Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 6769 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS issue?

jalil1408
I followed this post to configure my DNS
https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566

From time to time I have a problem "connection to server timed out" when try to access many websites (www.msftncsi.com/ncsi.txt, lci.tf1.fr, blogs.msdn.com, www.cnet.com,....).

How does UTM resolve DNS names (Steps)?
I have an Internal DC DNS, what should be the optimized configuration to avoid the timeout problem?


This thread was automatically locked due to age.
  • 0
    How to check logs to find out the reason of the timeout?
  • 0
    Allowed networks:
    Networks listed here are allowed to use the system as a recursive DNS resolver. You will typically specify your internal networks here. If you already run an internal DNS server (for example as part of Active Directory), you should leave this setting empty.
  • 0
    The difference between mine and Bob's approach is (for AD environments):

    • Do not put anything in 'Global' tab of 'Network Services >> DNS' lists. No internal hosts should use UTM for DNS resolution ever, not even internal Domain Controllers. Internal devices should only point to DC's in DNS settings.
    • Configure DC's to forward requests to ISP DNS servers first, then to Google and OpenDNS servers. Create UTM Firewall rule to allow outbound DNS traffic for DC's.
    • Create Availability Group for DNS Forwarders listing your ISP DNS servers at top, and Google and OpenDNS on bottom and put it in UTM Forwarders tab.


    Try with this approach also.
  • 0 in reply to vilic
    The difference between mine and Bob's approach is (for AD environments):

    • Do not put anything in 'Global' tab of 'Network Services >> DNS' lists. No internal hosts should use UTM for DNS resolution ever, not even internal Domain Controllers. Internal devices should only point to DC's in DNS settings.
    • Configure DC's to forward requests to ISP DNS servers first, then to Google and OpenDNS servers. Create UTM Firewall rule to allow outbound DNS traffic for DC's.
    • Create Availability Group for DNS Forwarders listing your ISP DNS servers at top, and Google and OpenDNS on bottom and put it in UTM Forwarders tab.


    Try with this approach also.


    Works like a charm, no connection timeouts anymore.
    Thank you vilic.
  • 0
    Interesting, vilic.  I want to understand.

    If you have multiple DCs, why not speed up their DNS responses by caching them in the UTM for other DCs to use?

    What do you think was causing his timeouts?

    In other words, I want to add something to the Best Practice post to address a potential problem.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have no idea, probably something with the UTM DNS service.

    I always use described setup and have never had any problems with DNS. There is one hop and one "point of failure" less in DNS name resolution process. 
    Regarding ATP, as recent forum posts proved, there is no benefit of using UTM as a DNS server for this service also.
Unfiltered HTML