Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 26417 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Request for help by Newbie: Best way to configure DNS

northc
I'm new to Sophos Home UTM, learning quickly.  Installed 9.3 on an i5 mini-itx pc, firewall is up and running.  This is my first post.  I've read through all the posts I can find on DNS setup, but could not find a definitive answer.  Here is my question:

What is the best way to set up DNS?  

My preferred DNS is OpenDNS (I use OpenDNS Umbrella Prosumer).  I also (believe I) need to use Google DNS at times for a Roku and possibly an Amazon Echo.

I have a 6 port device with all 5 LAN ports bridged for now.  I have set up one DHCP server on that bridge (Bridge0), and for that DHCP Server, I specified the two OpenDNS servers.  This is in Network Services--DHCP--Bridge0

I also added Google DNS and OpenDNS in Network Services--DNS--DNS Forwarders, and checked "Use Forwarders Assigned by ISP".  I also added Google DNS and OpenDNS to Network Services--Request Routing.

Is this set up good, or will it likely prove problematic?  What do you suggest, and why? 

Thank you very much in advance


This thread was automatically locked due to age.
Parents
  • 0
    Euphrates- Re the Roku, I ended up (for now, until I figure out something better), put the Roku in the Web Protection "Transparent Mode Skiplist".  I tried a variety of Web Protection exemptions, all of which resulted in various errors in the stream, missing channels, freezing videos,...

    I centered on a couple of different posts elsewhere in the forum:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/45596

    and https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46191

    The latest Web Protection I tried was 

    ^https?://([A-Za-z0-9.-]*\.)?ne?t?fli?x(img|ext|video)?\.(com|net)/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://([A-Za-z0-9.-]*\.)?netflix-*\.vo\.llnwd\.net
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^https?://([A-Za-z0-9.-]*\.)?googleusercontent\.com
    ^https?://([A-Za-z0-9.-]*\.)?edgecastcdn\.net
    ^https?://([A-Za-z0-9.-]*\.)?amazonaws\.com
    ^https?://([A-Za-z0-9.-]*\.)?github\.com/
    ^https?://([A-Za-z0-9.-]*\.)?githubusercontent\.com
    ^https?://([A-Za-z0-9.-]*\.)akamaihd\.net
    ^https?://([A-Za-z0-9.-]*\.)llnwd\.net/
    ^https?://([A-Za-z0-9.-]*\.)cloudfront\.net/
    ^https?://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*
    ^https?://([A-Za-z0-9.-]*\.)cloudflare\.com/

    for Authentication / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check / Do not display Download/Scan progress page.  

    However, that resulted in freezing videos and missing channels, not just for Netflix, but also for Roku in general.  

    If there is a more robust set of exceptions, please let me know what they are and I will be glad to try them.  I'd like to tighten down security, and it seems to me that putting the Roku into the Transparent Mode skiplist defeats some of the original purpose of the Sophos Home UTM.  

    Thank you
Reply
  • 0
    Euphrates- Re the Roku, I ended up (for now, until I figure out something better), put the Roku in the Web Protection "Transparent Mode Skiplist".  I tried a variety of Web Protection exemptions, all of which resulted in various errors in the stream, missing channels, freezing videos,...

    I centered on a couple of different posts elsewhere in the forum:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/45596

    and https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46191

    The latest Web Protection I tried was 

    ^https?://([A-Za-z0-9.-]*\.)?ne?t?fli?x(img|ext|video)?\.(com|net)/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://([A-Za-z0-9.-]*\.)?netflix-*\.vo\.llnwd\.net
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^https?://([A-Za-z0-9.-]*\.)?googleusercontent\.com
    ^https?://([A-Za-z0-9.-]*\.)?edgecastcdn\.net
    ^https?://([A-Za-z0-9.-]*\.)?amazonaws\.com
    ^https?://([A-Za-z0-9.-]*\.)?github\.com/
    ^https?://([A-Za-z0-9.-]*\.)?githubusercontent\.com
    ^https?://([A-Za-z0-9.-]*\.)akamaihd\.net
    ^https?://([A-Za-z0-9.-]*\.)llnwd\.net/
    ^https?://([A-Za-z0-9.-]*\.)cloudfront\.net/
    ^https?://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*
    ^https?://([A-Za-z0-9.-]*\.)cloudflare\.com/

    for Authentication / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check / Do not display Download/Scan progress page.  

    However, that resulted in freezing videos and missing channels, not just for Netflix, but also for Roku in general.  

    If there is a more robust set of exceptions, please let me know what they are and I will be glad to try them.  I'd like to tighten down security, and it seems to me that putting the Roku into the Transparent Mode skiplist defeats some of the original purpose of the Sophos Home UTM.  

    Thank you
Children
  • 0 in reply to northc
    Euphrates- Re the Roku, I ended up (for now, until I figure out something better), put the Roku in the Web Protection "Transparent Mode Skiplist".  I tried a variety of Web Protection exemptions, all of which resulted in various errors in the stream, missing channels, freezing videos,...

    I centered on a couple of different posts elsewhere in the forum:

    https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/43951-netflix-android-now-being-blocked-why-7.html

    and https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/50903-exception-rule-netflix-streaming.html

    The latest Web Protection I tried was 

    ^https?://([A-Za-z0-9.-]*\.)?ne?t?fli?x(img|ext|video)?\.(com|net)/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://([A-Za-z0-9.-]*\.)?netflix-*\.vo\.llnwd\.net
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^https?://([A-Za-z0-9.-]*\.)?googleusercontent\.com
    ^https?://([A-Za-z0-9.-]*\.)?edgecastcdn\.net
    ^https?://([A-Za-z0-9.-]*\.)?amazonaws\.com
    ^https?://([A-Za-z0-9.-]*\.)?github\.com/
    ^https?://([A-Za-z0-9.-]*\.)?githubusercontent\.com
    ^https?://([A-Za-z0-9.-]*\.)akamaihd\.net
    ^https?://([A-Za-z0-9.-]*\.)llnwd\.net/
    ^https?://([A-Za-z0-9.-]*\.)cloudfront\.net/
    ^https?://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*
    ^https?://([A-Za-z0-9.-]*\.)cloudflare\.com/

    for Authentication / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check / Do not display Download/Scan progress page.  

    However, that resulted in freezing videos and missing channels, not just for Netflix, but also for Roku in general.  

    If there is a more robust set of exceptions, please let me know what they are and I will be glad to try them.  I'd like to tighten down security, and it seems to me that putting the Roku into the Transparent Mode skiplist defeats some of the original purpose of the Sophos Home UTM.  

    Thank you


    You can try this tread here:

    https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/37541-master-list-web-exceptions.html

    Honestly, I use a PS3 for Netflix streaming and I pretty much did the same.  Unfortunately, trying to create exceptions, even when you get them right, still means it has to go through the proxy and, that alone, can cause grief when using streaming devices.  

    The only thing you will have to do is run the thing and then filter the proxy logs by its ip address and see what all it is doing and try your best to keep up with things.  Unfortunately, with all the data likely coming from CDNs and other misc networks, you will be at it for the rest of your life.  It would be nice if those CDNs, etc, could be proxied or otherwise, noted, i.e cdn.netflix.level3.com or something like that, so you could just put in netflix.com and cdn.netflix.level3.com.  However, the engineering on that would be...fun.

    Your solution tends to be the accepted one.  Have a single device or multiple devices that ONLY perform that function and bypass them from Web Protection.
Unfiltered HTML