Wechseln zu:Navigation, Suche
Wiki

DNS Relay

Version vom 25. Oktober 2024, 09:40 Uhr von Lauritzl (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki













































































































De.png
En.png
Fr.png








Weiterleitung der DNS Anfragen für die Domäne an den DNS Server durch den VPN Tunnel
Letzte Anpassung zur Version: 12.6.1
Neu:
Zuletzt aktualisiert: 
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.3 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen Nameserver


Einleitung

In diesem Szenario sollen die UTM und die Clients einer Außenstelle an die Domäne im Hauptstandort angebunden werden.

  • Alle DNS Anfragen für die Domäne an den DNS Server, durch den VPN Tunnel, werden zum Hauptstandort weitergeleitet
  • Die UTM soll DNS für die Clients in der Außenstelle bereitstellen
  • Anfragen für das Domänen Netz sollen in den VPN Tunnel zum DNS Server im Hauptstandort weitergeleitet werden



Anlegen der DNS Relay Zone







Firewall als Nameserver festlegen

Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 Nameserver Servereinstellungen.pngNameserver IP Im ersten Schritt muss die UTM selbst als Nameserver der Firewall festgelegt werden.

  1. Konfiguration unter Netzwerk Servereinstellungen  Bereich Servereinstellungen Abschnitt
    DNS-Server
  2. Feld Primärer Nameserver als IP die 127.0.0.1 (localhost) setzen.
  3. Speichern mit
  • Wird kein Nameserver hinterlegt, werden DNS-Anfragen über die root-DNS-Server und die dort hinterlegten DNS-Server für die Top-Level-Domains aufgelöst



    • DNS Relay anlegen

    Anwendungen Nameserver  Bereich Zonen
    Im nächsten Schritt wird eine Relay-Zone angelegt.

    Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen UTM v12.6.1 DNS Relay Nameserver Relay-Zone anlegen.png
    Schritt 1
    • Im Fenster Nameserver den Reiter Zonen öffnen
    • Auf die Schaltfläche Relay-Zone hinzufügen klicken, um eine neue Relay-Zone anzulegen
    Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver UTM v12.6.1 DNS Relay Zone anlegen DNS Relay IP-Adresse.png
    Schritt 2
    • Unter Zonenname: den gewünschten Domänennamen eintragen
    • Als Typ: Relay auswählen
    • Auf die Schaltfläche Server hinzufügen klicken, um die IP-Adresse des Nameservers einzutragen
    Server hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver UTM v12.6.1 DNS Relay Zone anlegen DNS Relay IP Adresse Nameserver.png
    Schritt 3
    • Unter IP-Adresse: wird die IP-Adresse des entfernten Nameservers eingetragen
    Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver UTM v12.6.1 DNS Relay Zone anlegen DNS Relay.png
    Schritt 4
    Darstellung der fertig angelegte Relay-Zone.
    Um diese nutzen zu können, den Dialog Relay-Zone hinzufügen und den Dialog Nameserver
    Speichern und schließen
    .












    Nach dem Anlegen der Relay-Zone leitet die Firewall alle Anfragen auf das Domänennetz zum DNS-Server im Hauptstandort weiter.



    DNS Relay für einen IPSec Site-to-Site Tunnel

    Um interne Domainanfragen an einen entfernten Nameserver weiterzuleiten, der sich in einem IPSec-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird aber nicht in einen IPSec-Tunnel geroutet.


    Netzwerkobjekt anlegen

    Firewall Netzwerkobjekte
    Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das IPSec-Netz vorhanden.

    Folgende Objekte sind bei Auslieferung vorkonfiguriert: Netzwerkobjekt zugehöriges Schnittstellen-Objekt Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren UTM v12.7.1 DNS Relay IPSec Netzwerkobjekt Uebersicht.pngÜbersicht der Netzwerkobjekte
    World.svg Internet Interface.svg external-interface
    Network.svg internal-network Interface.svg internal-interface
    nur bei min. 3 vorhandenen Schnittstellen Network.svg dmz1-network Interface.svg dmz1-interface
    Um das passende Netzwerkobjekt anzulegen, wird im Abschnitt  Netzwerkobjekte  auf die Schaltfläche Objekt hinzufügen geklickt.
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.1 DNS Relay IPSec Netzwerkobjekt hinzufuegen.png
    Name: IPSec-Netzwerk Bezeichnung für das IPSec-Netzwerk
    Typ: VPN-Netzwerk VPN-Netzwerk auswählen
    Adresse: 192.168.8.0/24 IP-Adresse des IPSec Netzwerkes
    Zone: vpn-ipsec Entsprechende VPN IPSec Zone
    Gruppen:     Eine entsprechende Gruppe kann eingetragen werden
    Netzwerkobjekt und Dialog
    Speichern und Schließen

    Regel erstellen

    Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
    Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

    Beschriftung Wert Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6.1 DNS Relay IPSec Paketfilter erstellen.pngDas Anlegen der Regel
    Aktiv: Ein
    Quelle: Interface.svg external-interface
    Ziel: Vpn-network.svg IPSec-Netzwerk
    Dienst: Udp.svg domain-udp
    Aktion: ACCEPT
    [-] NAT
    Typ: HIDENAT
    Netzwerkobjekt: Interface.svg internal-interface
    Auf
    Speichern
    oder
    Speichern und Schließen
    klicken, um diese Regel abzuspeichern.
    Anschließend
    Regeln aktualisieren

    Mit dieser Regel werden alle Domain-UDP-Anfragen, die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genatet und können somit in den IPSec-Tunnel geleitet werden.

    notempty
    Wenn Multipath Routing konfiguriert ist, muss für jedes externe Interface eine solche Regel angelegt werden.


    DNS Relay für einen OpenVPN Site-to-Site Tunnel

    Um interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem OpenVPN-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird aber nicht in einen OpenVPN-Tunnel geroutet.


    Zentrale Konfiguration im Netzwerk des DNS-Servers

    Vereinfachte Lösung mit Paketfilter Regel im Netzwerk des DNS-Servers
    Bei mehreren Außenstellen ist es oft die einfachste Variante, das komplette Transfernetz auf der Serverseite freizugeben. Hierzu ist eine Paketfilter Regel auf der UTM im Netzwerk des DNS-Servers erforderlich.


    WireGuard Transfernetz als Peernetzwerk freigeben

    UTM im DNS-Server Netzwerk

    Das Transfernetz, in dem die IP-Adresse der WireGuard-Schnittstelle liegt, muss als Peernetzwerk freigegeben werden.
    Ergänzende Korrektur 07.2024

    Unter VPN WireGuard  Schaltfläche bearbeiten kann die IPv4 Adresse der entsprechenden WireGuard-Schnittstelle nachgeschaut bzw. angepasst werden. Anschließend wird das Netz in dem diese liegt unter VPN WireGuard  Schaltfläche bearbeiten des entsprechenden WireGuard Peers als Peernetzwerk freigegeben.


    Anlegen des Netzwerkobjektes für das Transfernetz

    UTM im DNS-Server Netzwerk Firewall Netzwerkobjekte Kasten Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.7 Netzwerkobjekt Transfernetz.pngNetzwerkobjekt für das Transfernetz
    Name: Transfer Netz Bezeichnung für das Transfernetzwerk
    Typ: VPN-Netzwerk Typ des Netzwerkobjektes
    Adresse: 10.40.40.0/24 Netz-IP, so wie unter VPN SSL-VPN unter Transfernetzwerk angezeigt
    Zone: vpn-ssl-DNS-Relay-server Zone wird automatisch vorgeschlagen.
    Per Default der Name der SSL-Verbindung mit dem Präfix vpn-ssl-
    Gruppen:     Eine entsprechende Gruppe kann eingetragen werden
    Netzwerkobjekt und Dialog
    Speichern und Schließen


    Netzwerkobjekt DNS-Server

    Ein Netzwerkobjekt für den DNS-Server (Typ: Host) sollte bereits existieren.
    Andernfalls muss es ebenfalls angelegt werden.

    UTM im DNS-Server Netzwerk Firewall Netzwerkobjekte Kasten  Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.7 Netzwerkobjekt DNS-Server.pngNetzwerkobjekt für den DNS-Server
    Name: DNS-Server Bezeichnung für den DNS-Server
    Typ: Host Typ des Netzwerkobjektes
    Adresse: 192.168.175.10/-- Feste IP-Adresse, unter der der DNS-Server erreichbar ist
    Zone: internal Zone wird automatisch vorgeschlagen
    Gruppen:     Eine entsprechende Gruppe kann eingetragen werden
    Netzwerkobjekt und Dialog
    Speichern und Schließen


    Regel erstellen

    Firewall Paketfilter  Schaltfläche Regel hinzufügen

  • Diese Regel benötigt kein NAT
  • Anschließend
    Regeln aktualisieren
    		•  # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png 4 Vpn-network.svg Transfer Netzwerk Host.svg DNS-Server Udp.svg domain-udp
    -
    UTM v12.7 Paketfilter Sliderbar1.png
    		 Accept Ein

    Diese Paketfilter Regel erlaubt dem SSL-VPN-Transfernetz und damit sämtlichen S2S-Clients auf diesem SSL-VPN-Tunnel den Zugriff auf den DNS-Server


    notempty
    Alternative

    Dezentrale Konfiguration auf jedem S2S Client

    Wenn eine Zentrale Konfiguration im Netzwerk des DNS-Servers nicht gewünscht oder möglich ist, kann eine NAT-Regel auf jedem S2S-Client erstellt werden.

  • Diese Schritte müssen auf jedem S2S-Client ausgeführt werden!


    • Zone anlegen

    UTM im S2S Client Netzwerk Netzwerk Zoneneinstellungen
    Um die DNS Anfragen in den OpenVPN Tunnel routen zu können, muss auf der UTM eine neue Interface Zone angelegt werden.
    Eine neue Zone wird mit der Schaltfläche Zone hinzufügen angelegt.

    Beschriftung Wert Beschreibung Zone hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkZoneneinstellungen UTM v12.6.1 DNS Relay OpenVPN Zone.pngDialog Zone hinzufügen mit Flag Interface
    Name: Site-to-Site-DNS-Relay Bezeichnung für die Interface Zone
    Schnittstelle: tun0 Die passende Schnittstelle tunX auswählen
    Interface: Ein FLAG Interface für diese Zone aktivieren
    Dialog
    Speichern und Schließen


    Open-VPN Netzwerkobjekte anlegen

    UTM im S2S Client Netzwerk Firewall Netzwerkobjekte
    Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das Open-VPN-Netz vorhanden.

    Folgende Objekte sind bei Auslieferung vorkonfiguriert: Netzwerkobjekt zugehöriges Schnittstellen-Objekt Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren UTM v12.7.1 DNS Relay IPSec Netzwerkobjekt Uebersicht.pngÜbersicht der Netzwerkobjekte
    World.svg Internet Interface.svg external-interface
    Network.svg internal-network Interface.svg internal-interface
    nur bei min. 3 vorhandenen Schnittstellen Network.svg dmz1-network Interface.svg dmz1-interface
    Um das passende Netzwerkobjekt anzulegen, wird im Abschnitt  Netzwerkobjekte  auf die Schaltfläche Objekt hinzufügen geklickt.
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.1 DNS Relay OpenVPN S2S Netzwerkobjekt hinzufuegen OpenVPN Interface.png
    Name: DNS-Relay-Interface Bezeichnung für das Open VPN-Netzwerk
    Typ: Dynamische Schnittstelle Dynamische Schnittstelle auswählen
    Schnittstelle: 0.0.0.0/0 diese Schnittstelle auswählen
    Zone: Site-to-Site-DNS-Relay entsprechende Open VPN Zone auswählen
    Gruppen:     Eine entsprechende Gruppe kann eingetragen werden
    Netzwerkobjekt und Dialog
    Speichern und Schließen


    Regel erstellen

    UTM im S2S Client Netzwerk Firewall Paketfilter  Schaltfläche Regel hinzufügen
    Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
    Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

    Beschriftung Wert Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6.1 DNS Relay Paketfilterregel DNS Relay Interface.pngDas Anlegen der Regel
    Aktiv: Ein
    Quelle: Interface.svg DNS-Relay-Interface
    Ziel: Host.svg Remote-DNS-Server
    Dienst: Service-group.svg dns
    Aktion: ACCEPT
    [-] NAT
    Typ: HIDENAT
    Optional, wenn Domaincontroller nicht auf Anfragen aus dem Transfernetz antworten möchte.
    Netzwerkobjekt: Interface.svg internal-interface
    Dialog
    Speichern und Schließen


    DNS Relay für einen WireGuard Site-to-Site Tunnel

    Die internen Domainanfragen können auch an einen entfernten Nameserver weitergeleitet werden, der sich in einem WireGuard-Netz befindet. Für die Konfiguration eines solchen Szenarios wird eine vorhandene WireGuard Site-to-Site VPN (S2S) Verbindung benötigt.


    Zentrale Konfiguration im Netzwerk des DNS-Servers

    Vereinfachte Lösung mit Paketfilter Regel im Netzwerk des DNS-Servers
    Bei mehreren Außenstellen ist es oft die einfachste Variante, das komplette Transfernetz auf der Serverseite freizugeben. Hierzu ist eine Paketfilter Regel auf der UTM im Netzwerk des DNS-Servers erforderlich.

    notempty
    Wenn bei WireGuard über das Transfernetz der Zugriff auf die andere Seite für die DNS-Auflösung realisiert werden soll, dann muss innerhalb des WireGuard Tunnels auf beiden Seiten das Transfernetz des Tunnels mit freigegeben werden. Ansonsten kommen die Anfragen nicht an, trotz korrekt konfigurierten Regeln.


    Anlegen des Netzwerkobjektes für das Transfernetz

    UTM im DNS-Server Netzwerk Firewall Netzwerkobjekte Kasten  Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.7 Netzwerkobjekt WG Transfernetz.png Netzwerkobjekt für das WireGuard Transfernetz
    Name: Transfer Netz Bezeichnung für das Transfernetzwerk
    Typ: VPN Netzwerk Typ des Netzwerkobjektes
    Adresse: 10.0.1.0/24 Netz-IP des Transfernetzes.
    Unter VPN WireGuard WireGuard Verbindung bearbeiten findet sich unter IPv4Adresse bzw. IPv6 Adresse die IP-Adresse und Subnetzmaske der Schnittstelle. Daraus kann entsprechend die Netz-IP abgeleitet werden.
    Aus 10.0.1.2/24 → wird z.B. 10.0.1.0/24
    Aus fd00::2/64 → wird z.B. fd00::0/64
    Zone: wireguard-wg0 Zone wird automatisch vorgeschlagen.
    Per Default der Name des WireGuard Tunnels mit dem Präfix wireguard
    Gruppen:     Eine entsprechende Gruppe kann eingetragen werden
    Netzwerkobjekt und Dialog
    Speichern und Schließen


    Netzwerkobjekt DNS-Server

    Ein Netzwerkobjekt für den DNS-Server (Typ: Host) sollte bereits existieren.
    Andernfalls muss es ebenfalls angelegt werden.

    UTM im DNS-Server Netzwerk Firewall Netzwerkobjekte Kasten  Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.7 Netzwerkobjekt DNS-Server.png Netzwerkobjekt für den DNS-Server
    Name: DNS-Server Bezeichnung für den DNS-Server
    Typ: Host Typ des Netzwerkobjektes
    Adresse: 192.168.175.10/-- Feste IP-Adresse, unter der der DNS-Server erreichbar ist
    Zone: internal Zone wird automatisch vorgeschlagen
    Gruppen:     Eine entsprechende Gruppe kann eingetragen werden
    Netzwerkobjekt und Dialog
    Speichern und Schließen


    Regel erstellen

    UTM im DNS-Server Netzwerk Firewall Paketfilter  Schaltfläche Regel hinzufügen

  • Diese Regel benötigt kein NAT
  • Anschließend
    Regeln aktualisieren
    		•  # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png 4 Vpn-network.svg Transfer Netzwerk Host.svg DNS-Server Udp.svg domain-udp
    -
    UTM v12.7 Paketfilter Sliderbar1.png
    		 Accept Ein

    Diese Paketfilter Regel erlaubt dem SSL-VPN-Transfernetz und damit sämtlichen S2S-Clients auf diesem SSL-VPN-Tunnel den Zugriff auf den DNS-Server


    notempty
    Alternative

    Dezentrale Konfiguration auf jedem S2S Client

    Wenn eine Zentrale Konfiguration im Netzwerk des DNS-Servers nicht gewünscht oder möglich ist, kann eine NAT-Regel auf jedem S2S-Client erstellt werden.


    Zone anlegen

    UTM im S2S Client Netzwerk Netzwerk Zoneneinstellungen  Schaltfläche Zone hinzufügen
    Um die DNS Anfragen in den WireGuard Tunnel routen zu können, muss auf der UTM eine neue Interface-Zone angelegt werden.

    Beschriftung Wert Beschreibung Zone hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkZoneneinstellungen UTM v12.6.1 DNS Relay WireGuard Zone.pngDialog Zone hinzufügen mit Flag Interface
    Name: WireGuard-S2S-DNS-Relay Bezeichnung für die Interface Zone
    Schnittstelle: wg0 Die passende WireGuard-Schnittstelle wg0 auswählen
    Interface: Ein FLAG Interface für diese Zone aktivieren
    Dialog
    Speichern und Schließen


    WireGuard Netzwerkobjekte anlegen

    UTM im S2S Client Netzwerk Firewall Netzwerkobjekte
    Die Paketfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das WireGuard-Netz vorhanden.

    Folgende Objekte sind bei Auslieferung vorkonfiguriert: Netzwerkobjekt zugehöriges Schnittstellen-Objekt Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren UTM v12.7.1 DNS Relay IPSec Netzwerkobjekt Uebersicht.pngÜbersicht der Netzwerkobjekte
    World.svg Internet Interface.svg external-interface
    Network.svg internal-network Interface.svg internal-interface
    nur bei min. 3 vorhandenen Schnittstellen Network.svg dmz1-network Interface.svg dmz1-interface
    Um das passende Netzwerkobjekt anzulegen, wird im Abschnitt  Netzwerkobjekte  auf die Schaltfläche Objekt hinzufügen geklickt.
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.1 DNS Relay WireGuard S2S Netzwerkobjekt hinzufuegen WireGuard Interface.png
    Name: WireGuard-DNS-Relay-Interface Bezeichnung für das WireGuard-Netzwerk
    Typ: Dynamische Schnittstelle Dynamische Schnittstelle auswählen
    Schnittstelle: 0.0.0.0/0 diese Schnittstelle auswählen
    Zone: WireGuard-S2S-DNS-Relay entsprechende WireGuard Zone auswählen
    Gruppen:     Eine entsprechende Gruppe kann eingetragen werden
    Netzwerkobjekt und Dialog
    Speichern und Schließen


    Regel erstellen

    UTM im S2S Client Netzwerk Firewall Paketfilter  Schaltfläche Regel hinzufügen Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
    Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

    Beschriftung Wert Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6.1 DNS Relay WireGuard S2S Paketfilter erstellen.pngDas Anlegen der Regel
    Aktiv: Ein
    Quelle: Interface.svg WireGuard-DNS-Relay-Interface
    Ziel: Host.svg Remote-DNS-Server
    Dienst: Udp.svg domain-udp
    Aktion: ACCEPT
    [ - ] NAT
    Typ: HIDENAT
    Optional, wenn Domaincontroller nicht auf Anfragen aus dem Transfernetz antworten möchte.
    Netzwerkobjekt: Interface.svg internal-interface
    Dialog
    Speichern und Schließen
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/DNS_Relay&oldid=93337