Eine Securepoint UTM kann unter anderem als DNS-Forwarder und bedingt als DNS-Server dienen. Je nach Konfiguration und Umgebung ist für nahezu jeden Einsatzzweck alles möglich. Dennoch gibt es ein paar wenige Punkte zu beachten.
In einer Active Directory-Umgebung als Ersatz für den Microsoft eigenen DNS-Server taugt der Nameserver einer Securepoint UTM allerdings nicht, da nicht alle Eintrags-Typen unterstützt werden und allem voran keine dynamische Aktualisierung von z.B. Host A-Einträgen möglich ist.
Speziell zum DNS vom ISP (Internet Service Provider) muss angemerkt werden, das dieser überhaupt nicht von der UTM genutzt wird. Ab Werk nutzt der Nameserver die von Debian/Bind stammende Root-Server-Liste. Möchte man gezielt einen DNS-Server bzw. -Anbieter nutzen, so muss dies unter
Anwendungen - Nameserver - DNS Forwarding
eingetragen werden. Allerdings ändern sich die DNS-Server bei vielen ISPs immer mal wieder, daher ist es meist nicht sinnvoll diese einzutragen. Wenn man es dennoch tun möchte findet man beispielsweise hier eine Liste:
Seitens der Deutschen Telekom wird allerdings keine offizielle Liste der DNS-Server kommuniziert, stattdessen heißt es das diese dynamisch via PPP zugewiesen werden:
Deutsche Telekom – Wo finde ich eine Übersicht wichtiger Server der Telekom?
Besser ist es entweder Securepoint’s Secure DNS (Cloud Intelligent Shield) zu verwenden oder auf einen anderen DNS-Anbieter auszuweichen. Mögliche Anbieter sind unter anderem
- Quad9
- Cloudflare, siehe auch
VPNTester – Cloudflare DNS Server: Alle Adressen und Informationen
und
1.1.1.1 - OpenNIC
- DNS.WATCH
- und viele mehr, siehe z.B. WizCase – Die 17 besten kostenlosen und öffentlichen DNS-Server (getestet im Februar 2023)
Je nach Anbieter ist allerdings beispielsweise das Thema Datenschutz und Herkunftsland zu bedenken. So mancher wertet das Nutzverhalten, also die aufgerufenen Internetseiten, aus. Hinzu kommt, das je nach Herkunft zudem solche Themen wie Zensur eine Rolle spielen.
Quellen
Securepoint – Forum – Zugewiesenen DNS Server prüfen
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Hey Andy,
was denkst du von Diensten wie Adguard Home und dem Klassiker Pihole ?
Schade, dass Securepoint diese Dienste weder in die UTM noch in das Cloud Shield integriert.
Mfg Peter
Hallo Peter,
Adguard Home kenne ich nur vom Namen her. Pi-hole lässt sich wunderbar in ein Netzwerk integrieren. Zu letzterem möchte ich schon lange was schreiben, gerade auch in Bezug zu AD oder wenn man mehrere Netze im Haus hat und wo man Pi-Hole platzieren kann bzw. sollte. Da gibt es ein paar kleinere Vor-/Nachteile wenn es um’s Logging geht.
Und ja, ein Werbeblocker fehlt definitiv im Securepoint Portfolio. Da sind wir zwei nicht die Einzigen die sich das Wünschen. Anderseits ist Pi-hole da eine super Lösung mit guten Filtern und toller Auswertung.
Hallo zusammen,
wäre super interessant, mehr darüber zu lesen :).
Habt ihr Pi-Hole bei Kunden im Einsatz?
Viele Grüße
IT-Lehrling
Hallo Andy,
wie konfigurierst du es? Lässt du den Standard, sprich die Root-Server, oder konfigurierst du ein Forwarding?
Hallo Christoph,
die root-Server lässt man wie sie sind und man stellt ein Forwarding ein.
Imho einfachste Möglichkeit und im Zweifelsfall auch wieder schnell rückgängig gemacht.
Einfach wie im Beitrag beschrieben unter
Anwendungen - Nameserver - DNS Forwarding
den Wunsch-DNS-Anbieter/-Server eintragen.
Hi Andy,
dank dir für die Rückmeldung. Meine rage war aber anders gemeint 🙂 Wir verzichten aktuell auf ein Forwarding und lassen den Standard, der die Root-Server nutzt. Funktioniert ja auch alles. Meine Frage war einfach, wie du es machst? Konfigurierst du ein Forwarding?
Hallo Christoph,
beides, bei manchen werden die root-Server genutzt, bei manchen Forwarding. Es kommt ganz darauf an, was der Kunde wünscht oder ob ggf. ein bestimmter DNS-Dienst genutzt wird oder ob ein regionaler Provider genutzt wird wo dann auch VoIP drüber läuft und deren Server nicht unbedingt via root-Server up-to-date richtig aufgelöst werden (können).