This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED]DNS best practice?

There are two ways to configure DNS:

One way:
- Allowing DNS outgoing for your internal nameservers
- internal nameservers forwarding to ISP-DNS
- ASG pointing to internal nameservers 

Another way:
- ASG forwarding to ISP-nameservers
- "request routing" on ASG for internal domain pointing to internal nameservers
- internal nameservers forwarding to ASG
 
Which way do you use? And why? Which is "officially preferred"?
Both configurations seem working good for me, we run the first alternative on our cluster, the second in branch offices without internal dns (domain dns reachable via site2site-vpn).

Thanks for your ideas!
Thomas



BAlfson's DNS Best Practice's post has been moved to it's own highlighted thread here: https://community.sophos.com/utm-firewall/f/recommended-reads/122972/dns-best-practice
[edited by: FloSupport at 11:12 AM (GMT -7) on 18 Sep 2020]
Parents
  • this is when I connect the Tunnel to PIA
    ***
    21:35:38 Default DROP UDP 71.218.22.91 : 56494 → 199.192.234.127 : 61713 len=80 ttl=110 tos=0x00
    21:35:38 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    21:35:40 DNS request UDP 192.168.10.204 : 56761 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:40 Packet filter rule #3 UDP 192.168.10.204 : 56761 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:40 DNS request UDP 192.168.10.204 : 57944 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:40 Packet filter rule #3 UDP 192.168.10.204 : 57944 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:40 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    21:35:41 DNS request UDP 192.168.10.204 : 40547 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:41 Packet filter rule #3 UDP 192.168.10.204 : 40547 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:42 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    21:35:42 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    21:35:42 Default DROP UDP 72.91.237.235 : 65327 → 199.192.234.127 : 61713 len=80 ttl=115 tos=0x00
    ***

    this is when I disconnect the Tunnel to PIA
    ***
    Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    Default DROP UDP 72.91.237.235 : 39979 → 199.192.234.127 : 17369 len=269 ttl=115 tos=0x00
    Default DROP UDP 71.218.22.91 : 38626 → 199.192.234.127 : 17369 len=279 ttl=111 tos=0x00
    DNS request UDP 192.168.10.204 : 52539 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 52539 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    DNS request UDP 192.168.10.204 : 32557 → 209.222.18.222 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 32557 → 209.222.18.222 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    DNS request UDP 192.168.10.204 : 32557 → 209.222.18.218 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 32557 → 209.222.18.218 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    DNS request UDP 192.168.10.204 : 30529 → 209.222.18.218 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 30529 → 209.222.18.218 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    DNS request UDP 192.168.10.204 : 49591 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 49591 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    Default DROP UDP 72.91.237.235 : 65327 → 199.192.234.127 : 61713 len=80 ttl=115 tos=0x00
    Default DROP UDP 71.218.22.91 : 56494 → 199.192.234.127 : 61713 len=80 ttl=110 tos=0x00

    ***

    192.168.10.204 => device_A
    209.222.18.222 is 1 of the PIA's DNS server wich are set in DNS forwarders page of the UTM, 
    199.192.234.127 is my current public IP
    packet filter rule #3 is the the following : device_A -> ANY => Internet IPv4
    "packet filter" are GREEN
    "request" are WHITE
    "drop" are RED

    my DNS forwarders page contain 
    the 2x PIA's  DNS server IPs
    the check to use ISP's DNS is OFF
    and the 'displayed' current forwarders are( I don't get that one....) :
    10.250.0.7
    24.226.147.201
Reply
  • this is when I connect the Tunnel to PIA
    ***
    21:35:38 Default DROP UDP 71.218.22.91 : 56494 → 199.192.234.127 : 61713 len=80 ttl=110 tos=0x00
    21:35:38 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    21:35:40 DNS request UDP 192.168.10.204 : 56761 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:40 Packet filter rule #3 UDP 192.168.10.204 : 56761 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:40 DNS request UDP 192.168.10.204 : 57944 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:40 Packet filter rule #3 UDP 192.168.10.204 : 57944 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:40 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    21:35:41 DNS request UDP 192.168.10.204 : 40547 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:41 Packet filter rule #3 UDP 192.168.10.204 : 40547 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    21:35:42 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    21:35:42 Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    21:35:42 Default DROP UDP 72.91.237.235 : 65327 → 199.192.234.127 : 61713 len=80 ttl=115 tos=0x00
    ***

    this is when I disconnect the Tunnel to PIA
    ***
    Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    Default DROP UDP 72.91.237.235 : 39979 → 199.192.234.127 : 17369 len=269 ttl=115 tos=0x00
    Default DROP UDP 71.218.22.91 : 38626 → 199.192.234.127 : 17369 len=279 ttl=111 tos=0x00
    DNS request UDP 192.168.10.204 : 52539 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 52539 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    DNS request UDP 192.168.10.204 : 32557 → 209.222.18.222 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 32557 → 209.222.18.222 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    DNS request UDP 192.168.10.204 : 32557 → 209.222.18.218 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 32557 → 209.222.18.218 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    DNS request UDP 192.168.10.204 : 30529 → 209.222.18.218 : 53 len=51 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 30529 → 209.222.18.218 : 53 len=51 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    DNS request UDP 192.168.10.204 : 49591 → 209.222.18.222 : 53 len=62 ttl=64 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Packet filter rule #3 UDP 192.168.10.204 : 49591 → 209.222.18.222 : 53 len=62 ttl=63 tos=0x00 srcmac=0:1b:38:78:28:5e dstmac=0:8:c7:c9:6c:75
    Default DROP UDP 157.56.106.189 : 3544 → 199.192.234.127 : 61713 len=84 ttl=48 tos=0x00
    Default DROP UDP 72.91.237.235 : 65327 → 199.192.234.127 : 61713 len=80 ttl=115 tos=0x00
    Default DROP UDP 71.218.22.91 : 56494 → 199.192.234.127 : 61713 len=80 ttl=110 tos=0x00

    ***

    192.168.10.204 => device_A
    209.222.18.222 is 1 of the PIA's DNS server wich are set in DNS forwarders page of the UTM, 
    199.192.234.127 is my current public IP
    packet filter rule #3 is the the following : device_A -> ANY => Internet IPv4
    "packet filter" are GREEN
    "request" are WHITE
    "drop" are RED

    my DNS forwarders page contain 
    the 2x PIA's  DNS server IPs
    the check to use ISP's DNS is OFF
    and the 'displayed' current forwarders are( I don't get that one....) :
    10.250.0.7
    24.226.147.201
Children
No Data