Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Wie verarbeitet die Sophos DNS Anfragen bei mehr als einem Internet Anschluss

Schönen guten Tag zusammen,

hier habe ich eine Frage die mich grade brennend interessiert.

Ich habe zum Beispiel in der Sophos unter Netzwerk -> DNS  8.8.8.8 und 8.8.4.4 eingetragen. Weiter hat die Sophos 3 Internet Anschlüsse.

Für jede Internetverbindung gibt es eine SD-WAN Regel.

Wenn ich jetzt mit dem Client A der über die Telekom geht, eine Internetseite aufrufe. Wird dann auch über die Telekomleitung der Google DNS z.B. 8.8.8.8 verwendet?

Oder entscheidet die Sophos das selber, über welche Internetleitung die DNS-Anfrage stellt wird. Zum Beispiel Leitung 2 Vodafone?

LG

Patrick



Ergänzung
[bearbeitet von: Patrick81 um 5:07 PM (GMT -8) am 26 Nov 2024]
  • Moin Patrick, 

    soweit ich weiß, regelt die Sophos dies nicht automatisch im Normalfall.

    In der Regel sollten auch bei Client A, der über Telekom geroutet wird, die DNS Anfragen über Telekom laufen.


    Wenn du, wie in deinem Fall, eine SD WAN Route gebaut hast, wird die Sophos, diese auch nutzen.

    Heißt also:

    Wenn eine Regel besagt, dass der Client A  immer über die Telekom-Leitung gehen soll, dann wird auch die DNS-Anfrage über diese Leitung geschickt.

    Ausnahmen wären, wenn es eine FW-Regel gibt, die expliziert auf eine DNS-Umleitung aufweist oder wenn es für DNS Traffic gesonderte Regeln gibt.

    Beste Grüße

    Sylvain

  • Hello Slight smile

    Danke das ist schonmal ein Hinweis, ich würde es gerne genau wissen. In der Regel habe ich die gleiche Annahme wie du, das würde auch der Logik entsprechen. Aber in der Tat habe ich den Verdacht (kein Beweis), das die Sophos sich da auch gerne anhand von Leitungsauslastung entscheidet.

    Wie komme ich da drauf?

    Ich verwende seit gut 4 Wochen die Sophos DNS Protection bei all meinen Kunden. In der DNS Protection muss die Public IP des Kunden angeben werden, oder ein DNS Eintrag. Ansonsten kann der Sophos DNS nicht verwendet werden!

    Bei einer Firewall hatte ich das Problem, das wenn ich eine direkte DNS Anfrage an die Firewall schicke,  nslookup google.de 192.168.162.254 wurde die DNS Abfrage mal beantwortet mal nicht! Bekomme ich das erste mal keine Antwort, schicke ich es nochmal los und nochmal und nach dem 2 oder 3 mal kommt die Antwort, in selten fällen auch bei der ersten Abfrage.

    Die Browser haben gar kein Problem Seiten (DNS) aufzulösen, weil diese das bis zu einem gewissen Punkt eigenständig kompensieren können, DNS Stammhinweise, Cash etc.

    In dieser Firewall, gib es 5 Öffentliche IP-Adressen, die rein EINGEND verwendet werden. Drüber geht kein Client raus, die haben anderen Internetleitungen.

    Mir ist aufgefallen, dass ich die 5 IP-Adressen nicht in der Sophos DNS Protection eingetragen habe, weil ich diese nur eingehend brauche. Nach dem ich aber diese 5 IPs ergänzt habe, war jede DNS Abfrage erfolgreich und das oben beschriebene Problem war weg.

    Ich habe alle SD-WAN Routen etc geprüft, genau wie die Firewall Regeln und SNAT Regeln.

    Weil ich es halt grade nicht verstehe, habe ich diese leicht "Heimtückische" Frage gestellt.

    LG

    Patrick 

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • DNS ist ein Sys-Gen Traffic. Das bedeutet, für Sys-Gen Traffic wird auch die SD-WAN Regeln verwendet (abhängig davon, ob sys-gen für SD-WAN aktiv ist). 

    __________________________________________________________________________________________________________________

  • Also was ich mir vorstellen könnte, ist das die Sophos die Anfragen nicht als valide erkennt, denn die DNS Protection überprüft in der Regel die öffentliche IP oder den angegeben DNS Eintrag um überhaupt zu wissen, ob die Anfrage in Ordnung ist. 

    Wenn die IP Adressen nicht in der DNS Protection hinterlegt sind, könnte es schon sein, das die Sophos diese Anfragen nicht als autorisiert erkennt.

  • Vielleicht könnte aber auch ein Sophos Mechanismus greifen, der wie du vermutest, je nach Lastabhängigkeit individuell entscheidet.

  • Heißt das, wenn keine spezifische SD-WAN-Regel für Sys-Gen-Traffic vorhanden ist, greift entweder die Standardroute oder ein Fallback-Mechanismus, der je nach Lastverteilung oder Gateway-Verfügbarkeit entscheidet?

  • Genau. Wenn SD-WAN und statische Route fehlt, nutzt das System den WAN Link Manager. 

    __________________________________________________________________________________________________________________

  • Super Perfect, Danke Toni!!!!!!!!!!

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!