DNS Relay

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Beta-Version bezieht

Weiterleitung der DNS Anfragen für die Domäne an den DNS Server durch den VPN Tunnel

Letzte Anpassung zur Version: 12.3.6

Neu:

DNS Relay für einen WireGuard Site-to-Site Tunnel
Korrektur der Portfilterregel für OpenVPN Site-to-Site Tunnel
Korrektur der Portfilterregel (Quelle und Ziel waren falsch)

Zuletzt aktualisiert:

02.2024

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

11.7

Einleitung

In diesem Szenario sollen die UTM und die Clients einer Außenstelle an die Domäne im Hauptstandort angebunden werden.

Alle DNS Anfragen für die Domäne an den DNS Server, durch den VPN Tunnel, werden zum Hauptstandort weitergeleitet
Die UTM soll DNS für die Clients in der Außenstelle bereitstellen
Anfragen für das Domänen Netz sollen in den VPN Tunnel zum DNS Server im Hauptstandort weitergeleitet werden

Anlegen der DNS Relay Zone

Nameserver der Firewall festlegen

Reiter Servereinstellungen Abschnitt

DNS-Server

Im ersten Schritt muss der Nameserver der Firewall festgelegt werden.

Im Feld Primärer Nameserver als IP 127.0.0.1 (localhost) eintragen. Auf die Schaltfläche Speichern klicken.

DNS Relay anlegen

→ Anwendungen →NameserverReiter Zonen
Im nächsten Schritt wird eine Relay-Zone angelegt.

Schritt 1

Im Fenster Nameserver den Reiter Zonen öffnen
Auf die Schaltfläche Relay-Zone hinzufügen klicken, um eine neue Relay-Zone anzulegen

Schritt 2

Unter Zonenname: den gewünschten Domänennamen eintragen

Als Typ: auswählen

Auf die Schaltfläche Server hinzufügen klicken, um die IP-Adresse des Nameservers einzutragen

Schritt 3

Unter IP-Adresse: wird die IP-Adresse des entfernten Nameservers eingetragen

Schritt 4

Darstellung der fertig angelegte Relay-Zone.
Um diese nutzen zu können, den Dialog Relay-Zone hinzufügen und den Dialog Nameserver Speichern.

Nach dem Anlegen der Relay-Zone leitet die Firewall alle Anfragen auf das Domänennetz zum DNS-Server im Hauptstandort weiter.

DNS Relay für einen IPSec Site-to-Site Tunnel

Um interne Domainanfragen an einen entfernten Nameserver weiterzuleiten, der sich in einem IPSec-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird aber nicht in einen IPSec-Tunnel geroutet.

Netzwerkobjekt anlegen

→ Firewall →PortfilterReiter Netzwerkobjekte
Die Portfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das IPSec-Netz vorhanden.

Folgende Objekte sind bei Auslieferung vorkonfiguriert:	Netzwerkobjekt	zugehöriges Schnittstellen-Objekt	Übersicht der Netzwerkobjekte
	Internet	external-interface
	internal-network	internal-interface
nur bei min. 3 vorhandenen Schnittstellen	dmz1-network	dmz1-interface

Um das passende Netzwerkobjekt anzulegen, wird unter dem im Reiter Netzwerkobjekte auf die Schaltfläche Objekt hinzufügen geklickt.

Beschriftung	Wert	Beschreibung
Name:	IPSec-Netzwerk	Bezeichnung für das IPSec-Netzwerk
Typ:	VPN-Netzwerk	VPN-Netzwerk auswählen
Adresse:	192.168.8.0/24	IP-Adresse des IPSec Netzwerkes
Zone:	vpn-ipsec	Entsprechende VPN IPSec Zone auswählen
Gruppen:		eine entsprechende Gruppe kann eingetragen werden

Auf Speichern, oder Speichern und Schließen klicken, um dieses Netzwerkobjekt abzuspeichern.
Nachdem das Netzwerkobjekt erstellt ist, wird auf Regel aktualisieren geklickt.

Regel erstellen

→ Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen
Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

Beschriftung	Wert	Das Anlegen der Regel
Aktiv:	Ein
Quelle:	external-interface
Ziel:	IPSec-Netzwerk
Dienst:	domain-udp
Aktion:	ACCEPT
[-] NAT
Typ:	HIDENAT
Netzwerkobjekt:	internal-interface

Auf Hinzufügen oder Hinzufügen und Schließen klicken, um diese Regel abzuspeichern.
Mit dieser Regel werden alle Domain-UDP-Anfragen, die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genatet und können somit in den IPSec-Tunnel geleitet werden.

Wenn Multipath Routing konfiguriert ist, muss für jedes externe Interface eine solche Regel angelegt werden.

DNS Relay für einen OpenVPN Site-to-Site Tunnel

Um interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem OpenVPN-Netz befindet, ist zu beachten, dass standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentlich IP wird aber nicht in einen OpenVPN-Tunnel geroutet.

Zone anlegen

→ Netzwerk →Zoneneinstellungen
Um die DNS Anfragen in den OpenVPN Tunnel routen zu können, muss auf der UTM eine neue Interface Zone angelegt werden.
Eine neue Zone wird mit der Schaltfläche Zone hinzufügen angelegt.

Beschriftung	Wert	Beschreibung	Dialog Zone hinzufügen mit Flag Interface
Name:	Site-to-Site-DNS-Relay	Bezeichnung für die Interface Zone
Schnittstelle:	tun0	Die passende Schnittstelle tunX auswählen
Interface:	Ein	FLAG Interface für diese Zone aktivieren

Open-VPN Netzwerkobjekte anlegen

→ Firewall →PortfilterReiter Netzwerkobjekte
Die Portfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das Open-VPN-Netz vorhanden.

Folgende Objekte sind bei Auslieferung vorkonfiguriert:	Netzwerkobjekt	zugehöriges Schnittstellen-Objekt	Übersicht der Netzwerkobjekte
	Internet	external-interface
	internal-network	internal-interface
nur bei min. 3 vorhandenen Schnittstellen	dmz1-network	dmz1-interface

Um das passende Netzwerkobjekt anzulegen, wird unter dem im Reiter Netzwerkobjekte auf die Schaltfläche Objekt hinzufügen geklickt.

Beschriftung	Wert	Beschreibung
Name:	DNS-Relay-Interface	Bezeichnung für das Open VPN-Netzwerk
Typ:	Dynamische Schnittstelle	Dynamische Schnittstelle auswählen
Schnittstelle:	0.0.0.0/0	diese Schnittstelle auswählen
Zone:	Site-to-Site-DNS-Relay	entsprechende Open VPN Zone auswählen
Gruppen:		eine entsprechende Gruppe kann eingetragen werden

Auf Speichern, oder Speichern und Schließen klicken, um dieses Netzwerkobjekt abzuspeichern.
Nachdem das Netzwerkobjekt erstellt ist, wird auf Regel aktualisieren geklickt.

Regel erstellen

→ Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen
Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

Beschriftung	Wert	Das Anlegen der Regel
Aktiv:	Ein
Quelle:	DNS-Relay-Interface
Ziel:	Remote-DNS-Server
Dienst:	dns
Aktion:	ACCEPT
[-] NAT
Typ:	HIDENAT Optional, wenn Domaincontroller nicht auf Anfragen aus dem Transfernetz antworten möchte.
Netzwerkobjekt:	internal-interface

Auf Hinzufügen oder Hinzufügen und Schließen klicken, um diese Regel abzuspeichern.

DNS Relay für einen WireGuard Site-to-Site Tunnel

Die internen Domainanfragen können auch an einen entfernten Nameserver weitergeleitet werden, der sich in einem WireGuard-Netz befindet. Für die Konfiguration eines solchen Szenarios wird eine vorhandene WireGuard Site-to-Site VPN (S2S) Verbindung benötigt.

Zone anlegen

→ Netzwerk →Zoneneinstellungen Schaltfläche Zone hinzufügen
Um die DNS Anfragen in den WireGuard Tunnel routen zu können, muss auf der UTM eine neue Interface-Zone angelegt werden.

Beschriftung	Wert	Beschreibung	Dialog Zone hinzufügen mit Flag Interface
Name:	WireGuard-S2S-DNS-Relay	Bezeichnung für die Interface Zone
Schnittstelle:	wg0	Die passende WireGuard-Schnittstelle wg0 auswählen
Interface:	Ein	FLAG Interface für diese Zone aktivieren

WireGuard Netzwerkobjekte anlegen

→ Firewall →PortfilterReiter Netzwerkobjekte
Die Portfilterregeln in den Impliziten Regeln werden automatisch aktiviert. Damit ist noch kein Netzwerkobjekt für das WireGuard-Netz vorhanden.

Folgende Objekte sind bei Auslieferung vorkonfiguriert:	Netzwerkobjekt	zugehöriges Schnittstellen-Objekt	Übersicht der Netzwerkobjekte
	Internet	external-interface
	internal-network	internal-interface
nur bei min. 3 vorhandenen Schnittstellen	dmz1-network	dmz1-interface

Um das passende Netzwerkobjekt anzulegen, wird unter dem im Reiter Netzwerkobjekte auf die Schaltfläche Objekt hinzufügen geklickt.

Beschriftung	Wert	Beschreibung
Name:	WireGuard-DNS-Relay-Interface	Bezeichnung für das WireGuard-Netzwerk
Typ:	Dynamische Schnittstelle	Dynamische Schnittstelle auswählen
Schnittstelle:	0.0.0.0/0	diese Schnittstelle auswählen
Zone:	WireGuard-S2S-DNS-Relay	entsprechende WireGuard Zone auswählen
Gruppen:		eine entsprechende Gruppe kann eingetragen werden

Auf Speichern, oder Speichern und Schließen klicken, um dieses Netzwerkobjekt abzuspeichern.
Nachdem das Netzwerkobjekt erstellt ist, wird auf Regel aktualisieren geklickt.

Regel erstellen

→ Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen
Im letzten Schritt muss eine Firewallregel mit einem Hide-NAT angelegt werden.
Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.

Beschriftung	Wert	Das Anlegen der Regel
Aktiv:	Ein
Quelle:	WireGuard-DNS-Relay-Interface
Ziel:	Remote-DNS-Server
Dienst:	domain-udp
Aktion:	ACCEPT
[-] NAT
Typ:	HIDENAT Optional, wenn Domaincontroller nicht auf Anfragen aus dem Transfernetz antworten möchte.
Netzwerkobjekt:	internal-interface

Auf Hinzufügen oder Hinzufügen und Schließen klicken, um diese Regel abzuspeichern.