[SOLVED]DNS best practice?

So, we assume that there is no internal name server.

Nope, there's nothing defined there, I couldn't figure out why I would need this, I read the help page about that :
" this server could be used as an alternate server to resolve DNS queries for a domain you do not want to be resolved by DNS forwarders" 

There are no names right now wich I want to resolve inside over going to the regular DNS forwarder,  
what's the real use for that?

What do you see in the Web Filtering log file when there's no display.

Nothing Web filtering is OFF in the 'GLOBAL' tab.

PIA's support says that it's a Firewall issue, 
I think it's a DNS issue , 
so 
How can I totally DMZ that one PC, just to make sure it's not Firewall related?

Thanks

Before changing things around, try #1 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065 - any hints there?

Cheers - Bob

OK so I opened the 3 live logs before re-attempting to connect openvpn from device_A and i applied a filter on device_A's IP

 Intrusion Prevention stayed empty 
Application Control stayed empty

Firewall showed a dozen of green and white lines mentionning device_A, the green one also mentionned the firewall rule I created ( device_A -> ANY= Internet IPv4)
this , initially when connecting, 
but after the tunnel was successfully established, nothing, 
successful pings successful tracereoutes and un-successful webpages showed no additionnal lines in the firewall logs, as if once the tunnel established, the apckets were not traveling to the UTM under the device_A's IP...

White lines?  That implies that a NAT rule is in use.  Maybe you just need http://www.sophos.com/en-us/support/knowledgebase/115191.aspx. 

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Yes white lines,
according to the help:
    Red: The packet was dropped.
    Yellow: The packet was rejected.
    Green: The packet was allowed.
    Gray: The action could not be determined.

what the WHITE lines mean ???

I read the link you provided , and I don't understand half of it, 
I re-read it, and I can't , I mean , I'm not sure I can say that the UseCaseScenario applies to my case ...
especially that I do use DNS forwarders, because mainly I think I should, ain't sure .... , 
then for this they provide a step-by-step wich I don't understand at all , 
1-
I don't have a FQDN for my UTM( maybe my DynDNS name), I don't have an internal server, it's a client piece of software, 

if  I go the other with solution 2-
I don't have a DNAT rule for this, I can't forward a bunch of services to that device, some other devices use thoses services too, 

I think that the solution, for now, is to put that device on another Internal interface, and DMZ it, to make it work first, then, try to think of a workaround to bring it back to my populated internal interface...

How can I configure an internal interface to be DMZ?

Here's the thing

connecting a PC with OpenVPN to PrivateInternetAccess (PIA)
uses:  UDP port 9201, 1194, 8080 and 53 as well as TCP port 443, 110, 80

the gateway I want to connect to is: "us-east.privateinternetaccess.com"

PIA has DNS servers wich are: 209.222.18.222 and 209.222.18.218

my concerned PC is : device_A

I have 1x External interface, 1x Internal interface
If someone can explain me how to apply what is described in that article: UTM: Accessing Internal or DMZ servers from Internal Networks using DNAT

and 4x spare interfaces
in case someone would explain me how to make 1x that is DMZed 

thanks

Please show the white lines from the Firewall log as well as the line or two after each white line. 

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

this is when I connect the Tunnel to PIA
***
21:35:38 Default DROP UDP 71.218.22.91 : 56494 → 199.192.234.127 : 61713 len=80 ttl=110 tos=0x00
21:35:38 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
21:35:40 DNS request UDP 192.168.10.204 : 56761 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
21:35:40 Packet filter rule #3 UDP 192.168.10.204 : 56761 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
21:35:40 DNS request UDP 192.168.10.204 : 57944 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
21:35:40 Packet filter rule #3 UDP 192.168.10.204 : 57944 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
21:35:40 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
21:35:41 DNS request UDP 192.168.10.204 : 40547 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
21:35:41 Packet filter rule #3 UDP 192.168.10.204 : 40547 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
21:35:42 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
21:35:42 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
21:35:42 Default DROP UDP 72.91.237.235 : 65327 → 199.192.234.127 : 61713 len=80 ttl=115 tos=0x00
***

this is when I disconnect the Tunnel to PIA
***
Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
Default DROP UDP 72.91.237.235 : 39979 → 199.192.234.127 : 17369 len=269 ttl=115 tos=0x00
Default DROP UDP 71.218.22.91 : 38626 → 199.192.234.127 : 17369 len=279 ttl=111 tos=0x00
DNS request UDP 192.168.10.204 : 52539 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
Packet filter rule #3 UDP 192.168.10.204 : 52539 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
DNS request UDP 192.168.10.204 : 32557 → 209.222.18.222 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
Packet filter rule #3 UDP 192.168.10.204 : 32557 → 209.222.18.222 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
DNS request UDP 192.168.10.204 : 32557 → 209.222.18.218 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
Packet filter rule #3 UDP 192.168.10.204 : 32557 → 209.222.18.218 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
DNS request UDP 192.168.10.204 : 30529 → 209.222.18.218 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
Packet filter rule #3 UDP 192.168.10.204 : 30529 → 209.222.18.218 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
DNS request UDP 192.168.10.204 : 49591 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
Packet filter rule #3 UDP 192.168.10.204 : 49591 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
Default DROP UDP 72.91.237.235 : 65327 → 199.192.234.127 : 61713 len=80 ttl=115 tos=0x00
Default DROP UDP 71.218.22.91 : 56494 → 199.192.234.127 : 61713 len=80 ttl=110 tos=0x00

***

192.168.10.204 => device_A
209.222.18.222 is 1 of the PIA's DNS server wich are set in DNS forwarders page of the UTM, 
199.192.234.127 is my current public IP
packet filter rule #3 is the the following : device_A -> ANY => Internet IPv4
"packet filter" are GREEN
"request" are WHITE
"drop" are RED

my DNS forwarders page contain 
the 2x PIA's  DNS server IPs
the check to use ISP's DNS is OFF
and the 'displayed' current forwarders are( I don't get that one....) :
10.250.0.7
24.226.147.201

Hi,

see Bob's RULZ post first https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065

Barry