Sie können Ihre Firebox so konfigurieren, dass DNS-Anfragen von Computern in Ihrem Netzwerk an einen DNS-Server weitergeleitet werden. Sie können zum Beispiel DNS-Weiterleitung verwenden, um DNS-Anfragen von einer Zweigstelle an einen entfernten DNS-Server in der Zentrale zu senden.

Sie können die DNS-Weiterleitung über die Fireware Web UI, den Policy Manager und die CLI aktivieren. Sie können auch bedingte DNS-Weiterleitungsregeln hinzufügen. Mit diesen Regeln können Sie DNS-Anfragen an verschiedene DNS-Server senden, die auf dem Domänennamen in der Anfrage basieren.

Die bedingte DNS-Weiterleitung kann zu schnelleren Antwortzeiten auf DNS-Abfragen führen. Wenn Sie über Ressourcen in der Cloud verfügen, können Ihre Benutzer schneller eine Verbindung zu diesen Ressourcen herstellen, weil:

  • Einige Cloud-Service-Anbieter verwenden Geolocation, um auszuwählen, mit welchem Rechenzentrum Sie eine Verbindung herstellen. Wenn Sie sich mit einem DNS-Server in der Nähe Ihres Standorts verbinden, kann Ihr Cloud-Anbieter Sie mit dem nächstgelegenen Rechenzentrum verbinden.
  • Die Firebox speichert die Ergebnisse von DNS-Abfragen im Cache.

In Fireware v11.12.1 oder niedriger können Sie die DNS-Weiterleitung nur über die Befehlszeile aktivieren, und die bedingte DNS-Weiterleitung wird nicht unterstützt. Wenn Sie die DNS-Weiterleitung vor dem Upgrade auf Fireware v11.12.2 aktiviert haben, bleibt die DNS-Weiterleitung aktiviert, aber die Funktionalität ändert sich, wie in diesem Thema beschrieben.
Anweisungen zum Aktivieren der DNS-Weiterleitung in Fireware v11.12.1 oder niedriger finden Sie unter How to enable DNS forwarding in der WatchGuard Knowledge Base.

DNS-Server auf Ihrer Firebox

Diese DNS-Server sind möglicherweise auf Ihrer Firebox konfiguriert:

  • Netzwerk-DNS-Server – Standard-DNS-Server für alle Schnittstellen und lokalen Prozesse auf der Firebox
  • Schnittstellen-DNS-Server – DNS-Server für die Schnittstellen, die Sie angeben
  • Bedingter DNS-Server – DNS-Server für die Domänennamen und Schnittstellen, die Sie in einer DNS-Weiterleitungsregel angeben
  • DNS-Server, den Sie von Ihrem ISP erhalten – Wenn Ihre Firebox als DHCP-Client oder PPPoE-Client konfiguriert ist
  • DNSWatch-Server – DNS-Server, wenn DNSWatch aktiviert ist, in einigen Fällen

Jeder DNS-Server hat einen anderen Zweck und wird an einer anderen Stelle in den Firebox-Einstellungen konfiguriert.

Einige DNS-Server haben Vorrang vor anderen. Wenn Sie eine DNS-Weiterleitungsregel aktivieren, beachten Sie Folgendes:

  • Bedingte DNS-Server haben Vorrang vor dem Netzwerk-DNS-Server und den DNSWatch-Servern.
  • Der Schnittstellen-DNS-Server hat Vorrang vor dem bedingten DNS-Server.

Weitere Informationen zum Vorrang von DNS-Servern finden Sie unter Über DNS auf der Firebox.

Wie es funktioniert

Sie können DNS-Weiterleitung und bedingte DNS-Weiterleitung in diesen Netzwerkmodi aktivieren:

  • Mixed-Routing-Modus
  • Drop-in-Modus
  • Brücken-Modus

Wenn Sie die DNS-Weiterleitung aktivieren:

  • Sie müssen eine oder mehrere vertrauenswürdige, optionale oder benutzerdefinierte Schnittstellen auswählen, die an der DNS-Weiterleitung teilnehmen.
  • Die lokalen Prozesse auf der Firebox verwenden die Firebox als DNS-Server.
  • Die Firebox speichert die Ergebnisse von DNS-Abfragen (bis zu 10.000 Einträge).
  • Wenn Sie keine bedingten DNS-Weiterleitungsregeln hinzufügen, werden DNS-Abfragen, die an die lokale IP-Adresse der Firebox gesendet werden, an den von Ihnen angegebenen Netzwerk-DNS-Server weitergeleitet. Die Firebox speichert die Ergebnisse dieser Abfragen im Cache.
  • Wenn Sie die Firebox als DHCP-Server konfigurieren, verwenden die DHCP-Clients in Ihrem Netzwerk automatisch die IP-Adresse der Schnittstelle als DNS-Server, es sei denn, Sie geben in den DHCP-Server-Einstellungen einen DNS-Server an.
  • DNS-Datenverkehr, der von für DNS-Weiterleitung konfigurierten Schnittstellen an die Firebox gesendet wird, ist zulässig. Die DNS-Richtlinie und die DNS-Proxy-Richtlinie gelten nur für Pass-Through-DNS-Verkehr.
  • Wenn Sie eine Firebox-Schnittstelle als DHCP-Server konfigurieren und die Schnittstelle für DNS-Weiterleitung konfiguriert ist:
    • Wenn Sie in den DHCP-Einstellungen keinen DNS-Server angeben, gibt der DHCP-Server automatisch die IP-Adresse der Firebox-Schnittstelle als DNS-Server an. DNS-Weiterleitung erfolgt.
    • Wenn Sie in den DHCP-Einstellungen einen anderen DNS-Server als die IP-Adresse der Firebox-Schnittstelle angeben, gibt der DHCP-Server automatisch die IP-Adresse des von Ihnen angegebenen DNS-Servers an. Es findet keine DNS-Weiterleitung statt.

Die Firebox kann bis zu 10.000 DNS-Anfragen gleichzeitig verarbeiten.

Wenn Sie die Protokollierung für die DNS-Weiterleitung aktivieren, generiert die Firebox eine Protokollmeldung, wenn eine DNS-Weiterleitung auftritt.

Wenn Sie eine BOVPN-Verbindung über eine virtuelle Schnittstelle zwischen Standorten haben und eine DNS-Weiterleitung konfigurieren, müssen Sie eine IP-Adresse für die virtuelle Schnittstelle in den Einstellungen für die virtuelle BOVPN-Schnittstelle hinzufügen, damit die DNS-Weiterleitung über das VPN funktioniert. Die IP-Adresse der virtuellen Schnittstelle ist erforderlich, da der DNS-Server den Datenverkehr zu dieser IP-Adresse zurückleiten muss. Weitere Informationen zu IP-Adressen für virtuelle Schnittstellen finden Sie unter Konfigurieren von IP-Adressen für virtuelle BOVPN-Schnittstellen.

In Fireware v12.4 oder höher können Sie DNSWatch im Bridge-Modus aktivieren. Damit die Firebox Hostnamen auf lokalen Domänen auflösen kann, müssen Sie DNS-Weiterleitungsregeln für lokale Domänen erstellen, die die lokalen DNS-Server angeben.

Bedingte DNS-Weiterleitung

Sie können bedingte DNS-Weiterleitungsregeln hinzufügen. Wenn Sie eine Weiterleitungsregel hinzufügen, verwendet die Firebox zwischengespeicherte Informationen, um auf eine DNS-Anfrage zu antworten, oder sie leitet die Anfrage an einen in der Regel angegebenen DNS-Server weiter.

Beispielsweise können Sie auf einer Firebox in einer Zweigstelle, die über eine VPN-Verbindung zum Hauptsitz verfügt, die DNS-Einstellungen so konfigurieren, dass:

  • DNS-Anfragen für die interne Domain example.com über das VPN an den DNS-Server im Hauptsitz weitergeleitet werden.
  • Alle anderen DNS-Anfragen an einen öffentlichen DNS-Server weiterleiten, der physisch näher an der Niederlassung liegt.

Konfiguration

Wenn Sie die bedingte DNS-Weiterleitung auf Ihrer Firebox aktivieren, können Sie DNS-Weiterleitungsregeln hinzufügen. Für jede DNS-Weiterleitungsregel legen Sie diese Einstellungen fest:

Domänenname

Fügen Sie einen oder mehrere Domänennamen hinzu. Es gibt keine Begrenzung für die Anzahl der Domänennamen, die Sie angeben können. Spezifischere Domänennamen haben Vorrang. Die Reihenfolge der Domänennamen spielt keine Rolle.

DNS-Server

Geben Sie einen DNS-Server an. Anfragen für den von Ihnen hinzugefügten Domänennamen werden an den von Ihnen angegebenen DNS-Server gesendet. Sie können bis zu vier DNS-Server für jeden Domänennamen hinzufügen. Die Firebox kontaktiert den ersten DNS-Server in der Liste und kontaktiert die anderen DNS-Server nach Bedarf.

Beispiel

In diesem Beispiel hat eine Zweigstelle eine Firebox als DHCP-Server konfiguriert. Ein Schnittstellen-DNS-Server ist in den DHCP-Server-Einstellungen nicht angegeben. Der interne DNS-Server befindet sich im Netzwerk der Hauptniederlassung. Auf der Firebox in der Zweigstelle sendet eine bedingte DNS-Weiterleitungsregel Anfragen für example.com an den DNS-Server in der Zentrale. Alle anderen DNS-Anfragen werden an den auf der Firebox angegebenen Netzwerk-DNS-Server gesendet.

So funktioniert es:

  1. In der Zweigstelle sendet ein DHCP-Client im Netzwerk eine DNS-Anfrage für den Domänennamen example.com.
  2. Die Firebox empfängt die Anfrage und prüft ihren DNS-Cache.
  3. Wenn der Cache keinen Eintrag für example.com enthält, prüft die Firebox ihre DNS-Weiterleitungsliste.
  4. Wenn example.com in der DNS-Weiterleitungsliste enthalten ist, leitet die Firebox die Anfrage an den für diesen Domänennamen angegebenen DNS-Server weiter.
    In unserem Beispiel wird die Abfrage an den Remote-DNS-Server in der Zentrale, 10.50.1.253, weitergeleitet.
  5. Wenn example.com nicht in der DNS-Weiterleitungsliste enthalten ist, leitet die Firebox die DNS-Abfrage an den Netzwerk-DNS-Server weiter, der in unserem Beispiel 4.2.2.1 ist.

Die folgenden Abbildungen zeigen die Netzwerk-DNS- und DNS-Weiterleitungseinstellungen für unser Beispiel:

DNS-Weiterleitungseinstellungen in der Web-UI

DNS-Weiterleitungseinstellungen im Policy Manager

In Fireware v12.6.4 oder höher können Sie den DNS-Cache deaktivieren. Weitere Informationen finden Sie unter Über DNS auf der Firebox.

Siehe auch

Konfigurieren von Netzwerk-DNS- und WINS-Servern

Konfigurieren von DNS- und WINS-Servern für Mobile VPN mit IPSec

Über DNS auf der Firebox

Über WatchGuard DNSWatch

Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.