Nameserver DNS Forwarding

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Beta-Version bezieht

Konfiguration eines Nameservers mit DNS-Forwarding

Letzte Anpassung zur Version: 12.4

Neu:

Bezeichnungen korrigiert: Statt Domainweiterleitung wird der Begriff DNS Forwarding verwendet
Beispielkonfiguration: Safe Search bei externem DHCP Server (02.2023)

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

12.2.3 11.7 11.6.11

Einleitung

Ein Nameserver ist ein Server, der Namensauflösung anbietet.
Namensauflösung ist das Verfahren, welches es ermöglicht, Namen von Computern bzw. Diensten in eine Adresse (IP) aufzulösen (z.B.: support.securepoint.de in 85.209.185.22). Die UTM kann eine Namensauflösung an einen anderen Nameserver weiterleiten oder zu einer IP Adresse einen bestimmten Namen finden (Reverse Lookup).
Zusätzlich gibt es die Funktion DNS Forwarding, die es erlaubt alle DNS Anfragen an einen bestimmten Nameserver weiterzuleiten.

Der Artikel zu den Netzwerkwerkzeugen bietet eine Übersicht der Daten, die in einem Nameserver verwaltet werden.

DNS Forwarding

Ein DNS Forwarding wird dazu verwendet, um alle DNS Anfragen, die an den Nameserver der Firewall gestellt werden an eine andere IP weiterzuleiten.

DNS Forwarding hinzufügen

Menü → Anwendungen →NameserverReiter DNS Forwarding Schaltfläche DNS Forwarding hinzufügen

Beschriftung	Wert	Beschreibung	Anlegen eines DNS Forwarding
IP-Adresse	192.168.175.2	Die IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen
Speichern Der Eintrag wird durch diese Schaltfläche gespeichert

Die Änderungen im DNS Forwarding müssen ebenfalls mit der Schaltfläche Speichern gesichert werden.

Domain Forwarding durch einen VPN-Tunnel

Teilweise ist es nötig, interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem VPN befindet.

Hier ist zu beachten, daß standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird jedoch nicht in einen VPN-Tunnel geroutet.

Nameserver der Firewall festlegen

Menü Reiter Servereinstellungen Abschnitt

DNS-Server

Beschriftung	Wert	Beschreibung	Nameserver IP
Nameserver vor lokalem Cache prüfen:	Ja	Sollte aktiviert sein
Primärer Nameserver:	127.0.0.1	Die IP der UTM selbst (localhost=127.0.0.1)
Sekundärer Nameserver:		Sollte leer bleiben oder einen weiteren DNS im VPN bezeichnen
Speichern Der Eintrag wird durch diese Schaltfläche gespeichert

Relay anlegen

Für dieses Beispiel wurde eine IPSec Verbindung genutzt. Für SSL-VPN erfolgt die Einrichtung auf die gleiche Weise.

Menü → Anwendungen →Nameserver Schaltfläche Relay-Zone

Beschriftung	Wert	Beschreibung	Anlegen der Relay-Zone
Zonenname:	relay.test.local	Der Zonenname der gewünschten Domain
Typ:	Relay	Diesen Typ auswählen
IP-Adresse	192.168.8.5	Klick auf Server hinzufügen und im Feld IP-Adresse wird die Adresse des entfernten Nameservers eingetragen Den Eintrag bearbeiten Den Eintrag löschen
Speichern Der Eintrag wird durch diese Schaltfläche gespeichert

Die Änderungen in der Zone müssen ebenfalls durch klicken der Schaltfläche Speichern gespeichert werden.

Netzwerkobjekt anlegen

Über die Navigationsleiste → Firewall →PortfilterReiter Netzwerkobjekte wird das Netzwerkobjekt unter Objekt hinzufügen angelegt. Für das IPSec Netzwerk muss ein Netzwerkobjekt angelegt werden.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt
Name:	IPSec-Netzwerk	Eine Bezeichnung für das Netzwerkobjekt
Typ:	VPN-Netzwerk	Diesen Typ auswählen
Adresse:	192.168.8.0/24	Die IP-Adresse entspricht der, des IPSec Netzwerkes
Zone:	vpn-ipsec	Diese Zone muss ausgewählt werden
Speichern Der Eintrag wird durch diese Schaltfläche gespeichert

Regel erstellen

Im letzten Schritt muss eine Firewallregel, mit einem Hide-NAT angelegt werden. Diese bewirkt das die DNS-Weiterleitung auch in den Tunnel, und nicht direkt in das Internet, geht. Über die Navigationsleiste → Firewall →Portfilter wird die Anwendung ausgewählt und unter Regel hinzufügen kann eine Regel hinzugefügt werden.

Beschriftung	Wert	Anlegen der Regel
Aktiv:	Ein
Quelle:	external-interface
Ziel:	IPSec-Netzwerk
Dienst:	domain-udp
[-] NAT
Typ:	HIDENAT
Netzwerkobjekt:	internal-interface
Dienst:	Der Parameter Dienst wird hier nicht verwendet und ist deaktiviert

Der Eintrag kann durch die Schaltfläche Hinzufügen und schließen gespeichert werden.
Der Portfilter muss über die Schaltfläche Regeln aktualisieren aktualisiert werden.
Mit dieser Regel werden nun alle Domain-UDP-Anfragen die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genatet und können somit in den IPSec-Tunnel geleitet werden.

Safe Search bei externem DHCP Server

Wenn ein externer DHCP Server verwendet wird, funktioniert der aktive Webfilter Safe Search bei Suchmaschinen, speziell bei Google, bei der Bildersuche oft nicht.

Damit dieser Webfilter auch da greift, müssen folgende Forward-Zonen für alle ccTLDs (siehe https://www.google.com/supported_domains : www.google.de, www.google.ch, ...) eingerichtet werden. Über die Navigationsleiste wird mit Forward-Zone hinzufügen eine Forward-Zone hinzugefügt:

Beschriftung	Wert	Die eingerichtete Forward-Zone für www.google.com
Zonenname:	www.google.com
Nameserver Hostname:	localhost
Nameserver IP-Adresse:	<leer lassen>
Im Fenster Nameserver in der Zone www.google.de auf klicken. Im Fenster Zone bearbeiten auf Eintrag hinzufügen klicken.
Name:	www.google.com
Typ:	A
Wert:	216.239.38.120
Speichern und nochmal auf Eintrag hinzufügen klicken.
Name:	www.google.com
Typ:	AAAA
Wert:	2001:4860:4802:32::78
Speichern