[SOLVED]DNS best practice?

There are two ways to configure DNS:

One way:
- Allowing DNS outgoing for your internal nameservers
- internal nameservers forwarding to ISP-DNS
- ASG pointing to internal nameservers 

Another way:
- ASG forwarding to ISP-nameservers
- "request routing" on ASG for internal domain pointing to internal nameservers
- internal nameservers forwarding to ASG
 
Which way do you use? And why? Which is "officially preferred"?
Both configurations seem working good for me, we run the first alternative on our cluster, the second in branch offices without internal dns (domain dns reachable via site2site-vpn).

Thanks for your ideas!
Thomas

  • Barry, now the reports works as expected! In the while I joined ASG to domain for SSO, this is the only modification...

    Ii prefer to send the screenshot by email, is it possible?

    thanks
  • If it's working, it shouldn't be necessary, but I'll PM you my email address.

    Barry
  • I use Astaro DNS for the Lan side DNS/caching and simpledns/IIS7 for the wan side DNS /kernel caching.  I don't allow recursion for anyone other than my box and drop the rest..spoofs. But now Astaro firewall drops the internal IP spoofs from Wan side before saving resources, so cool beans. I use both with similar results. I've also used squid but got more control with plugins from simpledns for years now. That combo is sick. 
    mike
  • Hello,

    I should use 2 different suffixes with the VPN SSL virtual adapter. 
    In the tab "remote access - advanced"  I have only one field named Domain Name. 

    I tried to put in "dom1.com;dom2.net" or "dom1.com dom2.net" but the name resolution is failing. 

    Could you help me please?
  • Having multiple suffixes is not possible.  The purpose of having a 'Domain Name' field is to let users type, for example, "ping servername" instead of forcing them to type "ping servername.domain.local".  Maybe what you need is two entries on the 'Request Routing' tab.

    Cheers - Bob
  • In reply to BAlfson:

    Thank you BAlfson.
  • 5.In 'Request Routing', the internal DNS is used for reverse DNS of internal IPs (for example if your internal subnet is 172.16.20.0/24, you would have '20.16.172.in-addr.arpa -> {Internal DNS}'. With that, the Astaro can list machine names instead of internal IP addresses in the reports.

    BAlfson
    In this step you say "request routing" is this how it should be entered?
    New Request route
    Domain = '20.16.172.in-addr.arpa 
    Target Servers = dns server and ip address


    Thanks
    Steve
  • In reply to BAlfson:

    You might have seen the model we use as I've described it in many places here:


    Hi, can anyone explain why I should use ASG as a DNS forwarder at all? What's behind the suggested model? I did some reading already and still cannot understand it.

    Basically, I am having difficulties with my current configuration which I inherited and I want to do it right if I decide to change it. But first I need to fully understand what I am doing.

    Someone who configured ASG for us seems to have done it totally wrong.
    - there is an internal DNS on the DC
    - it has our ISP DNS as forwarders (2), then the google DNS
    - on ASG there is nothing in the list of allowed networks on the Global tab
    - in the forwarders list on ASG there is the internal DNS, google, and the checkbox "use forwarders assigned by ISP" is selected

    We were experiencing DoS attacks from the outside on UDP/TCP ports 53. Desperate to stop it and not having enough time to figure out how to configure this properly I just blocked the ports 53 coming to the external IP address of our network.

    What I need is just that the PCs which are on the internal network and are all in the same domain could use the internet, i.e. resolve internal and external names. We use DHCP.

    So what would you recommend me to do? The suggested (best) configuration still?
  • Hi,

    I don't understand why the port 53 traffic was not blocked before; did you have it open on the internet?

    The reason to use Astaro's DNS resolver is that it should be more secure than your internal DNS server (especially if you don't patch the server regularly).

    The simplest change would be for you to point your DC to Astaro for Internet DNS, and add your Internal Networks and DMZs to the 'Allowed Networks' in Astaro's DNS settings.

    You might find OpenDNS or GoogleDNS are faster than your ISP, btw.

    "in the forwarders list on ASG there is the internal DNS, google, and the checkbox "use forwarders assigned by ISP" is selected"

    The checkbox overrides the list, fyi.

    Barry
  • In reply to BarryG:

    Hi,

    I don't understand why the port 53 traffic was not blocked before; did you have it open on the internet?



    I don't understand it either. As I said I am in the process of re-examining all the settings. Thanks for the explanation. It is all summing up now in my head
  • Mr. BAlfson

    I need clarification on the DNS best practices.
    I recently tried to OpenVPN to PrivateInternetAccess from a device_A on Internal#1, and it wouldn't work

    Previously I did successfully connected to a remote openvpn server from device_A from within Internal#1 all I had to do is create a firewall rule that allowed device_A + ANY -> static-Public-IP of the remote server device, and it work flawlessly.

    going back to the PrivateInternetAccess issue, they do not provide static IPs but names, to reach their openvpn gateways,
    at first it did not connect at all with a rule like this device_A + ANY -> privateinternetaccess_dns_name
    then I modified the rule temporarely like this device_A + ANY -> internetIPv4
    that allowed device_A to connect to PIA gateway ( let's call them like that from now on).
    but
    when tunneled to PIA's gateway , 
    device_A can ping Google
    can traceroute Google
    can nslookup Google,
     but can't display it's webpages in FireFox

    I contacted them , to learn that they might be messing the DNS normal behavior, that explained , I think , why my first rule wouldn't work...
    so 
    I began looking at my DNS settings in the UTM_9 , wich led me to this post, 

    in the different tabs I got in the UTM 
    GLOBAL-> I have all my Internal interfaces listed there
    FORWARDERS -> I have the 2 OpenDNS's  DNS servers address + unchecked ISP thing,
    but 'currently assigned forwarder' displays my ISP's IP...
    REQUEST ROUTING -> is empty
    STATIC ENTRIES -> are now network definitions, so it's empty
    DYNAMIC DNS -> contain 1 service that I use to find my UTM when I'm away

    am I doing anything wrong? 
    could I change something to improve my DNS situation?
    because before trying PIA , I could openvpn from  device_A ( not the UTM client )  to other remote locations just fine,
  • REQUEST ROUTING -> is empty

    So, we assume that there is no internal name server.

    but can't display it's webpages in FireFox

    What do you see in the Web Filtering log file when there's no display.

    Cheers - Bob
  • In reply to BAlfson:

    So, we assume that there is no internal name server.


    Nope, there's nothing defined there, I couldn't figure out why I would need this, I read the help page about that :
    " this server could be used as an alternate server to resolve DNS queries for a domain you do not want to be resolved by DNS forwarders" 

    There are no names right now wich I want to resolve inside over going to the regular DNS forwarder,  
    what's the real use for that?

    What do you see in the Web Filtering log file when there's no display.


    Nothing Web filtering is OFF in the 'GLOBAL' tab.
  • PIA's support says that it's a Firewall issue, 
    I think it's a DNS issue , 
    so 
    How can I totally DMZ that one PC, just to make sure it's not Firewall related?

    Thanks
  • Before changing things around, try #1 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065 - any hints there?

    Cheers - Bob