Einleitung
In diesem Szenario sollen die UTM und die Clients einer Außenstelle an die Domäne im Hauptstandort angebunden werden.
- Alle DNS Anfragen für die Domäne an den DNS Server, durch den VPN Tunnel, werden zum Hauptstandort weitergeleitet
- Die UTM soll DNS für die Clients in der Außenstelle bereitstellen
- Anfragen für das Domänen Netz sollen in den VPN Tunnel zum DNS Server im Hauptstandort weitergeleitet werden
Anlegen der DNS Relay Zone
[[Datei:|hochkant=2|mini| ]]
DNS Relay anlegen
Zonen
Im nächsten Schritt wird eine Relay-Zone angelegt.
![UTM v12.6.1 DNS Relay Nameserver Relay-Zone anlegen.png](/images/a/a8/UTM_v12.6.1_DNS_Relay_Nameserver_Relay-Zone_anlegen.png)
- Im Fenster Nameserver den Reiter Zonen öffnen
- Auf die Schaltfläche klicken, um eine neue Relay-Zone anzulegen
![UTM v12.6.1 DNS Relay Zone anlegen DNS Relay IP-Adresse.png](/images/9/97/UTM_v12.6.1_DNS_Relay_Zone_anlegen_DNS_Relay_IP-Adresse.png)
- Unter Zonenname: den gewünschten Domänennamen eintragen
- Als Typ: auswählen
- Auf die Schaltfläche klicken, um die IP-Adresse des Nameservers einzutragen
![UTM v12.6.1 DNS Relay Zone anlegen DNS Relay.png](/images/0/08/UTM_v12.6.1_DNS_Relay_Zone_anlegen_DNS_Relay.png)
Um diese nutzen zu können, den Dialog Relay-Zone hinzufügen und den Dialog Nameserver Speichern und schließen.
Nach dem Anlegen der Relay-Zone leitet die Firewall alle Anfragen auf das Domänennetz zum DNS-Server im Hauptstandort weiter.
DNS Relay für einen IPSec Site-to-Site Tunnel
Um interne Domainanfragen an einen entfernten Nameserver weiterzuleiten, der sich in einem IPSec-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird aber nicht in einen IPSec-Tunnel geroutet.
Netzwerkobjekt anlegen
Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das IPSec-Netz vorhanden.
Auf Speichern, oder Speichern und Schließen klicken, um dieses Netzwerkobjekt abzuspeichern.
Netzwerkobjekt in Regelwerk übernehmen mit
Regel erstellen
Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.
Beschriftung | Wert | ![]() |
---|---|---|
| ||
| ||
| ||
Auf Speichern oder Speichern und Schließen klicken, um diese Regel abzuspeichern.
Mit dieser Regel werden alle Domain-UDP-Anfragen, die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genatet und können somit in den IPSec-Tunnel geleitet werden.
DNS Relay für einen OpenVPN Site-to-Site Tunnel
Um interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem OpenVPN-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird aber nicht in einen OpenVPN-Tunnel geroutet.
Zone anlegen
Um die DNS Anfragen in den OpenVPN Tunnel routen zu können, muss auf der UTM eine neue Interface Zone angelegt werden.
Eine neue Zone wird mit der Schaltfläche angelegt.
Open-VPN Netzwerkobjekte anlegen
Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das IPSec-Netz vorhanden.
Auf Speichern, oder Speichern und Schließen klicken, um dieses Netzwerkobjekt abzuspeichern.
Netzwerkobjekt in Regelwerk übernehmen mit
Regel erstellen
Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.
Beschriftung | Wert | ![]() |
---|---|---|
| ||
| ||
| ||
Auf Speichern oder Speichern und Schließen klicken, um diese Regel abzuspeichern.
Zone anlegen
Um die DNS Anfragen in den WireGuard Tunnel routen zu können, muss auf der UTM eine neue Interface-Zone angelegt werden.
WireGuard Netzwerkobjekte anlegen
Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das IPSec-Netz vorhanden.
Auf Speichern, oder Speichern und Schließen klicken, um dieses Netzwerkobjekt abzuspeichern.
Netzwerkobjekt in Regelwerk übernehmen mit
Regel erstellen
Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.
Beschriftung | Wert | ![]() |
---|---|---|
| ||
| ||
| ||
Auf Speichern oder Speichern und Schließen klicken, um diese Regel abzuspeichern.