Securepoint UTM: Split DNS konfigurieren

Split DNS ist eine feine Möglichkeit um z.B. den Zugriff auf den Mailserver sowohl von intern, also dem LAN, als auch aus dem Internet unter dem gleichen FQDN zu ermöglichen.

Im Rahmen eines Kunden-Projekts war dies für einen entfernten Standort notwendig. Sowohl Outlook als auch die Smartphones sollten sich via MDaemon Connector und ActiveSync sich verbinden können. Da es eine Standortvernetzung (S2S) gibt musste am entfernten Standort in der UTM das Split DNS eingestellt werden.

  • Zu „Anwendungen – Nameserver – Zonen“ wechseln.
  • Auf „+ Forward-Zone hinzufügen“ klicken.
  • Als Zonen-Namen die Domäne („<domain.tld>“) eintragen.
  • Bei „Nameserver Hostname:“ „localhost“ eingeben.
  • Die Angabe von „Nameserver IP-Adresse“ ist optional und bleibt in diesem Fall leer.
  • Die neu erstellte Zone bearbeiten.
  • Auf „+ Eintrag hinzufügen“ klicken.
  • Bei „Namen“ den Hostname ohne Domäne eintragen.
  • Bei „Typ“ „A“ auswählen.
  • Im Feld „Wert“ die lokale IP-Adresse des Ziel-Servers eingeben.

Im Portfilter muss der DNS-Verkehr (zum Ziel) zugelassen sein.

Wichtiger Hinweis:

Vorsicht bei der Verwendung von DDNS-Adressen (SPDNS & Co.), sofern diese auch für die S2S-Verbindung genutzt wird. In einem solchen Fall wird der Tunnel nicht mehr erfolgreich aufgebaut. Im Protokoll findet man folgenden Eintrag:

Recursive routing detected, drop tun packet to [AF_INET]<IP aus dem Split DNS>:1195

Sowieso besser ist es bei der Konfiguration der VPN-Verbindung statische öffentliche IP-Adressen zu verwenden. Ist dies nicht möglich, dann unterschiedliche DDNS-Adressen für Split DNS und VPN benutzen.

Update 23.02.2021

Wem das Anlegen einer neuen Zone für eine Domäne mit vielen Hosts oder Subdomains zu aufwendig ist, am Beispiel von SPDNS kann das ja durchaus zu viel des Guten sein müsste man doch ggf. mehreren Einträge nachpflegen, der kann sich wie folgt behelfen:

  • Zu „Anwendungen – Nameserver – Zonen“ wechseln.
  • Auf „+ Forward-Zone hinzufügen“ klicken.
  • Als Zonen-Namen die Domäne in Form von „<hostname.domain.tld>“ eintragen.
  • Bei „Nameserver Hostname:“ „localhost“ eingeben.
  • Die Angabe von „Nameserver IP-Adresse“ ist optional und bleibt in diesem Fall leer.
  • Die neu erstellte Zone bearbeiten.
  • Auf „+ Eintrag hinzufügen“ klicken.
  • Bei „Namen“ nichts eintragen.
  • Bei „Typ“ „A“ auswählen.
  • Im Feld „Wert“ die lokale IP-Adresse des Ziel-Servers eingeben.

Testen kann man die neuen DNS-Daten direkt in der UTM via „Neztwerk – Netzwerkwerkzeuge“ auf der Registerkarte „Host“ oder beispielsweise in Windows mittels Eingabeaufforderung:

nslookup <hostname.domain.tld>

oder um gezielt die UTM abzufragen:

nslookup <hostname.domain.tld> <IP-der-UTM>

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.