|
|
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 5: |
Zeile 5: |
| {{var | display | | {{var | display |
| | Nameserver | | | Nameserver |
| | }} | | | Nameserver }} |
| {{var | head | | {{var | head |
| | Nameserver Konfiguration auf der UTM | | | Nameserver Konfiguration auf der UTM |
| | }} | | | Nameserver configuration on the UTM }} |
| {{var | Einleitung
| |
| | Einleitung
| |
| | }}
| |
| {{var | Voraussetzungen
| |
| | Voraussetzungen
| |
| | }}
| |
| {{var | Einleitung--desc
| |
| | Der Nameserver der UTM bietet:
| |
| * Forward-Zonen: Namensauflösung (FQDN) in IP-Adressen
| |
| * Reverse-Zonen: IP-Adressen in FQDN)
| |
| * Relay-Zonen: Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören
| |
| * DNS Forwarding: Weiterleiten sämtlicher DNS Anfragen
| |
| | }}
| |
| {{var | Regeln für DNS auf Interface
| |
| | Um den Nameserver der UTM nutzen zu können, muss im Paketfilter eine Regel mit dem jeweiligen Netz als Quelle und dem Ziel {{spc|interface|o|''xy-''Interface}} existieren.<br>
| |
| Als Dienst muss mindestens {{spc|dienste|o|dns}} erlaubt werden (''Port 53 für TCP und UDP''). <br>
| |
| Es emfpiehlt sich in der Regel jedoch die Dienstgruppe {{spc|dienste|o|proxy}} zu verwenden. Dies gibt weitere Ports für Dienste wie z.B. den transparenten Proxy, webcache oder einen Ping frei.
| |
| | }}
| |
| {{var | Beschreibung der Typen
| |
| | Beschreibung der Typen
| |
| | }}
| |
| | |
| {{var | Forward-Zone
| |
| | Forward-Zone
| |
| | }}
| |
| {{var | Forward-Zone--desc
| |
| | Eine Foward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet. <br>Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain gezeigt. <br>
| |
| Wird der DNS der Firewall zur Auflösung verwendet, soll eine private IP aus dem internen Netz zurückgegeben werden.
| |
| | |
| Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist. <br>Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden. <p>Einrichtung unter {{Menu-UTM|Anwendungen|Nameserver|Zonen|Forward-Zone hinzufügen|+}}</p>
| |
| | }}
| |
| {{var | Nameserver der Firewall festlegen
| |
| | Nameserver der Firewall festlegen
| |
| | }}
| |
| {{var | Nameserver der Firewall festlegen--desc
| |
| | Im ersten Schritt muss die UTM selbst als Nameserver der Firewall festgelegt werden.
| |
| | |
| # Konfiguration unter {{Menu-UTM|Netzwerk|Servereinstellungen|Servereinstellungen}} Abschnitt {{Kasten|DNS-Server}}
| |
| # Feld {{b|Primärer Nameserver}} als IP die {{ic|127.0.0.1}} (localhost) setzen.
| |
| # Speichern mit {{Button-dialog||fa-save}}
| |
| | }}
| |
| {{var | Nameserver--Hinweis
| |
| | Wird kein Nameserver hinterlegt, werden DNS-Anfragen über die root-DNS-Server und die dort hinterlegten DNS-Server für die Top-Level-Domains aufglöst
| |
| | }}
| |
| {{var |
| |
| |
| |
| | }}
| |
| {{var | Nameserver der Firewall festlegen--Bild
| |
| | UTM v12.6 Nameserver Servereinstellungen.png
| |
| | UTM v12.6 Nameserver Servereinstellungen-en.png }}
| |
| {{var | Nameserver der Firewall festlegen--cap
| |
| | Nameserver IP
| |
| | }}
| |
| {{var | Servereinstellungen
| |
| | Servereinstellungen
| |
| | }}
| |
| {{var | Netzwerk
| |
| | Netzwerk
| |
| | }}
| |
| {{var | A-RR anlegen
| |
| | A-RR anlegen
| |
| | }}
| |
| {{var | Zonenname
| |
| | Zonenname:
| |
| | }}
| |
| {{var | Zonenname--val
| |
| | webserver.anyideas.de
| |
| | }}
| |
| {{var | Zonenname--desc
| |
| | Gewünschte Domain für den Zonennamen
| |
| | }}
| |
| {{var | Zonenname--Bild
| |
| | UTM v12.6 Nameserver Forwardzone Schritt 1.png
| |
| | UTM v12.6 Nameserver Forwardzone Schritt 1-en.png }}
| |
| {{var | Zonenname--cap
| |
| | Schritt 1
| |
| | }}
| |
| {{var | Forward-Zone hinzufügen
| |
| | Forward-Zone hinzufügen
| |
| | }}
| |
| {{var | Anwendungen | | {{var | Anwendungen |
| | Anwendungen | | | Anwendungen |
| | }} | | | Application }} |
| {{var | Nameserver Hostname
| |
| | Nameserver Hostname:
| |
| | }}
| |
| {{var | Nameserver Hostname--val
| |
| | localhost
| |
| | }}
| |
| {{var | Nameserver Hostname--desc
| |
| | Als Nameserver dient die UTM selbst
| |
| | }}
| |
| {{var | Nameserver Hostname--Bild
| |
| | UTM v12.6 Nameserver Forwardzone Schritt 2.png
| |
| | UTM v12.6 Nameserver Forwardzone Schritt 2-en.png }}
| |
| {{var | Nameserver Hostname--cap
| |
| | Schritt 2
| |
| | }}
| |
| {{var | IP-Adresse
| |
| | IP-Adresse:
| |
| | }}
| |
| {{var | IP-Adresse--val
| |
| | Diese Zeile kann leer bleiben
| |
| | }}
| |
| {{var | IP-Adresse--desc
| |
| | Abschluss des Assistenten mit der Schaltfläche {{Button|Fertig}}
| |
| | }}
| |
| {{var | 1=IP-Adresse--Hinweis
| |
| | 2=<li class="list--element__alert list--element__hint">Die IP-Adresse ist nur dann erforderlich, wenn der '''Nameserver in der Zone liegt, die gerade erstellt wird''' und <u>nicht</u> der localhost, also die UTM selbst ist</li>
| |
| | 3= }}
| |
| {{var | IP-Adresse--Bild
| |
| | UTM v12.6 Nameserver Forwardzone Schritt 3.png
| |
| | UTM v12.6 Nameserver Forwardzone Schritt 3-en.png }}
| |
| {{var | IP-Adresse--cap
| |
| | Schritt 3
| |
| | }}
| |
| {{var | Bearbeiten
| |
| | Bearbeiten
| |
| | }}
| |
| {{var | Nameserver Zone--desc
| |
| | Die Zone kann durch einen Klick auf den Schraubenschlüssel bearbeitet werden
| |
| | }}
| |
| {{var | Nameserver Zone--Bild
| |
| | UTM v12.6 Nameserver Zone bearbeiten.png
| |
| | UTM v12.6 Nameserver Zone bearbeiten-en.png }}
| |
| {{var | Nameserver Zone--cap
| |
| | Zonen Übersicht
| |
| | }}
| |
| | |
| {{var | Zone bearbeiten--Bild
| |
| | UTM v12.6 Nameserver Forwardzone.png
| |
| | UTM v12.6 Nameserver Forwardzone-en.png }}
| |
| {{var | Zone bearbeiten
| |
| | Zone bearbeiten
| |
| | }}
| |
| {{var | Einstellungen
| |
| | Einstellungen
| |
| | }}
| |
| {{var | Einstellungen--Typ--desc
| |
| | Einstellungen für Forward Zonen
| |
| | }}
| |
| {{var | Aktualisierung
| |
| | Aktualisierung:
| |
| | }}
| |
| {{var | Aktualisierung--desc
| |
| | Frequenz, mit der der Eintrag aktualisiert wird
| |
| | }}
| |
| {{var | Sekunden
| |
| | Sekunden
| |
| | }}
| |
| {{var | Retry
| |
| | Retry
| |
| | }}
| |
| {{var | Retry--desc
| |
| | Wiederholung der Aktualisierung bei Fehlschlag
| |
| | }}
| |
| {{var | Läuft ab
| |
| | Läuft ab:
| |
| | }}
| |
| {{var | Läuft ab--desc
| |
| | Ablauffrist des Eintrags (beginnt nach erfolgreicher Aktualisierung erneut}}
| |
| | }}
| |
| {{var | Minimum
| |
| | Minimum:
| |
| | }}
| |
| {{var | Minimum--desc
| |
| | {{f|???}}
| |
| | }}
| |
| {{var | Einträge
| |
| | Einträge
| |
| | }}
| |
| {{var | Localhost--desc
| |
| | Es existiert bereits ein NS-Eintrag (mit Punkt am Ende!)
| |
| | }}
| |
| | |
| | |
| {{var | Eintrag hinzufügen
| |
| | Eintrag hinzufügen
| |
| | }}
| |
| {{var | Eintrag hinzufügen--desc
| |
| | Weiteren Record Eintrag hinzufügen
| |
| | }}
| |
| {{var | Eintrag hinzufügen--Bild
| |
| | UTM v12.6 Nameserver Record hinzufügen.png
| |
| | UTM v12.6 Nameserver Record hinzufügen-en.png }}
| |
| {{var | Eintrag hinzufügen--cap
| |
| | Eintrag hinzufügen
| |
| | }}
| |
| | |
| {{var | Name
| |
| | Name
| |
| | }}
| |
| {{var | Name--val
| |
| | webserver.anyideas.de'''.'''
| |
| | }}
| |
| {{var | Name--desc
| |
| | Gewünschter Domain Name
| |
| | }}
| |
| {{var | Name--Hinweis
| |
| | An die Domain wird ein Punkt "." gehängt (<nowiki>=</nowiki>Top-Level)
| |
| | }}
| |
| {{var | Hinzufügen--Typ
| |
| | Typ:
| |
| | }}
| |
| {{var | Hinzufügen--Typ--desc
| |
| | A-Record Eintrag wählen
| |
| | }}
| |
| {{var | Wert
| |
| | Wert:
| |
| | }}
| |
| {{var | Wert--desc
| |
| | IP des Servers, auf den die Domain verweisen soll
| |
| | }}
| |
| {{var | Speichern
| |
| | Speichern
| |
| | }}
| |
| {{var | Record--Speichern--desc
| |
| | Schließt den Dialog für den DNS-Record
| |
| | }}
| |
| {{var | Zone--Speichern--desc
| |
| | Schließt den Dialog zum bearbeiten der Zone
| |
| | }}
| |
| {{var | Typ
| |
| | Typ
| |
| | }}
| |
| {{var | Bearbeiten
| |
| | Bearbeiten
| |
| | }}
| |
| {{var | Bearbeiten--desc
| |
| | Öffnet den Record-Eintrag zum bearbeiten
| |
| | }}
| |
| {{var | Löschen
| |
| | Löschen
| |
| | }}
| |
| {{var | Löschen--desc
| |
| | Löscht den Record-Eintrag
| |
| | }}
| |
| {{var | Record-Typen anzeigen
| |
| | Record-Typen anzeigen
| |
| | }}
| |
| | |
| | |
| {{var | A-RR testen
| |
| | A-RR testen
| |
| | }}
| |
| {{var | A-RR testen--desc
| |
| | Testen des angelegten A-RR unter: {{Menu-UTM|Netzwerk|Netzwerkwerkzeuge|Host}}
| |
| | }}
| |
| {{var | A-RR testen--Bild
| |
| | UTM v12.6 Nameserver A-RR testen.png
| |
| | UTM v12.6 Nameserver A-RR testen-en.png }}
| |
| {{var | Netzwerkwerkzeuge
| |
| | Netzwerkwerkzeuge
| |
| | }}
| |
| {{var | Abfragetyp
| |
| | Abfragetyp
| |
| | }}
| |
| {{var | Abfragetyp--desc
| |
| | Abfragetyp des Angelegten DNS-Records
| |
| | }}
| |
| {{var | Hostname
| |
| | Hostname
| |
| | }}
| |
| {{var | Hostname--desc
| |
| | Webserver-Adresse wie im Record-Eintrag unter ''Name'' eingetragen (mit oder ohne den abschließenden Punkt)
| |
| | }}
| |
| {{var | Nameserver
| |
| | Nameserver
| |
| | }}
| |
| {{var | Nameserver--desc
| |
| | Localhost-Adresse der UTM
| |
| | }}
| |
| {{var | Anwort
| |
| | Anwort
| |
| | }}
| |
| {{var | A-RR testen--fertig2
| |
| | <p>Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, die Domain auf die korrekte IP-Adresse aufgelöst.</p><p>Alternatives Testen durch ein {{code|nslookup webserver.anyideas.de}} von einem Rechner aus dem Netzwerk der UTM</p>
| |
| | }}
| |
| | |
| | |
| {{var | 1=Reverse-Zone--desc
| |
| | 2=* Reverse DNS lookup (rDNS) bezeichnet eine DNS-Anfrage, bei der zu einer IP-Adresse der Name ermittelt werden soll
| |
| <li class="list--element__alert list--element__hint">Als RR-Typen sind nur PTR Resource Records zulässig<br>Bei einem PTR-RR steht eine IP-Adresse als Anfragebasis und ein Name als Ergebnis – im Gegensatz zum A Resource Record, wo ein Name die Anfrage und eine IP-Adresse das Ergebnis darstellt.</li>
| |
| * Genutzt wird ein rDNS lookup häufig im Zusammenhang mit Spamfiltern. <br>Viele Spam-Mails werden von Fake-Domainen versendet. <br>Der Empfänger kann anhand einer Rückauflösung der IP festzustellen ob die Domain auch wirklich zu der ankommenden IP gehört, ist dies nicht der Fall wird die Mail abgewiesen.
| |
| | 3= }}
| |
| {{var | PTR-RR anlegen
| |
| | PTR-RR anlegen
| |
| | }}
| |
| {{var | PTR-RR anlegen--Hinweise
| |
| | Hinweise für PTR-RR
| |
| | }}
| |
| {{var | PTR-RR anlegen--desc
| |
| | Im nächsten Schritt wird der PTR-RR angelegt.
| |
| | |
| Zum Verständnis hier eine kurze Beschreibung:
| |
| | |
| Da es extrem zeitaufwändig wäre, bei einer inversen Anfrage den gesamten Domänen-Baum nach der gewünschten IPv4-Adresse zu durchsuchen wurde eine eigenständige Domäne für inverse Zugriffe gebildet, die in-addr.arpa-Domäne. Unterhalb dieser Domäne existieren lediglich drei Subdomänen-Ebenen, so dass maximal drei Schritte zur Auflösung einer IPv4-Adresse erforderlich sind.
| |
| Die unmittelbaren Subdomänen von in-addr.arpa haben als Label eine Zahl zwischen 0 und 255 und repräsentieren die erste Komponente einer IPv4-Adresse. (Beispiel: 64.in-addr.arpa oder 192.in-addr.arpa).
| |
| Die nächste Ebene im Baum repräsentiert die zweite Komponente einer IPv4-Adresse (Beispiel: 27.64.in-addr.arpa. enthält die IPv4-Adressen 64.27.x.y) und die unterste Ebene schließlich die dritte Komponente (Beispiel: 125.27.64.in-addr.arpa enthält alle bekannten IPv4-Adressen des Netzes 64.27.125.0/24 – also z. B. 64.27.125.60).
| |
| | |
| Wie aus den Beispielen ersichtlich ist, enthält ein reverser Name die IP-Adresskomponenten in umgekehrter Reihenfolge. Diese Struktur ermöglicht ein Verfeinern des reversen Adressraums in mehreren Schritten. In unserem folgenden Einrichtungsbeispiel werden wir mit dem letzten Adressraum (/24) arbeiten.
| |
| | |
| # Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
| |
| # Klicken Sie im erscheinenden Dialog auf den Button Reverse-Zone hinzufügen.
| |
| # Tragen Sie im Step 1 das gewünschte Subnetz ein, indem sich die IP-Adresse zu der gewünschten Domain befindet.
| |
| # Tragen Sie im Step 2 unter Nameserver "localhost" ein und klicken sie auf Fertig.
| |
| | |
| Der Zonenname bildet sich automatisch wie im oberen Beispiel beschrieben.
| |
| | |
| # Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
| |
| # Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
| |
| # Tragen Sie in das Feld "Name", die letzte Zahl der Host-IP ein, die zu der gewünschten Domain gehört (In unserem Beispiel die "60".)
| |
| # Als Typ wählen Sie "PTR".
| |
| # In das Feld Wert tragen Sie die Domain ein auf die die IP-Adresse zeigen soll. An die Domain wird ein Punkt "." angehängt!
| |
| # Klicken Sie auf Hinzufügen.
| |
| # Klicken Sie auf Speichern.
| |
| | }}
| |
| {{var | Zonen
| |
| | Zonen
| |
| | }}
| |
| {{var | Reverse-Zone hinzufügen
| |
| | Reverse-Zone hinzufügen
| |
| | }}
| |
| {{var | PTR-RR anlegen Schritt 1--Bild
| |
| | UTM v12.6 Nameserver Reverszone Schritt 1.png
| |
| | }}
| |
| {{var | PTR-RR anlegen Schritt 1--cap
| |
| | Schritt 1
| |
| | }}
| |
| {{var | PTR-RR anlegen Schritt 1--desc
| |
| | Das gewünschte Subnetz, indem sich die IP-Adresse zu der gewünschten Domain befindet
| |
| | }}
| |
| {{var | PTR-RR anlegen Schritt 2--Bild
| |
| | UTM v12.6 Nameserver Reverszone Schritt 2.png
| |
| | }}
| |
| {{var | PTR-RR anlegen Schritt 2--cap
| |
| | Schritt 2
| |
| | }}
| |
| {{var | PTR-RR anlegen Schritt 2--desc
| |
| | Nameserver ist der ''localhost'', also die UTM selbst
| |
| | }}
| |
| {{var | Fertig--desc
| |
| | Abschluss des Assitenten mit der Schaltfläche {{Button|Fertig}}
| |
| | }}
| |
| {{var | PTR-RR Eintrag hinzufügen--Bild
| |
| | UTM v12.6 Nameserver PTR anlegen.png
| |
| | }}
| |
| {{var | 1=PTR-RR Eintrag hinzufügen--desc
| |
| | 2=Den neu angelegten Eintrag {{Button||w}} <span class=Hover>Bearbeiten</span> und einen {{Button|Eintrag hinzufügen|+}}
| |
| | 3= }}
| |
| {{var | PTR-RR Eintrag hinzufügen--cap
| |
| | PTR-RR Eintrag hinzufügen
| |
| | }}
| |
| {{var | PTR--Name--desc
| |
| | Der letzte Zahlblock der Host-IP, die zu der gewünschten Domain gehört (Im Beispiel die ''60'')
| |
| | }}
| |
| {{var | PTR--Name--val
| |
| | 60
| |
| | }}
| |
| {{var | PTR--Typ--desc
| |
| | PTR (Pointer)-Record
| |
| | }}
| |
| {{var | PTR--Wert--desc
| |
| | Die Domain, auf die die IP-Adresse zeigen soll
| |
| | }}
| |
| {{var | PTR-RR anlegen--fertig
| |
| | Das Anlegen des PTR-RR ist damit abgeschlossen und die Firewall setzt auf Anfrage die IP auf die gewünschte Domain um!
| |
| | }}
| |
| {{var | PTR-RR testen
| |
| | PTR-RR testen
| |
| | }}
| |
| {{var | PTR-RR testen--desc
| |
| | Testen des angelegten PTR-RR unter: {{Menu-UTM|Netzwerk|Netzwerkwerkzeuge|Host}}
| |
| | }}
| |
| {{var | PTR--Hostname--desc
| |
| | IP-Adresse des gewünschten Servers
| |
| | }}
| |
| {{var | PTR-RR testen--Bild
| |
| | UTM v12.6 Nameserver PTR testen.png
| |
| | }}
| |
| {{var | PTR-RR testen--cap
| |
| |
| |
| | }}
| |
| {{var | Antwort
| |
| | Antwort
| |
| | }}
| |
| {{var | PTR--Antwort--desc
| |
| | Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, die IP-Adresse auf die korrekte Domain aufgelöst.
| |
| <p>Alternativ durch ein {{code| nslookup 192.168.222.60}} von einem Rechner aus dem Netzwerk der UTM</p>
| |
| | }}
| |
| {{var | PTR-RR testen--fertig
| |
| | *Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, zu der IP-Adresse die richtige Domain aufgelöst.
| |
| | }}
| |
| {{var | Relay-Zone
| |
| | Relay-Zone
| |
| | }}
| |
| {{var | Relay-Zone--desc
| |
| | Eine Relay-Zone ist für das Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören zuständig. <br>
| |
| '''Anwendungsbeispiel:'''<br>
| |
| * Die Firewall wird im internen Netz von allen Clients als Nameserver verwendet
| |
| * Zusätzlich ist im internen Netz ein Nameserver integriert der für die interne Domänenverwaltung (''anyideas.local'')zuständig ist
| |
| * Möchte nun ein Client einen internen Namen auflösen (z.B.: uma.anyideas.local) wird diese DNS-Anfrage an die Firewall gestellt
| |
| * Durch eine Weiterleitung aller Anfragen auf ''anyideas.local'' an den internen Nameserver können diese ohne Probleme von selbigem aufgelöst werden
| |
| | }}
| |
| {{var | Relay-Zone--Hinweis--externe Domains
| |
| | Anfragen die nicht zur internen Domain gehören, löst die Firewall weiterhin selbst auf
| |
| | }}
| |
| {{var | Relay anlegen
| |
| | Relay anlegen
| |
| | }}
| |
| {{var | Relay-Zone hinzufügen
| |
| | Relay-Zone hinzufügen
| |
| | }}
| |
| {{var | Relay anlegen--desc
| |
| | Relay-Zone anlegen unter {{Menu|Anwendungen|Nameserver||Relay-Zone hinzufügen|+}}<!--
| |
| # Tragen Sie im erscheinenden Dialog die gewünschte Domain in das Feld Zonenname ein. Wählen sie als Typ Relay und tragen Sie in das Feld IP-Adresse, die Adresse des entfernten Nameservers ein. (Gibt es mehrere Nameserver/Domaincontroller die für diese Domain zuständig sind, kann die zweite IP mit einem Simlikolon getrennt´, hinter der ersten IP angegeben werden.)
| |
| # Klicken Sie auf Speichern.-->
| |
| | }}
| |
| {{var | Relay anlegen--Bild
| |
| | UTM v12.6 Nameserver Relayzone hinzufuegen.png
| |
| | }}
| |
| {{var | Zonenname
| |
| | Zonenname
| |
| | }}
| |
| {{var | Zonenname--desc
| |
| | Domain, die von einem internen DNS-Server verwaltet wird
| |
| | }}
| |
| {{var | Relay--Typ--desc
| |
| | Zonentyp ist ''Relay''
| |
| | }}
| |
| {{var | Server
| |
| | Server
| |
| | }}
| |
| {{var | Server hinzufügen
| |
| | Server hinzufügen
| |
| | }}
| |
| {{var | Server hinzufügen--Bild
| |
| | UTM v12.6 Nameserver Relayzone Server hinzufuegen.png
| |
| | }}
| |
| {{var | Server hinzufügen--cap
| |
| |
| |
| | }}
| |
| {{var | Server hinzufügen--IP-Adresse--desc
| |
| | IP-Adresse des internen DNS-Servers
| |
| | }}
| |
| {{var | Port
| |
| | Port:
| |
| | }}
| |
| {{var | Server hinzufügen--Port--desc
| |
| | Default: ''53'' für DNS-Anfragen
| |
| | }}
| |
| {{var | Server hinzufügen--Speichern--desc
| |
| | Speichert die Angaben und schließt den Dialog
| |
| | }}
| |
| {{var | Relay-Zone--Bild
| |
| | UTM v12.6 Nameserver Relayzone.png
| |
| | }}
| |
| {{var | Relay-Zone--cap
| |
| | Nameserver mit Relay-Zonen für IPv4 und IPv6
| |
| | }}
| |
| {{var | neu--IPv6 in Releyzone
| |
| |
| |
| | }}
| |
| {{var | ab v12.2.2
| |
| | ab v12.2.2 § IPv6-Adressen in der Reley-Zone
| |
| | }}
| |
| | |
| | |
| {{var | Relay anlegen--fertig
| |
| | Das Anlegen der Relay-Zone ist damit abgeschlossen und die Firewall leitet alle Anfragen auf die Domain an den gewünschten Nameserver weiter!
| |
| | }}
| |
| {{var | DNS Forwarding
| |
| | DNS Forwarding
| |
| | }}
| |
| {{var | DNS Forwarding--desc
| |
| | Ein DNS Forwarding wird dazu Verwendet um '''alle''' DNS Anfragen, die an den Nameserver der Firewall gestellt werden, an eine andere IP-Adresse weiterzuleiten.
| |
| | }}
| |
| {{var | Forwarding anlegen
| |
| | DNS Forwarding anlegen
| |
| | }}
| |
| {{var | Forwarding anlegen--Menu
| |
| | Konfiguration unter {{Menu-UTM|Anwendungen|Nameserver|DNS Forwarding|DNS Forwarding hinzufügen|+}}
| |
| <!-- Anlegen einer Domainweiterleitung
| |
| # Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
| |
| # Klicken Sie im erscheinenden Dialog auf den Tab DNS Forwarding.
| |
| # Klicken sie auf Domainweiterleitung hinzufügen.
| |
| # Tragen sie die gewünschte IP-Adresse ein, an den die DNS Anfragen geschickt werden sollen.
| |
| # Klicken Sie auf Speichern. -->
| |
| | }}
| |
| {{var | Forwarding anlegen--desc
| |
| | IP-Adresse des DNS-Servers, der sämtliche DNS Anfragen beantworten soll
| |
| | }}
| |
| {{var | Forwarding anlegen--Bild
| |
| | UTM v12.6 Nameserver DNS Forwarding hinzufügen.png
| |
| | }}
| |
| {{var | DNS Forwarding hinzufügen
| |
| | DNS Forwarding hinzufügen
| |
| | }}
| |
| {{var | Forwarding anlegen--fertig
| |
| | Das DNS Forwarding ist nun angelegt und sämtliche DNS Anfragen werden an die gewünschte IP-Adresse weitergeleitet.
| |
| | }}
| |
| {{var | Forwarding anlegen--fertig--Bild
| |
| | UTM v12.6 Nameserver DNS Forwarding.png
| |
| | }}
| |
| {{var | Forwarding anlegen--fertig--cap
| |
| | DNS Forwarding
| |
| | }}
| |
| | |
| {{var | DNS-Server hinter IPSec-Tunnel
| |
| | DNS-Server hinter IPSec-Tunnel
| |
| | }}
| |
| {{var | DNS-Server hinter IPSec-Tunnel--desc
| |
| | Sollen DNS Anfragen an einen entfernten Nameserver weitergeleitet werden, der sich in einem Netz hinter einem IPSec-Tunnel befindet, sind besondere Konfigurationen vorzunehmen.
| |
| | }}
| |
| {{var | DNS-Server hinter IPSec-Tunnel--Hinweis
| |
| | Hier ist zu beachten das standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen (öffentlichen) IP-Adresse aus geschickt werden. <br>Eine öffentlich IP-Adresse wird jedoch nicht in einen IPSec-Tunnel geroutet!
| |
| | }}
| |
| {{var | DNS-Server hinter SSL-Tunnel--Hinweis
| |
| | Prinzipiell ist diese Konfiguration auch für SSL-VPN-Verbindungen möglich. Hier gibt es aber auch eine einfachere Kommunikation ohne HideNAT
| |
| | }}
| |
| {{var | Relay-Forwarding gleichermaßen
| |
| | Diese Beschreibung gilt gleichermaßen für '''Relay-Zonen''' wie auch für '''DNS Forwarding'''
| |
| | }}
| |
| {{var | DNS-Server hinter IPSec-Tunnel--Kurzfassung
| |
| | Übersicht:<br>
| |
| * Es wird ein Netzwerkobjekt für das Netz, in dem der DNS-Server steht erstellt
| |
| * Eine Paketfilterregel mit einem HideNAT bewirkt die DNS-Weiterleitung auch in den Tunnel
| |
| | }}
| |
| {{var | Netzwerkobjekt hinzufügen
| |
| | Netzwerkobjekt hinzufügen
| |
| | }}
| |
| {{var | Netzwerkobjekt hinzufügen--Bild
| |
| | UTM v12.6 Nameserver Netzwerkobjekt anlegen.png
| |
| | }}
| |
| {{var | Netzwerkobjekte
| |
| | Netzwerkobjekte
| |
| | }}
| |
| {{var | Netzwerkobjekt hinzufügen--cap
| |
| | Dialog Netzwerkobjekt hinzufügen
| |
| | }}
| |
| {{var | Netzwerkobjekt hinzufügen--Menu
| |
| | {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}
| |
| | }}
| |
| {{var | Netzwerkobjekt Name--val
| |
| | vpn-Netzwerk-DNS-Server
| |
| | }}
| |
| {{var | Netzwerkobjekt Name--desc
| |
| | Name für das Netzwerkobjekt<br>ggf. {{ic|ssl-vpn-Netzwerk…}} oder {{ic|ipsec-Netzwerk…}}
| |
| | }}
| |
| {{var | Netzwerkobjekt Typ--val
| |
| | Netzwerk (Adresse)
| |
| | }}
| |
| {{var | Netzwerkobjekt Typ--desc
| |
| | Kein VPN-Netzwerk wählen, da sonst DNS-Anfragen nicht hierher geroutet werden!
| |
| | }}
| |
| {{var | Adresse
| |
| | Adresse
| |
| | }}
| |
| {{var | Adresse--desc
| |
| | IP-Adresse des VPN-Netzwerkes, in dem der DNS-Server steht
| |
| | }}
| |
| {{var | Zone
| |
| | Zone:
| |
| | }}
| |
| {{var | Zone--desc
| |
| | Zone, über die auch der VPN-Tunnel erreicht wird
| |
| | }}
| |
| {{var | Paketfilter Regel anlegen
| |
| | Paketfilter Regel anlegen
| |
| | }}
| |
| {{var | Paketfilter Regel anlegen--Bild
| |
| | UTM v12.6 Nameserver Paketfilter Hidenat.png
| |
| | }}
| |
| {{var | Paketfilter Regel anlegen--cap
| |
| | Dialog Paketfilterregel hinzufügen
| |
| | }}
| |
| {{var | Regel hinzufügen
| |
| | Regel hinzufügen
| |
| | }}
| |
| {{var | Paketfilter
| |
| | Paketfilter
| |
| | }}
| |
| {{var | Quelle | Quelle | Quelle }}
| |
| {{var | Ziel | Ziel | Target }}
| |
| {{var | Dienst | Dienst | Service }}
| |
| {{var | Aktion | Aktion | Action }}
| |
| {{var | Aktiv | Aktiv | Active }}
| |
| {{var | Typ | Typ | Type }}
| |
| {{var | Netzwerkobjekt | Netzwerkobjekt | Networkobject }}
| |
| {{var | Paketfilter Regel anlegen--desc
| |
| | Im letzten Schritt muss eine Firewallregel, mit einem Hide-NAT angelegt werden. Diese bewirkt das die DNS-Weiterleitung auch in den Tunnel, und nicht direkt in das Internet, geht.
| |
| <p>Paketfilter Regel anlegen unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}}</p>
| |
| | }}
| |
| {{var | Quelle--desc
| |
| | Interface, hinter dem das VPN-Netzwerk erreichbar ist
| |
| | }}
| |
| {{var | Ziel--desc
| |
| | Name des zuvor erstellen Netzwerkobjektes
| |
| | }}
| |
| {{var | Dienst--desc
| |
| | ''dns'' gibt die Dienste ''domain-tcp'' und ''domain-udp'' frei
| |
| | }}
| |
| {{var | Dienst--Hinweis AD
| |
| | Bei einer AD-Anbindung über IPSec sollte hier {{spc|dienste|o|windows-domain}} gewählt werden
| |
| | }}
| |
| {{var | Hidenat--desc
| |
| | Das HideNAT sorgt für die Übersetzung der IP-Adressen, die erst damit durch den Tunnel gehen
| |
| | }}
| |
| {{var | Netzwerkobjekt--desc
| |
| | Netzwerkobjekt, hinter dem der VPN-Tunnel mit dem DNS-Server als Ziel erreichbar ist
| |
| | }}
| |
| | |
| | |
| {{var | Netzwerkobjekt Gegenstelle hinzufügen--Bild
| |
| | UTM v12.6 Nameserver SSL-VPN Netzwerkobjekt anlegen.png
| |
| | }}
| |
| {{var | Netzwerkobjekt Gegenstelle hinzufügen
| |
| | Netzwerkobjekt im Netz des DNS-Servers hinzufügen
| |
| | }}
| |
| {{var | Netzwerkobjekt Gegenstelle hinzufügen--cap
| |
| | Netzwerkobjekt '''im Netz des DNS-Servers'''
| |
| | }}
| |
| {{var | Netzwerkobjekt Gegenstelle Name--val
| |
| | ssl-vpn-transfernetz
| |
| | }}
| |
| {{var | Netzwerkobjekt Gegenstelle Name--desc
| |
| | Name für das Netzwerkobjekt
| |
| | }}
| |
| {{var | Netzwerkobjekt Gegenstelle Typ--val
| |
| | VPN-Netzwerk
| |
| | }}
| |
| {{var | Netzwerkobjekt Gegenstelle Typ--desc
| |
| | Typ des Transfernetzes ist ''VPN-Netzwerk''
| |
| | }}
| |
| {{var | Adresse
| |
| | Adresse
| |
| | }}
| |
| {{var | Adresse Gegenstelle--desc
| |
| | Netz IP des Transfernetzes
| |
| | }}
| |
| {{var | Adresse Gegenstelle--info
| |
| | Die DNS-Anfrage kommt von der UTM selbst, daher wird hierfür die Zunnel-IP der UTM verwendet. Streng genommen reicht es auch hier die Tunnel-IP der UTM anzugeben.
| |
| | }}
| |
| {{var | Zone
| |
| | Zone:
| |
| | }}
| |
| {{var | Zone Gegenstelle--desc
| |
| | Zone, über die auch der SSL-VPN-Tunnel ankommt
| |
| | }}
| |
| | |
| | |
| | |
| | |
| {{var | Portfilter Regel anlegen Gegenstelle
| |
| | Portfilter Regel im Netz des DNS-Servers anlegen
| |
| | }}
| |
| {{var | Portfilter Regel im Netz des DNS-Servers--cap
| |
| | Portfilter Regel '''im Netz des DNS-Servers''' 
| |
| | }}
| |
| {{var | Gegenstelle
| |
| | <nowiki>|</nowiki> Netz des DNS-Servers
| |
| | }}
| |
| {{var | Regel erstellen--fertig
| |
| | Mit dieser Regel werden nun alle DNS-Anfragen die über die Firewall an den entfernten Nameserver gestellt werden, über die IP des internen Interfaces genattet und können somit in den VPN-Tunnel geleitet werden.
| |
| | }}
| |
| {{var | DNS-Server hinter SSL-VPN-Tunnel
| |
| | DNS-Server hinter SSL-VPN-Tunnel
| |
| | }}
| |
| {{var | DNS-Server hinter SSL-VPN-Tunnel--desc
| |
| | Steht der DNS-Server hinter einem SSL-VPN-Tunnel gibt es breits eine Route dorthin.<br>Hier reicht im Netz des DNS-Servers eine Regel, die dem Transfernetz des Tunnels Zugriff auf diesen Server erlaubt.
| |
| | }}
| |
| {{var | DNS-Server hinter SSL-VPN-Tunnel--Hinweis--mehrere Netze
| |
| | Gibt es mehrere SSL-VPN-Tunnel bzw. mehrere DNS-Server, muss dieses für '''alle Tunnel''' und '''alle DNS-Server''' konfiguriert werden
| |
| | }}
| |
| {{var | SSL-VPN-Quelle--desc
| |
| | Netzwerkobjekt für das Transfernetz
| |
| | }}
| |
| {{var | SSL-VPN-Ziel--desc
| |
| | Der DNS-Server im Netz hinter dem Tunnel
| |
| | }}
| |
| {{var | SSL-VPN-NAT--desc
| |
| | Kein NAT erforderlich
| |
| | }}
| |
| {{var | Regel SSL-VPN-Ziel--fertig
| |
| | Mit dieser Regel werden DNS-Anfragen von Hosts aus dem Urspungsnetz von der dortigen UTM durch das Transfernetz des SSL-VPN-Tunnels auf den DNS-Server erlaubt
| |
| | }}
| |
| | |
| {{var | mDNS-Repeater
| |
| | mDNS-Repeater
| |
| | }}
| |
| {{var | mDNS-Repeater--desc
| |
| | Der Multicat-DNS-Repeater routet mDNS-Anfragen ziwschen Schnittstellen und Netzwerken, ohne daß hierfür ein extra DNS-Server konfiguriert werden muss.<br>Multicast-fähige Geräte, wie bspw. Drucker können hiermit z.B. über verschiedene Netze hinweg auffindbar gemacht werden.
| |
| | }}
| |
| {{var | mDNS-Repeater--Hinweis
| |
| | Multicast DNS (IP-Adresse 224.0.0.251, Quell- und Zielport 5353 UDP) zur UTM muss auf den definierten Interfaces erlaubt sein
| |
| | }}
| |
| {{var | mDNS-Repeater--Bild
| |
| | UTM v12.6 Nameserver mDNS Repeater.png
| |
| | }}
| |
| {{var | mDNS-Repeater--cap
| |
| | mDNS-Repeater Konfiguration
| |
| | }}
| |
| {{var | MDNS-Repeater aktivieren
| |
| | MDNS-Repeater aktivieren
| |
| | }}
| |
| {{var | MDNS-Repeater aktivieren--desc
| |
| | Aktiviert den Multicast DNS-Repeater
| |
| | }}
| |
| {{var | Schnittstellen
| |
| | Schnittstellen
| |
| | }}
| |
| {{var | Schnittstellen--desc
| |
| | Auswahl der Schnittstellen, zwischen denen mDNS-Anfragen weiter geleitet werden sollen
| |
| | }}
| |
| {{var | Standardverhalten für Netzwerke
| |
| | Standardverhalten für Netzwerke
| |
| | }}
| |
| {{var | Standardverhalten für Netzwerke--desc
| |
| | Alle Netzwerke, die an den Schnittstellen anliegen verwenden den mDNS-Repeater
| |
| | }}
| |
| {{var | Blockierte Netzwerk-Ausnahmen
| |
| | Blockierte Netzwerk-Ausnahmen
| |
| | }}
| |
| {{var | Blockierte Netzwerk-Ausnahmen--desc
| |
| | Netzwerke, aus denen mDNS Anfragen nicht weiter geleitet werden
| |
| | }}
| |
| {{var | Erlaubte Netzwerk-Ausnahmen
| |
| | Erlaubte Netzwerk-Ausnahmen:
| |
| | }}
| |
| {{var | Erlaubte Netzwerk-Ausnahmen--desc
| |
| | Explizite Angabe der Netzwerke, aus denen mDNS Anfragen weiter geleitet werden
| |
| | }}
| |
| {{var | Erlaubte Netzwerk-Ausnahmen--Hinweis
| |
| | Nur bei dekativertem ''Standardverhalten für alle Netzwerke'' {{ButtonAus|ban}}
| |
| | }}
| |
| {{var |
| |
| |
| |
| | }}
| |
| {{var |
| |
| |
| |
| | }}
| |
| {{var |
| |
| |
| |
| | }}
| |
| {{var |
| |
| |
| |
| | }}
| |
| | |
|
| |
|
| ---- | | ---- |