By : admin

Du kan konfigurere din Firebox til at videresende DNS-forespørgsler fra computere på dit netværk til en DNS-server. Du kan f.eks. bruge DNS-videresendelse til at sende DNS-forespørgsler fra en filial til en fjern-DNS-server på hovedkontoret.

Du kan aktivere DNS-videresendelse fra Firewares webbrugergrænseflade, Policy Manager og CLI. Du kan også tilføje betingede DNS-videresendelsesregler. Disse regler giver dig mulighed for at sende DNS-forespørgsler til forskellige DNS-servere baseret på domænenavnet i forespørgslen.

Betinget DNS-videresendelse kan resultere i hurtigere svartider på DNS-forespørgsler. Hvis du har ressourcer i skyen, kan dine brugere oprette forbindelse til disse ressourcer hurtigere, fordi:

  • Somme cloud-tjenesteudbydere bruger geolokalisering til at vælge, hvilket datacenter du opretter forbindelse til. Når du opretter forbindelse til en DNS-server tæt på din placering, kan din cloud-udbyder oprette forbindelse til deres nærmeste datacenter.
  • Fireboxen gemmer resultaterne fra DNS-forespørgsler.

I Fireware v11.12.1 eller lavere kan du kun aktivere DNS-viderestilling fra kommandolinjen, og betinget DNS-viderestilling understøttes ikke. Hvis du har aktiveret DNS-videresendelse, før du opgraderer til Fireware v11.12.2, er DNS-videresendelse fortsat aktiveret, men funktionaliteten ændres, som beskrevet i dette emne.
Instruktioner for at aktivere DNS-videresendelse i Fireware v11.12.1 eller lavere findes under Sådan aktiveres DNS-videresendelse i WatchGuard Knowledge Base.

DNS-servere på din Firebox

Disse DNS-servere kan være konfigureret på din Firebox:

  • Network DNS-server – Standard DNS-server for alle grænseflader og lokale processer på Fireboxen
  • Interface DNS-server – DNS-server for de grænseflader, som du angiver
  • Conditional DNS-server – DNS-server for de domænenavne og grænseflader, som du angiver i en DNS-videresendelsesregel
  • DNS-server, der fås fra din internetudbyder – Når din Firebox er konfigureret som en DHCP-klient eller PPPoE-klient
  • DNSWatch-server – DNS-server, når DNSWatch er aktiveret, i nogle tilfælde

Hver DNS-server har et andet formål og er konfigureret et andet sted i Firebox-indstillingerne.

Nogle DNS-servere har fortrinsret frem for andre. Når du aktiverer en regel for DNS-videresendelse, skal du være opmærksom på, at:

  • Betingede DNS-servere har forrang frem for Network DNS-serveren og DNSWatch-serverne.
  • Grænseflade-DNS-serveren har forrang frem for den betingede DNS-server.

For yderligere oplysninger om forrang for DNS-servere skal du se Om DNS på Fireboxen.

Sådan fungerer det

Du kan aktivere DNS-viderestilling og betinget DNS-viderestilling i disse netværkstilstande:

  • Mixed routing-tilstand
  • Drop-in-tilstand
  • Bridge-tilstand

Når du aktiverer DNS-videresendelse:

  • Du skal vælge en eller flere Trusted-, Optional- eller Custom-interfaces for at deltage i DNS-videresendelse.
  • De lokale processer på Fireboxen bruger Fireboxen som DNS-server.
  • Fireboxen gemmer resultaterne af DNS-forespørgsler (op til 10.000 poster).
  • Hvis du ikke tilføjer betingede DNS-videresendelsesregler, videresendes DNS-forespørgsler, der sendes til den lokale IP-adresse på Fireboxen, til den DNS-server på netværket, som du har angivet. Fireboxen gemmer resultaterne af disse forespørgsler i cachen.
  • Hvis du konfigurerer Fireboxen til at være en DHCP-server, bruger DHCP-klienterne på netværket automatisk grænsefladens IP-adresse som DNS-server, medmindre du angiver en DNS-server i indstillingerne for DHCP-serveren.
  • DNS-trafik, der sendes fra grænseflader, der er konfigureret til DNS-videresendelse, til Fireboxen, er tilladt. DNS-politikken og DNS-proxypolitikken gælder kun for gennemgående DNS-trafik.
  • Hvis du konfigurerer en Firebox-grænseflade til at være en DHCP-server, og grænsefladen er konfigureret til DNS-videresendelse:
    • Hvis du ikke angiver en DNS-server i DHCP-indstillingerne, giver DHCP-serveren automatisk IP-adressen på Firebox-grænsefladen som DNS-server. Der sker DNS-videresendelse.
    • Hvis du angiver en anden DNS-server end IP-adressen for Firebox-grænsefladen i DHCP-indstillingerne, giver DHCP-serveren automatisk IP-adressen for den DNS-server, du har angivet. Der forekommer ikke DNS-videresendelse.

Fireboxen kan behandle op til 10.000 DNS-anmodninger på samme tid.

Hvis du aktiverer logføring for DNS-videresendelse, genererer Firebox til en logmeddelelse, når der sker DNS-videresendelse.

Hvis du har en virtuel BOVPN-grænsefladeforbindelse mellem lokaliteter, og du konfigurerer DNS-videresendelse, skal du tilføje en IP-adresse for den virtuelle grænseflade i indstillingerne for den virtuelle BOVPN-grænseflade, så DNS-videresendelse fungerer på tværs af VPN’en. IP-adressen for den virtuelle grænseflade er nødvendig, fordi DNS-serveren skal videresende trafikken tilbage til denne IP-adresse. Du kan finde flere oplysninger om IP-adresser til virtuelle grænseflader under Konfigurer BOVPN-IP-adresser til virtuelle grænseflader.

I Fireware v12.4 eller højere kan du aktivere DNSWatch i Bridgetilstand. For at Fireboxen kan løse værtsnavne på lokale domæner, skal du oprette DNS-videresendelsesregler for lokale domæner, der angiver de lokale DNS-servere.

Betinget DNS-viderestilling

Du kan tilføje betingede DNS-viderestillingsregler. Når du tilføjer en videresendelsesregel, bruger Fireboxen cachelagrede oplysninger til at svare på en DNS-forespørgsel, eller den videresender forespørgslen til en DNS-server, der er angivet i reglen.

For eksempel kan du på en Firebox på en filial, der har en VPN-forbindelse til hovedkvarteret, konfigurere DNS-indstillingerne til:

  • Forsende DNS-forespørgsler til det interne domæne example.com via VPN til DNS-serveren på hovedkvarteret.
  • Videresende alle andre DNS-forespørgsler til en offentlig DNS-server, der er fysisk tættere på filialkontoret.

Konfiguration

Når du aktiverer betinget DNS-videresendelse på din Firebox, kan du tilføje DNS-videresendelsesregler. For hver DNS-videresendelsesregel skal du angive disse indstillinger:

Domænenavn

Føj et eller flere domænenavne til. Der er ingen begrænsning på antallet af domænenavne, som du kan angive. Mere specifikke domænenavne har fortrinsret. Rækkefølgen af domænenavne er ligegyldig.

DNS-server

Angiv en DNS-server. Forespørgsler om det domænenavn, du har tilføjet, sendes til den DNS-server, du angiver. Du kan tilføje op til fire DNS-servere for hvert domænenavn. Fireboxen kontakter den første DNS-server på listen og kontakter de andre DNS-servere efter behov.

Eksempel

I dette eksempel har et filialkontor en Firebox, der er konfigureret som DHCP-server. Der er ikke angivet en grænseflade-DNS-server i DHCP-serverindstillingerne. Den interne DNS-server er på netværket på hovedkontorets kontor. På Fireboxen på filialkontoret sender en betinget DNS-videresendelsesregel forespørgsler for example.com til DNS-serveren på hovedkontoret. Alle andre DNS-forespørgsler sendes til den DNS-server på netværket, der er angivet på Fireboxen.

Sådan fungerer det:

  1. På filialkontoret sender en DHCP-klient på netværket en DNS-forespørgsel efter domænenavnet example.com.
  2. Fireboxen modtager forespørgslen og undersøger sin DNS-cache.
  3. Hvis cachen ikke indeholder en post for example.com, undersøger Fireboxen sin DNS Videresendelsesliste.
  4. Hvis example.com er inkluderet i DNS Videresendelseslisten, videresender Fireboxen forespørgslen til den DNS-server, der er angivet for det pågældende domænenavn.
    I vores eksempel videresendes forespørgslen til den eksterne DNS-server i hovedkvarteret, 10.50.1.253.
  5. Hvis example.com ikke er med på DNS Forwarding-listen, videresender Fireboxen DNS-forespørgslen til DNS-serveren i netværket, som er 4.2.2.2.1 i vores eksempel.

Disse billeder viser indstillingerne for Network DNS og DNS forwarding for vores eksempel:

DNS forwarding settings in the Web UI

DNS forwarding settings in Policy Manager

I Fireware v12.6.4 eller højere kan du deaktivere DNS-cachen. Du kan finde flere oplysninger under Om DNS på Fireboxen.

Se også

Konfigurer DNS- og WINS-servere på netværket

Konfigurer DNS- og WINS-servere til Mobile VPN med IPSec

Om DNS på Fireboxen

Om WatchGuard DNSWatch

Articles

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.