[SOLVED]DNS best practice?

If it's working, it shouldn't be necessary, but I'll PM you my email address.

Barry

I use Astaro DNS for the Lan side DNS/caching and simpledns/IIS7 for the wan side DNS /kernel caching.  I don't allow recursion for anyone other than my box and drop the rest..spoofs. But now Astaro firewall drops the internal IP spoofs from Wan side before saving resources, so cool beans. I use both with similar results. I've also used squid but got more control with plugins from simpledns for years now. That combo is sick. 
mike

Hello,

I should use 2 different suffixes with the VPN SSL virtual adapter. 
In the tab "remote access - advanced"  I have only one field named Domain Name. 

I tried to put in "dom1.com;dom2.net" or "dom1.com dom2.net" but the name resolution is failing. 

Could you help me please?

Having multiple suffixes is not possible.  The purpose of having a 'Domain Name' field is to let users type, for example, "ping servername" instead of forcing them to type "ping servername.domain.local".  Maybe what you need is two entries on the 'Request Routing' tab.

Cheers - Bob

Thank you BAlfson.

5.In 'Request Routing', the internal DNS is used for reverse DNS of internal IPs (for example if your internal subnet is 172.16.20.0/24, you would have '20.16.172.in-addr.arpa -> {Internal DNS}'. With that, the Astaro can list machine names instead of internal IP addresses in the reports.

BAlfson
In this step you say "request routing" is this how it should be entered?
New Request route
Domain = '20.16.172.in-addr.arpa 
Target Servers = dns server and ip address


Thanks
Steve

Hi,

I don't understand why the port 53 traffic was not blocked before; did you have it open on the internet?

The reason to use Astaro's DNS resolver is that it should be more secure than your internal DNS server (especially if you don't patch the server regularly).

The simplest change would be for you to point your DC to Astaro for Internet DNS, and add your Internal Networks and DMZs to the 'Allowed Networks' in Astaro's DNS settings.

You might find OpenDNS or GoogleDNS are faster than your ISP, btw.

"in the forwarders list on ASG there is the internal DNS, google, and the checkbox "use forwarders assigned by ISP" is selected"

The checkbox overrides the list, fyi.

Barry

Hi,

I don't understand why the port 53 traffic was not blocked before; did you have it open on the internet?

I don't understand it either. As I said I am in the process of re-examining all the settings. Thanks for the explanation. It is all summing up now in my head

Mr. BAlfson

I need clarification on the DNS best practices.
I recently tried to OpenVPN to PrivateInternetAccess from a device_A on Internal#1, and it wouldn't work

Previously I did successfully connected to a remote openvpn server from device_A from within Internal#1 all I had to do is create a firewall rule that allowed device_A + ANY -> static-Public-IP of the remote server device, and it work flawlessly.

going back to the PrivateInternetAccess issue, they do not provide static IPs but names, to reach their openvpn gateways,
at first it did not connect at all with a rule like this device_A + ANY -> privateinternetaccess_dns_name
then I modified the rule temporarely like this device_A + ANY -> internetIPv4
that allowed device_A to connect to PIA gateway ( let's call them like that from now on).
but
when tunneled to PIA's gateway , 
device_A can ping Google, 
can traceroute Google, 
can nslookup Google,
 but can't display it's webpages in FireFox

I contacted them , to learn that they might be messing the DNS normal behavior, that explained , I think , why my first rule wouldn't work...
so 
I began looking at my DNS settings in the UTM_9 , wich led me to this post, 

in the different tabs I got in the UTM 
GLOBAL-> I have all my Internal interfaces listed there
FORWARDERS -> I have the 2 OpenDNS's  DNS servers address + unchecked ISP thing,
but 'currently assigned forwarder' displays my ISP's IP...
REQUEST ROUTING -> is empty
STATIC ENTRIES -> are now network definitions, so it's empty
DYNAMIC DNS -> contain 1 service that I use to find my UTM when I'm away

am I doing anything wrong? 
could I change something to improve my DNS situation?
because before trying PIA , I could openvpn from  device_A ( not the UTM client )  to other remote locations just fine,

REQUEST ROUTING -> is empty

So, we assume that there is no internal name server.

but can't display it's webpages in FireFox

What do you see in the Web Filtering log file when there's no display.

Cheers - Bob