Over DNS forwarding

U kunt uw Firebox configureren om DNS-queries van computers in uw netwerk door te sturen naar een DNS-server. U kunt bijvoorbeeld DNS forwarding gebruiken om DNS queries van een bijkantoor door te sturen naar een DNS server op het hoofdkantoor.

U kunt DNS-doorsturing inschakelen vanuit de Fireware Web UI, Policy Manager en de CLI. U kunt ook voorwaardelijke DNS forwarding regels toevoegen. Met deze regels kunt u DNS-queries naar verschillende DNS-servers sturen op basis van de domeinnaam in de query.

Conditionele DNS-doorsturing kan resulteren in snellere responstijden op DNS-query’s. Als u bronnen in de cloud hebt, kunnen uw gebruikers sneller verbinding maken met die bronnen, omdat:

• Sommige cloudserviceproviders gebruiken geolocatie om te selecteren met welk datacenter u verbinding maakt. Wanneer u verbinding maakt met een DNS-server in de buurt van uw locatie, kan uw cloudprovider u verbinden met het dichtstbijzijnde datacenter.
• De Firebox slaat de resultaten van DNS-query’s in de cache op.

In Fireware v11.12.1 of lager kunt u DNS-forwarding alleen inschakelen vanaf de opdrachtregel, en voorwaardelijke DNS-forwarding wordt niet ondersteund. Als u DNS forwarding hebt ingeschakeld voordat u een upgrade uitvoert naar Fireware v11.12.2, blijft DNS forwarding ingeschakeld, maar verandert de functionaliteit, zoals beschreven in dit onderwerp.
Voor instructies om DNS forwarding in te schakelen in Fireware v11.12.1 of lager, zie Hoe DNS forwarding in te schakelen in de WatchGuard Knowledge Base.

DNS-servers op uw Firebox

Deze DNS-servers kunnen zijn geconfigureerd op uw Firebox:

• Netwerk DNS-server – Standaard DNS-server voor alle interfaces en lokale processen op de Firebox
• Interface DNS-server – DNS-server voor de interfaces die u opgeeft
• Conditional DNS-server – DNS-server voor de domeinnamen en interfaces die u specificeert in een DNS forwarding regel
• DNS server verkregen van uw ISP – Wanneer uw Firebox is geconfigureerd als een DHCP client of PPPoE client
• DNSWatch server – DNS server wanneer DNSWatch is ingeschakeld, in sommige gevallen

Elke DNS server heeft een ander doel en is geconfigureerd op een andere plaats in de Firebox instellingen.

Sommige DNS servers hebben voorrang op andere. Wanneer u een DNS-doorstuurregel inschakelt, moet u rekening houden met het volgende:

• Conditionele DNS-servers hebben voorrang boven de Netwerk DNS-server en DNSWatch-servers.
• De Interface DNS-server heeft voorrang boven de Conditional DNS-server.

Voor meer informatie over de voorrang van DNS-servers, zie Over DNS op de Firebox.

Hoe het werkt

U kunt DNS forwarding, en voorwaardelijke DNS forwarding, inschakelen in deze netwerk modes:

• Gemengde routeringsmodus
• Drop-in-modus
• Brugmodus

Wanneer u DNS forwarding inschakelt:

• U moet een of meer Vertrouwde, Optionele of Aangepaste interfaces selecteren om deel te nemen aan DNS forwarding.
• De lokale processen op de Firebox gebruiken de Firebox als DNS server.
• De Firebox slaat de resultaten van DNS queries op in een cache (tot 10.000 entries).
• Als u geen voorwaardelijke DNS forwarding regels toevoegt, worden DNS queries die naar het lokale IP-adres van de Firebox worden gestuurd, doorgestuurd naar de netwerk DNS server die u heeft opgegeven. De Firebox slaat de resultaten van deze queries op in een cache.
• Als u de Firebox configureert als DHCP-server, gebruiken de DHCP-clients op uw netwerk automatisch het IP-adres van de interface als DNS-server, tenzij u een DNS-server specificeert in de DHCP-server instellingen.
• DNS-verkeer dat wordt verzonden vanaf interfaces die zijn geconfigureerd voor DNS forwarding naar de Firebox is toegestaan. Het DNS beleid en DNS proxy beleid zijn alleen van toepassing op pass-through DNS verkeer.
• Als u een Firebox interface configureert als een DHCP server, en de interface is geconfigureerd voor DNS forwarding:
  • Als u geen DNS server specificeert in de DHCP instellingen, geeft de DHCP server automatisch het IP-adres van de Firebox interface als de DNS server. DNS forwarding vindt plaats.
  • Als u een andere DNS server dan het IP adres van de Firebox interface opgeeft in de DHCP instellingen, geeft de DHCP server automatisch het IP adres van de DNS server die u heeft opgegeven. DNS forwarding vindt niet plaats.

De Firebox kan maximaal 10.000 DNS verzoeken tegelijk verwerken.

Als u logging voor DNS forwarding inschakelt, genereert de Firebox een logbericht als DNS forwarding optreedt.

Als u een BOVPN virtuele interface verbinding tussen sites heeft, en u configureert DNS forwarding, moet u een virtueel interface IP-adres toevoegen in de BOVPN virtuele interface instellingen, zodat DNS forwarding werkt over het VPN. Het IP-adres van de virtuele interface is nodig omdat de DNS-server verkeer moet terugleiden naar dat IP-adres. Zie BOVPN virtuele interface IP-adressen configureren voor meer informatie over virtuele interface IP-adressen.

In Fireware v12.4 of hoger, kunt u DNSWatch inschakelen in Bridge Mode. Om de Firebox hostnamen op lokale domeinen te laten oplossen, moet u DNS forwarding regels maken voor lokale domeinen die de lokale DNS servers specificeren.

Voorwaardelijke DNS forwarding

U kunt voorwaardelijke DNS forwarding regels toevoegen. Wanneer u een forwarding regel toevoegt, gebruikt de Firebox informatie in de cache om te antwoorden op een DNS query, of hij stuurt de query door naar een DNS server gespecificeerd in de regel.

Bijv. op een Firebox van een bijkantoor met een VPN-verbinding met het hoofdkantoor, kunt u DNS-instellingen configureren om:

• DNS-query’s voor het interne domein example.com via het VPN door te sturen naar de DNS-server op het hoofdkantoor.
• Alle andere DNS-queries doorsturen naar een openbare DNS-server die fysiek dichter bij het filiaal staat.

Configuratie

Wanneer u voorwaardelijke DNS forwarding inschakelt op uw Firebox, kunt u DNS forwarding regels toevoegen. Voor elke DNS forwarding regel geeft u de volgende instellingen op:

Domeinnaam

Voeg een of meer domeinnamen toe. Er is geen limiet aan het aantal domeinnamen dat u kunt opgeven. Meer specifieke domeinnamen hebben voorrang. De volgorde van de domeinnamen doet er niet toe.

DNS-server

Specifieer een DNS-server. Query’s voor de domeinnaam die u hebt toegevoegd, worden verzonden naar de DNS-server die u opgeeft. U kunt tot vier DNS servers toevoegen voor elke domeinnaam. De Firebox neemt contact op met de eerste DNS server in de lijst, en neemt indien nodig contact op met de andere DNS servers.

Voorbeeld

In dit voorbeeld heeft een bijkantoor een Firebox geconfigureerd als een DHCP server. Een interface DNS server is niet gespecificeerd in de DHCP server instellingen. De interne DNS server bevindt zich op het netwerk van het hoofdkantoor. Op de Firebox in het bijkantoor stuurt een voorwaardelijke DNS forwarding regel queries voor example.com naar de DNS server in het hoofdkantoor. Alle andere DNS queries worden naar de netwerk DNS server gestuurd die op de Firebox is gespecificeerd.

Hoe werkt het:

1. Op het bijkantoor stuurt een DHCP client op het netwerk een DNS query voor de domeinnaam example.com.
2. De Firebox ontvangt de query en bekijkt zijn DNS cache.
3. Als de cache geen vermelding bevat voor example.com, bekijkt de Firebox zijn DNS-doorstuurlijst.
4. Als example.com voorkomt in de DNS-doorstuurlijst, stuurt de Firebox de query door naar de DNS-server die voor die domeinnaam is opgegeven.
   In ons voorbeeld, wordt de query doorgestuurd naar de DNS server op het hoofdkwartier, 10.50.1.253.
5. Als example.com niet voorkomt in de DNS Forwarding lijst, stuurt de Firebox de DNS query door naar de netwerk DNS server, in ons voorbeeld 4.2.2.1.

Deze afbeeldingen tonen de netwerk-DNS en DNS-doorstuurinstellingen voor ons voorbeeld:

DNS-doorstuurinstellingen in de Web UI

DNS-doorstuurinstellingen in Policy Manager

In Fireware v12.6.4 of hoger, kunt u de DNS-cache uitschakelen. Zie voor meer informatie Over DNS op de Firebox.

Zie ook

Netwerk-DNS en WINS-servers configureren

DNS en WINS-servers configureren voor Mobile VPN met IPSec

Over DNS op de Firebox

Over WatchGuard DNSWatch