=DoT></span>{{Hinweis-box|{{#var:neu ab}} v14.0|gr|14.0|status=neu}}
+|-
+| {{b|{{#var:Typ}} }} || {{Button|DNS|class=inaktiv}}{{button|DoT|class=aktiv}} || {{#var:Typ DoT--desc}}
+| rowspan="4" class=Bild | {{Bild | {{#var:Typ DoT--Bild}} | {{#var:Typ DoT--cap}} {{Hinweis-box|{{#var:neu ab}} v14.0|gr|14.0|status=neu}} ||{{#var:DNS Forwarding hinzufügen}}|{{#var:Anwendungen}}|Nameserver|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
+|-
+| {{b|{{#var:IP-Adresse}}:}} || {{ic|1.1.1.1|class=available}}<br><small>{{#var:Beispielwert}}</small> || {{#var:IP-Adresse DNS--desc}}
+|-
+| {{b|{{#var:Hostname}} }} || {{ic|cloudflare-dns.com|class=available}}<br><small>{{#var:Beispielwert}}</small> || {{#var:Hostname--desc}}
+|- class="Leerzeile"
+| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Speichern--desc}}
+|- class="Leerzeile"
 |
+|- class=noborder
+| colspan="3" | {{h-4| Provider-DNS | {{Reiter|Provider-DNS}} }}
+|-
+| {{b|{{#var:DNS-Server des Providers}} }} || {{ButtonAus|{{#var:aus}} }} || {{#var:DNS-Server des Providers--desc}}
+| rowspan="2" class=Bild | {{Bild | {{#var:DNS-Server des Providers--Bild}} | {{#var:DNS-Server des Providers--cap}} | | Nameserver|{{#var:Anwendungen}}|icon=fa-save }}
+|- class="Leerzeile"
+| colspan="3" | <p><small>{{#var:neu--DNS-Server des Providers--Hinweis}}</small><br></p>
+<li class="list--element__alert list--element__utm small">{{#var:Kein DNS bei DoT}}</li>
 |}
+</div>
 ==== {{#var:Domainweiterleitung durch einen VPNTunnel}} ====
@@ Zeile 73: / Zeile 112: @@
 <div class="Einrücken">
 {{Hinweis-box|{{#var:Relay anlegen--Hinweis}}|g}}
-Menü {{#var:Relay anlegen--desc}}
+{{#var:Relay anlegen--desc}}
 </div>
@@ Zeile 180: / Zeile 219: @@
 |
 |}
+</div>