This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS hinterlegen

Guten Abend,

ich dachte, dass das eigentlich eine ganz einfache Frage ist, aber nach der Suche hier im Forum bin ich komplett verwirrt. Vielleicht kann mir jemand unter die Arme greifen:

Ich möchte, dass alle Endgeräte in meinem Haushalt einen bestimmten externen DNS nutzen. Früher hab ich sowas in jedem Gerät einzeln hinterlegt, aber nachdem ich ja jetzt eine Sophos UTM habe, muss das doch einfacher und zentral gehen? Und am besten noch ein verschlüsselter DNS (DNS over TLS)?

Kurz:

1) Wo kann ich in meiner Sophos UTM einen externen DNS hinterlegen, der dann nach Möglichkeit von allen Endgeräten genutzt wird?

2) Funktionieren auch DNS-Server mit Verschlüsselung? Wenn ja, ist hier gesondert etwas zu beachten?

3) Wie kann ich am Ende überprüfen, ob wirklich alle Anfragen von diesem einen neuen DNS aufgelöst werden (und nicht z.B. der DNS meines Providers reingrätscht)?

Vielen lieben Dank!

Gruß Chris

PS:       Current firmware version:        9.709-3



This thread was automatically locked due to age.
Parents
  • Hallo Chris,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Start with DNS best practice.  Since you don't have a separate DNS server internally, just configure the clients to request DNS directly from the UTM.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

    PS With your Redensart, I felt like I was "home" in Bayern where I spent my first month in Germany years ago.

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Danke Bob! Ein wenig schlauer bin ich jetzt...

    1. Ich habe jetzt unter DNS --> Forwarders einen externen DNS (nennen wir ihn Jeff) eingetragen und den Haken bei "Use forwarders assigned by ISP" entfernt. Unter DNS --> Global --> Allowed Networks steht schon "Internal (Network). Mein PC, an dem ich gerade Sitze, gibt als verwendeten DNS die IP der Sophos UTM an. Wenn ich das alles richtig zusammenzähle, sollte mein PC jetzt Jeff als DNS für alle Anfragen verwenden, richtig?
    2. Wie prüfe ich denn, ob das wirklich der Fall ist? Ein nslookup macht da ja wenig Sinn, da mir mein PC dann ja nur die IP von der Sophos UTM ausgibt. Die einzige Möglichkeit, die ich gefunden habe, war ein DNS-Leak Test im Netz (https://www.dnsleaktest.com/). Dort wird mir jetzt zumindest Jeff angezeigt. Gibt es da bessere/andere Methoden? Vielleicht über die Shell auf der Sophos UTM?
    3. DNS over TLS oder DNS over HTTPS geht nicht?

    Danke für deine Zeit,

    Gruß Chris

  • Hallo Chris,

    nslookup ist genau das richtige tool dafür.

    Mit einem "nslookup www.heise.de" sollte dir deine UTM die IP liefern.

    DNS over TLS oder DNS over HTTPS geht nicht mit der UTM als DNS-proxy !

    Auch ist in der UTM-WebAdmin-oberfläche ein DNS-test enthalten (Support/tools).


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Danke, dass DoT und DoH nicht unterstützt wird ist ärgerlich (weiß jemand zufällig, ob das bei Sophos XG Firewall Home geht? Wäre ja fast ein Grund für den Umstieg...).

    Beim Thema "Prüfen, welcher DNS verwendet wird", reden wir womöglich noch aneinander vorbei, ich probiers nochmal:

    Normalerweise bekommt man als Nutzer ja nicht mit, mit welchem DNS die Website aufgelöst wurde, die man gerade besucht. Ein nslookup unter Windows wäre eine Möglichkeit, allerdings kommt da bei mir nur die lokale IP der Sophos UTM (klar, weil Adapter unter Windows auf automatischen DNS-Bezug steht). Wenn ich mich jetzt auf der Shell der UTM einlogge und dort nslookup mache, liefert er mir die 127.0.0.1. Das bringt mich also auch nicht wirklich weiter...

    Zuletzt Die Tools unter Support/Tools: Die liefern mir gar keinen verwendeten DNS.

    Und vielleicht könnte mir noch jemand Punkt 1) von oben kurz bestätigen.

  • zu Punkt 1) ... Jeff als Forwarder mit entferntem ISP-Haken ist gut. Wenn mehrere DNS-Server als Failover verwendet werden sollen, löse ich das mit einer Verfügbarkeitsgruppe.

    Eine Möglichkeit, den letztendlich verwendeten DNS-Server festzustellen, gibt es wahrscheinlich nicht. Es sind eh alles cache-Server, die selber wieder andere fragen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • zu Punkt 1) ... Jeff als Forwarder mit entferntem ISP-Haken ist gut. Wenn mehrere DNS-Server als Failover verwendet werden sollen, löse ich das mit einer Verfügbarkeitsgruppe.

    Eine Möglichkeit, den letztendlich verwendeten DNS-Server festzustellen, gibt es wahrscheinlich nicht. Es sind eh alles cache-Server, die selber wieder andere fragen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data