notempty
- Bezeichnungen korrigiert: Statt Domainweiterleitung wird der Begriff DNS Forwarding verwendet
- Beispielkonfiguration: Safe Search bei externem DHCP Server (02.2023)
Einleitung
Namensauflösung ist das Verfahren, welches es ermöglicht, Namen von Computern bzw. Diensten in eine Adresse (IP) aufzulösen (z.B.: support.securepoint.de in 85.209.185.22). Die UTM kann eine Namensauflösung an einen anderen Nameserver weiterleiten oder zu einer IP Adresse einen bestimmten Namen finden (Reverse Lookup).
Zusätzlich gibt es die Funktion DNS Forwarding, die es erlaubt alle DNS Anfragen an einen bestimmten Nameserver weiterzuleiten.
Der Artikel zu den Netzwerkwerkzeugen bietet eine Übersicht der Daten, die in einem Nameserver verwaltet werden.
DNS Forwarding
Ein DNS Forwarding wird dazu verwendet, um alle DNS Anfragen, die an den Nameserver der Firewall gestellt werden an eine andere IP weiterzuleiten.
DNS Forwarding hinzufügen
Menü DNS Forwarding Schaltfläche
ReiterBeschriftung | Wert | Beschreibung | |
---|---|---|---|
IP-Adresse | 192.168.175.2 | Die IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen | |
Der Eintrag wird durch diese Schaltfläche gespeichert |
Die Änderungen im DNS Forwarding müssen ebenfalls mit der Schaltfläche
gesichert werden.
Domain Forwarding durch einen VPN-Tunnel
Hier ist zu beachten, daß standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird jedoch nicht in einen VPN-Tunnel geroutet.
Nameserver der Firewall festlegen
Relay anlegen
Menü
SchaltflächeDie Änderungen in der Zone müssen ebenfalls durch klicken der Schaltfläche
gespeichert werden.
Netzwerkobjekt anlegen
Über die Navigationsleiste Netzwerkobjekte wird das Netzwerkobjekt unter angelegt. Für das IPSec Netzwerk muss ein Netzwerkobjekt angelegt werden.
Reiter
Regel erstellen
Im letzten Schritt muss eine Firewallregel, mit einem Hide-NAT angelegt werden. Diese bewirkt das die DNS-Weiterleitung auch in den Tunnel, und nicht direkt in das Internet, geht. Über die Navigationsleiste
wird die Anwendung ausgewählt und unter kann eine Regel hinzugefügt werden.Der Eintrag kann durch die Schaltfläche
Der Portfilter muss über die Schaltfläche aktualisiert werden.
Mit dieser Regel werden nun alle Domain-UDP-Anfragen die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genatet und können somit in den IPSec-Tunnel geleitet werden.
Safe Search bei externem DHCP Server
Wenn ein externer DHCP Server verwendet wird, funktioniert der aktive Webfilter Safe Search bei Suchmaschinen, speziell bei Google, bei der Bildersuche oft nicht.
Damit dieser Webfilter auch da greift, müssen folgende Forward-Zonen für alle ccTLDs (siehe https://www.google.com/supported_domains : www.google.de, www.google.ch, ...) eingerichtet werden. Über die Navigationsleiste wird mit eine Forward-Zone hinzugefügt: