Thread Info
  • State Suggested Answer
  • +2 person also asked this people also asked this
  • Locked Locked
  • Replies 56 replies
  • Answers 1 answer
  • Subscribers 12 subscribers
  • Views 379003 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED]DNS best practice?

tbrandl

There are two ways to configure DNS:

One way:
- Allowing DNS outgoing for your internal nameservers
- internal nameservers forwarding to ISP-DNS
- ASG pointing to internal nameservers 

Another way:
- ASG forwarding to ISP-nameservers
- "request routing" on ASG for internal domain pointing to internal nameservers
- internal nameservers forwarding to ASG
 
Which way do you use? And why? Which is "officially preferred"?
Both configurations seem working good for me, we run the first alternative on our cluster, the second in branch offices without internal dns (domain dns reachable via site2site-vpn).

Thanks for your ideas!
Thomas



BAlfson's DNS Best Practice's post has been moved to it's own highlighted thread here: https://community.sophos.com/utm-firewall/f/recommended-reads/122972/dns-best-practice
[edited by: FloSupport at 11:12 AM (GMT -7) on 18 Sep 2020]
  • 0
    Hi,
    The second is more secure, as it protects your internal nameservers from being 'poisoned'.

    Also, you don't have to do request routing, you can just have DHCP assign the internal nameservers' IPs.

    Barry
  • 0
    I use DHCP to point the local machines to our internal DNS server, with the ASG box as the second choice. That allows us to add local DNS names for the machines on our 192.168.x.0 subnet, while maintaining a failover in case the local DNS server becomes unavailable. The local DNS server points to the ASG box, making ASG the sole point of contact with external DNS servers. The external DNS servers used are  Open DNS, with our ISP's regular DNS server as a lower priority alternative. Open DNS, if you have an account with them (which is free) allows for a level of DNS customization that you won't get from your ISP.
  • 0
    They're ordered alphabetically in V7 and V8, so changing the hostnames is the only way.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    They're ordered alphabetically in V7 and V8, so changing the hostnames is the only way.


    Thank you Bob, but the alphabetical order is also used by astaro for establish their priority? In other words:

    DNS A
    DNS B

    The primary DNS server is always A, is it right?
  • 0
    It depends on how you have your internal name server configured. In Windows Server, for example, workstation.mydomain.local is resolved by entries in the Forward Lookup Zones.  ***.yyy.168.192.in-addr.arpa is reolved by entries in Reverse Lookup Zones.  If you don't have DNS on your server configured to create reverse-zone entries automatically, then there's no information to retrieve. [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    It depends on how you have your internal name server configured. In Windows Server, for example, workstation.mydomain.local is resolved by entries in the Forward Lookup Zones.  ***.yyy.168.192.in-addr.arpa is reolved by entries in Reverse Lookup Zones.  If you don't have DNS on your server configured to create reverse-zone entries automatically, then there's no information to retrieve. [;)]

    Cheers - Bob


    Hi bob, 
    in reverse lookup zone I have a lot of ptr pointer with ipaddress - hostname, so it should work, I think!
  • 0
    Can you post a screenshot?

    Barry
  • +1 in reply to BarryG
    Can you post a screenshot?

    Barry


    Screenshot of the reports?
  • 0
    Screenshot of the DNS configurations, including the reverse entries.

    Barry
  • 0
    Barry, now the reports works as expected! In the while I joined ASG to domain for SSO, this is the only modification...

    Ii prefer to send the screenshot by email, is it possible?

    thanks
Unfiltered HTML