Force use of OpenDNS on my network

Change the DNS IP information used on your WAN interface to use the OpenDNS IP instead of  the default ISP DNS addresses.

Issue IP config to your clients using DHCP, and give the UTM IP as the client DNS IP address.

Hi Bob,

I'm assuming when you say 'force' that you mean client devices are not permitted to use any DNS servers other then the OpenDNS ones?

The easiest way is to point your UTM to OpenDNS and setup the UTM's DHCP server to point to the UTM as the DNS server for the clients. You then need to set a firewall rule blocking all outbound DNS except for queries to the UTM. The firewall rule will stop anyone who tries to bypass the DHCP settings and manually enter their own DNS servers in the client.

The other method, if you want the UTM to use a different DNS then the clients (say google's) would be to set the OpenDNS servers into the DHCP config. Then firewall rules allowing access to OpenDNS and blocking everything else would have to be put in place.

The advantage of the first is that you can do some fancy tricks with DNS request routing so some stuff can hit other DNS servers. You can run an internal DNS domain like homenet.local for your house and the UTM would transparently redirect those requests to an internal DNS server.

Thanks TheDrew

I am happy to say your answer confirmed what I was thinking.  

On the same note, does UTM have something similar to WCCP built into it, where it can identify a protocol and "re-direct" it? 

Thanks again,

Bob.

Bob, what problem are you trying to resolve - the same one as at the beginning of this thread?  If so, then you could use a NAT rule.

Cheers - Bob

Yes Bob.  Same problem as the original post.  I just brought up WCCP as an example of "protocol redirection."  In my case, I would like to re-direct all users DNS queries to OpenDNS no matter what they have their TCP settings configured to use.

Hi, a DNAT should be able to do it.

Make a config backup first though.

From: LAN Network(s)
Dest: ANY
Service: DNS (TCP/UDP 53)
Change Dest to: Firewall internal address

And configure the DNS settings in the UTM to use OpenDNS.


However, I would first try DHCP settings combined with firewall rules blocking outgoing DNS.

Barry

Thanks Barry - I got close last night with a DNAT rule... but I used the OpenDNS IPs as the destination.  It didn't work that way.  I will try your suggestion.  Should I also select the Create and Automatic Firewall rule in the DNAT rule or is that not necessary since the destination is my firewalls internal address?

Hi, the firewall rule shouldn't be needed, but you do need to have the DNS 'proxy' allowing the internal networks.

Barry

OK... after much testing... I've got it.  

1. DHCP server assigns clients OpenDNS as their DNS servers.
2. DNS Services - Global tab:   Internal Network is allowed to use UTM as DNS server
3. DNS Services - Forwarders tab: OpenDNS servers are listed as forwarders, uncheck the box to use ISP assigned forwarders
4. DNAT Rule: 
Traffic from: Internal (Network)
Using:          DNS
Going to:     Internet IPv4

Change Destination to: Internal (Address)
Service to:   DNS

No automatic firewall rule needed. (but works if you choose to use it)


Even if clients set their DNS servers manually, this setup still re-directs them to the OpenDNS servers.

Thanks for the pointers.

Bob Blank[:)]

All-

The default install of astaro places a DNS allow rule at the top of the list. Can't that rule be edited to block all outbound DNS from the internal network? The other choice would be to disable or delete the rule? Just a thought....


Regards,
Jim