Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 7 replies
  • Answers 1 answer
  • Subscribers 9 subscribers
  • Views 1625 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos XG 210 reverse dns einrichten

R1100 R1100

Hallo Zusammen,

ich kenn die Sophos FW noch nicht. Ich habe eine funktionierende Installation von meinem Vorgänger übernommen. 

Aktuell existieren zwei Netze mir jeweils einen WAN Port für das Internet. 

Ich möchte die vorhanden Installation nicht anfassen und ein weiteres Netz aufbauen. 

Das vorhandene Netz ist 10.200.0.0/24

Das neue 10.100.150.0/24

Für das neue Netzt sind noch keine Maschinen vorhanden. Ich habe in der FW einen DHCP eingerichtet. Ich konnte einen Client mit dem neuen Netz verbinden. Ich habe eine IP-Adresse bekommen und habe Internet. Für die Instalaltion weiterer Maschinen benötige ich einen funktionierenden reverse dns.Wie kann ich bitte in der FW so einen Eintrag einbauen. Versucht habe ich es unter Network/DNS/DNS host entry. Hier habe ich einen Eintrag gemacht mit dem Hostname, die feste IP des Server und Reverse DNS lookup aktiviert. Dennoch wird der Name nicht aufgelöst. Ist das die flache Stelle?



Added TAGs
[edited by: Erick Jan at 5:36 AM (GMT -7) on 30 May 2023]
  • 0

    Hallo,

    wenn Du einen DNS Eintrag erstellst, kannst Du auch einen Reverse Eintrag machen (Configure --> Network --> DNS --> DNS Host Entry):  

    Ben

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Ben@Network

    ja, habe ich. Funktioniert leider nicht. Vermutlich liegt es daran dass unter Network/DNS/DNS configuration  bei DNS1 + DNS2 der lokale DNS Server angegeben ist vom bestehenden Netz. Bei DNS3 ist die 8.8.8.8 eingetragen. Ich benötige für das neue Netz zunächst einen anderen DNS eben von der Sophos. Geht das möglicherweise nicht?

  • 0 in reply to R1100 R1100

    Damit das funktioniert, muss die Firewall in der DNS-Kette enthalten sein. Im einfachsten Falle fragt der Client direkt den DNS-Server auf der Firewall ab und diese hat einen Forwarder ins Internet. Wenn Du noch Namen von DNS1/2 brauchst, kannst Du auf der Firewall eine DNS Request Route für die internen Domains setzen.

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Ben@Network

    sorry, habe ich nicht ganz verstanden. aus dem neuen Netz 10.100.150.0/24 benötige ich keinen Zugriff auf das vorhandene Netz 10.200.0.0/24. Das neue Netz benötigt somit auch nicht die DNS Server 10.200.90.6+7 die in der FW als DNS1+DNS2 eingetragen sind. Die Frage ist nur, wie kann das neue Netzt NUR auf den internen DNS der Sophos zugreifen? Oder ist das technisch nicht machbar wenn DNS1 + DNS2 belegt sind?

  • 0 in reply to R1100 R1100

    Nun bin ich verwirrt. Auf der Firewall in dem DHCP-Server für das Netz 10.200.0.0/24 trägst du die IP der Firewall in diesem Netz (vermutlich 10.200.0.1?) als ersten (Primary) DNS-Server ein. Damit fragt der Client die Namen bei der Firewall an und die Reverse Auflösung sollte funktionieren. 

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Ben@Network

    Entschuldige tausend mal. Das vorhandene Netz auf 10.200.0.0/24 funktioniert auch mit dem DNS. Wir haben zwei DNS Server 10.200.90.6 und 10.200.90.7 das sind beide Windows Server 2019 die funktionieren auch einwandfrei wenn es um Anfragen innerhalb des 10.200.0.0/24 Netzes geht!

    Das Problem ist NUR beim neuen Netz 10.100.150.0/24. Ich verwende die selbe Sophos Hardware. In Ihrer Config unter DNS stehen ja die zwei DNS Server 10.200.90.6 und 10.200.90.7. Das neue Netz muss ja völlig isoliert sein und darf nicht in das bestehende eingreifen und somit sieht es auch die zwei DNS Server nicht. Damit ich den ESXi und den VCSA sauber installieren kann benötige ich reverse dns. Diese dns Einträge können nicht von den vorhanden DNS Servern verwaltet werden und müssen von den integrierten DNS Server der Sophos bedient werden, wenn möglich. Ich weis eben nicht ob das überhaupt möglich ist. 

  • 0 in reply to R1100 R1100

    Du kannst die DNS Dienste der XG natürlich von innen auch ansprechen wenn sie auf den Zonen freigegeben sind.
    Kenn die XG eine IP versucht sie natürlich auch die Auflösung zwischen den Netzen zu machen und dann fehlt durch deine Trennung der richtige weg dahin.
    Ich würde in der XG als DNS Server externe Server eintragen, und für die beiden WinServer eine DNS Requestroute für die bediente Domain erstellen. So kann die XG alles für WAN bedienen und die interne Auflösung von Clients die zu 10.200.90.6 und 10.200.90.7 müssen werden von der XG entsprechend weitergegeben und sauber beantwortet.

Unfiltered HTML