UTM 9.201-23 DNS Issues

don't have your server use the firewall for resolution.  have the server use the opendns and have the sophos use the isp dns filters.

I Guess I'm confused now. Bob recommends it the way I have it. Is there some big issue with using Astaro as the forwarder? Here is the post I am referring to https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566

I don't agree with bob in that regard.  I have my utm's stup as i have described and i don't have dns performance issues nor do i have spam performance problems.

Why should the servers not use the firewall, the firewall is supposed to be able to perform DNS functions? What if your servers need to resolve something on your internal network?  I have had my phones and a few servers use the firewall for DNS for years with no problems. 

If its not working, it needs to be looked into as a possible bug in 9.2, not just bypassed.

I Guess I'm confused now. Bob recommends it the way I have it. Is there some big issue with using Astaro as the forwarder? Here is the post I am referring to https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566

How do you know the dns is not working? What is the result of dig queries? The bind server queries  open dns servers (as you have set up) and then queries the root servers for dns resolutions. You sure you are not having connectivity issues?

I Guess I'm confused now. Bob recommends it the way I have it. Is there some big issue with using Astaro as the forwarder? Here is the post I am referring to https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566

I setup customers the way Bob recommends as well -- 

As for DNS issues -- I think OpenDNS does not support DNSSEC validation.  That is likely your issue.

Just a thought out of my experience - in my case DNS resolver problems only happen as soon as the upload saturation remains high for a longer period, especially on asymmetric  ADSL configurations. Even if QoS is explicitly set for DNS.

opendns does not support dnssec..i don't think dnssec is a good idea either as it depends on the same broken ssl third party model.  OPendns supports dnscrypt...

Bruce, I think I learned a good part of that from you here years ago!  I've just been maintaining that post whenever an improvement has come up, so I see it more as a product of the community that I documented.

William, I think both ways can work well.  I've gotten used to the approach on that post, and depend on it for some other things I normally do in DNS... Not that I can bring one to mind at the moment!

Cheers - Bob

I Guess I'm confused now. Bob recommends it the way I have it. Is there some big issue with using Astaro as the forwarder? Here is the post I am referring to https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/32566

i've seen too many times dns issues with using the utm as a forwarder..especially when public dns servers are utilized.  IME it's best to have the internal server worry about internal dns and if you want ot use forwarders THAT's where opendns(google, symantec etc etc) goes.  Also i've seen waaay too many failures from UTM dns in regard to the http proxy.  This causes mis categorizations of sites.  It only appears when the utm is ALSO acting as a forwarder for the network.  If you really want to use a public dns I would highly suggest using hte dns routing feature to have the utm route internal dns to the internal dns server not itself..that way all external traffic will go outside and the internal traffic will get properly resolved by the internal dns server.  

UTM's dns server is not a full dns implementation unlike what many advocate on here...including a couple of folks i respect.  Use the right tool for the job...[:)]