This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED]DNS best practice?

There are two ways to configure DNS:

One way:
- Allowing DNS outgoing for your internal nameservers
- internal nameservers forwarding to ISP-DNS
- ASG pointing to internal nameservers 

Another way:
- ASG forwarding to ISP-nameservers
- "request routing" on ASG for internal domain pointing to internal nameservers
- internal nameservers forwarding to ASG
 
Which way do you use? And why? Which is "officially preferred"?
Both configurations seem working good for me, we run the first alternative on our cluster, the second in branch offices without internal dns (domain dns reachable via site2site-vpn).

Thanks for your ideas!
Thomas



BAlfson's DNS Best Practice's post has been moved to it's own highlighted thread here: https://community.sophos.com/utm-firewall/f/recommended-reads/122972/dns-best-practice
[edited by: FloSupport at 11:12 AM (GMT -7) on 18 Sep 2020]
Parents
  • Ryo_Tang, look at the instructions in Post #3 on the first page of this thread.  Instead of '12.11.10.in-addr.arpa → DNS Forwarder', you want something like '12.11.10.in-addr.arpa → DC {one that knows DHCP addresses assigned to clients}'.  Was that the issue?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Ryo_Tang, look at the instructions in Post #3 on the first page of this thread.  Instead of '12.11.10.in-addr.arpa → DNS Forwarder', you want something like '12.11.10.in-addr.arpa → DC {one that knows DHCP addresses assigned to clients}'.  Was that the issue?

    Cheers - Bob


    Hi Bob,

    Sorry that i did not info that we use 1 server for 3 role at once (AD, DHCP, DNS). Actually 4 for File Server (but File server will migrate out to another server by this weekend).
    I am not really understand on below points;
    * yourdomain.local -> {internal DNS server}
    * Configure Windows Server (or other) DHCP server for internal devices to point at your internal name server for DNS, then the Astaro, then the OpenDNS servers.
    * The internal DNS server's first forwarder is to the Astaro DNS Proxy, then to the OpenDNS servers. (we do not have proxy and OpenDNS)

    Please advice again on how to setting it.
    Ever since i set the DNS Request ROuting and update our Firewall to the latest version, our Reporting log become only shown Wifi Network that we set from inside Astaro (did not show any IP address from our internal network).

    Many thanks for your advice and solutions.
Reply
  • Ryo_Tang, look at the instructions in Post #3 on the first page of this thread.  Instead of '12.11.10.in-addr.arpa → DNS Forwarder', you want something like '12.11.10.in-addr.arpa → DC {one that knows DHCP addresses assigned to clients}'.  Was that the issue?

    Cheers - Bob


    Hi Bob,

    Sorry that i did not info that we use 1 server for 3 role at once (AD, DHCP, DNS). Actually 4 for File Server (but File server will migrate out to another server by this weekend).
    I am not really understand on below points;
    * yourdomain.local -> {internal DNS server}
    * Configure Windows Server (or other) DHCP server for internal devices to point at your internal name server for DNS, then the Astaro, then the OpenDNS servers.
    * The internal DNS server's first forwarder is to the Astaro DNS Proxy, then to the OpenDNS servers. (we do not have proxy and OpenDNS)

    Please advice again on how to setting it.
    Ever since i set the DNS Request ROuting and update our Firewall to the latest version, our Reporting log become only shown Wifi Network that we set from inside Astaro (did not show any IP address from our internal network).

    Many thanks for your advice and solutions.
Children
No Data