Request for help by Newbie: Best way to configure DNS

Please see the DNS Best Practice sticky at https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566

Hi,

I would normally put the OpenDNS servers as forwarders in the DNS server, and then let the DHCP server give out the UTM’s IP as DNS server.  This creates a local DNS cache on your UTM, and means the internal clients on your UTM won’t need to contact external DNS servers.

Is there any reason you use other DNS servers for specific devices?

Thanks.
Andrew.

Thank you.

Re [Is there any reason you use other DNS servers for specific devices?]

The default DNS servers for Netflix on our Roku appear to be the Google DNS servers.  I prefer to use OpenDNS DNS as several of our other devices use OpenDNS Umbrella Prosumer.  I'm not sure if this matters, but we've had a difficult time getting the Roku and Netflix to work behind the Sophos UTM.  Currently, we have configured the Sophos UTM Web Protection with the Roku in the Transparent Mode skiplist.  Even with that, sometimes Netflix menus do not always load properly.

I'm inferring from your answer that I can remove the OpenDNS DNS settings from the bridge DNS settings and just use the forwarders.  Is that correct?  

Thank you

if you have Active directory i use a different setup than what is recommended by bob simply because it performs better in my experience.  Do you have active directory?  if not go with the recommendations..if you do let me know.

Have you reviewed the manual and online help for these settings?

Network Services->DNS->Forwarders
These are the DNS servers the UTM will use for its own lookups.

Network Services->DHCP->(dhcp instance)
The DNS servers specified here are distributed to the DHCP clients.  Some clients/software may ignore this setting entirely or selectively.  Limitations in WebAdmin prevent the configuration of different DNS servers for different hosts in the same DHCP instance.

Potential problems you may encounter:
When proxying web traffic the UTM may make its own independent DNS lookup and provide content from a different IP than where the client thinks it sent its request.  (I haven't verified this behavior recently.)

Firewall rules may prevent network devices from accessing their configured (either by you or the vendor) DNS servers.

Mixing OpenDNS and Google DNS servers in your Forwarders may consistently not return the (filtered) results you expect.

When proxying web traffic the UTM may make its own independent DNS lookup and provide content from a different IP than where the client thinks it sent its request. (I haven't verified this behavior recently.)

When in a Standard mode, the Proxy looks up IPs.  In a Transparent mode, the client looks up the IP, and the Proxy uses the IP found by the client.

I would use the link Scott gave in Post #2 for computers.  William's approach also works, but don't try to mix the two.  For the Roku, just make a Firewall rule allowing access to the Google name servers.  

Cheers - Bob

How do you have your Roku set up?  Specifically, what is the ip address, subnet mask, default gateway, DNS configured on the device?  Is it DHCP  provided by the UTM or some other DHCP server on the network?  Is it statically assigned?  As a test, what happens if you give the device Google DNS servers statically vs OpenDNS servers?  

Make sure that, if you are not using the Sophos UTM as your DNS proxy and, instead, want to have devices perform DNS lookups directly to Internet servers, you configure firewall rules to allow access to those servers, depending on how restrictive you have your firewall rules set up.

All - Much appreciated

Euphrates- Re the Roku, I ended up (for now, until I figure out something better), put the Roku in the Web Protection "Transparent Mode Skiplist".  I tried a variety of Web Protection exemptions, all of which resulted in various errors in the stream, missing channels, freezing videos,...

I centered on a couple of different posts elsewhere in the forum:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/45596

and https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46191

The latest Web Protection I tried was 

^https?://([A-Za-z0-9.-]*\.)?ne?t?fli?x(img|ext|video)?\.(com|net)/
^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
^https?://([A-Za-z0-9.-]*\.)?netflix-*\.vo\.llnwd\.net
^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
^https?://([A-Za-z0-9.-]*\.)?googleusercontent\.com
^https?://([A-Za-z0-9.-]*\.)?edgecastcdn\.net
^https?://([A-Za-z0-9.-]*\.)?amazonaws\.com
^https?://([A-Za-z0-9.-]*\.)?github\.com/
^https?://([A-Za-z0-9.-]*\.)?githubusercontent\.com
^https?://([A-Za-z0-9.-]*\.)akamaihd\.net
^https?://([A-Za-z0-9.-]*\.)llnwd\.net/
^https?://([A-Za-z0-9.-]*\.)cloudfront\.net/
^https?://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*
^https?://([A-Za-z0-9.-]*\.)cloudflare\.com/

for Authentication / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check / Do not display Download/Scan progress page.  

However, that resulted in freezing videos and missing channels, not just for Netflix, but also for Roku in general.  

If there is a more robust set of exceptions, please let me know what they are and I will be glad to try them.  I'd like to tighten down security, and it seems to me that putting the Roku into the Transparent Mode skiplist defeats some of the original purpose of the Sophos Home UTM.  

Thank you

Euphrates- Re the Roku, I ended up (for now, until I figure out something better), put the Roku in the Web Protection "Transparent Mode Skiplist".  I tried a variety of Web Protection exemptions, all of which resulted in various errors in the stream, missing channels, freezing videos,...

I centered on a couple of different posts elsewhere in the forum:

https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/43951-netflix-android-now-being-blocked-why-7.html

and https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/50903-exception-rule-netflix-streaming.html

The latest Web Protection I tried was 

^https?://([A-Za-z0-9.-]*\.)?ne?t?fli?x(img|ext|video)?\.(com|net)/
^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
^https?://([A-Za-z0-9.-]*\.)?netflix-*\.vo\.llnwd\.net
^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
^https?://([A-Za-z0-9.-]*\.)?googleusercontent\.com
^https?://([A-Za-z0-9.-]*\.)?edgecastcdn\.net
^https?://([A-Za-z0-9.-]*\.)?amazonaws\.com
^https?://([A-Za-z0-9.-]*\.)?github\.com/
^https?://([A-Za-z0-9.-]*\.)?githubusercontent\.com
^https?://([A-Za-z0-9.-]*\.)akamaihd\.net
^https?://([A-Za-z0-9.-]*\.)llnwd\.net/
^https?://([A-Za-z0-9.-]*\.)cloudfront\.net/
^https?://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*
^https?://([A-Za-z0-9.-]*\.)cloudflare\.com/

for Authentication / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check / Do not display Download/Scan progress page.  

However, that resulted in freezing videos and missing channels, not just for Netflix, but also for Roku in general.  

If there is a more robust set of exceptions, please let me know what they are and I will be glad to try them.  I'd like to tighten down security, and it seems to me that putting the Roku into the Transparent Mode skiplist defeats some of the original purpose of the Sophos Home UTM.  

Thank you

You can try this tread here:

https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/37541-master-list-web-exceptions.html

Honestly, I use a PS3 for Netflix streaming and I pretty much did the same.  Unfortunately, trying to create exceptions, even when you get them right, still means it has to go through the proxy and, that alone, can cause grief when using streaming devices.  

The only thing you will have to do is run the thing and then filter the proxy logs by its ip address and see what all it is doing and try your best to keep up with things.  Unfortunately, with all the data likely coming from CDNs and other misc networks, you will be at it for the rest of your life.  It would be nice if those CDNs, etc, could be proxied or otherwise, noted, i.e cdn.netflix.level3.com or something like that, so you could just put in netflix.com and cdn.netflix.level3.com.  However, the engineering on that would be...fun.

Your solution tends to be the accepted one.  Have a single device or multiple devices that ONLY perform that function and bypass them from Web Protection.