RED 15 - Kein Split DNS Lookup

Moin,

ich habe zwar noch kein transparent/getrenntes Remotenetzwerk konfigurieren müssen, möchte dennoch gerne helfen.

Ich würde nochmal versuchen, verschiedene Einstellungen zu prüfen. Also z.B. internaldomain.lan.  <- mit Punkt am Ende.

Wie verhält es sich denn, wenn Du hostname.internaldomain.lan aufzulösen versuchst?

Möglicherweise muss Du auf der UTM120 die Anfragerouten in den DNS-Einstellungen hinzfügen.

Hallo Thorsten!

Erst mal danke für deine Antwort. Dachte schon es interessiert hier keinen! ;-)

Also ich habe jetzt bei den umzuleitenden Domänennamen folgende Kombinationen hinterlegt.

internaldomain.lan

Internaldomain.lan. <= Punkt am Ende

*.internaldomain.lan

*.internaldomain.lan. <= Punkt am Ende

Ebenso hab ich noch die DNS Umleitung auf die Sohps UTM gesetzt und unter erlaubten Netzwerken für DNS Abfragen das Remotenetz eingetragen.

Leider alles ohne Erfolg.

Alle DNS Abfragen werden noch weiterhin an meinen lokalen DSL Router gesendet, der natürlich diese Namen überhaupt nicht auflösen kann.

Gruß

Ulli

Moin,

ich meinte nicht die DNS-Weiterleitung auf der UTM sondern die Anfragerouten. Unter Netzwerkdienste -> DNS -> Anfragerouten kannst Du das entsprechend einstellen.

Wäre es sonst möglich, nicht den internen DNS-Server der RED mitzugeben, sondern die UTM auflösen lässt? Nur mal zum Versuch!

Hallo!

Ach diese Weiterleitungen meinst du. Die sind schon drin, seit dem die UTM aufgebaut wurde (vor Jahren). 

Die UTM Auflösen zu lassen wird sicher klappen. Aber ist nicht das, was ich mir von der Lösung verspreche und erwarte. Dann muss ich ja sozusagen wieder die DHCP Parameter im lokalen Router ändern, damit der die DNS Adresse der UTM konfiguriert. Dann würden aber alle DNS Anfragen über die UTM laufen. Das geht mir in die falsche Richtung. Was mach ich denn, wenn mal der Tunnel abbricht? Dann kann die ganze Zweigstelle kein DNS mehr auflösen und damit wäre dann der komplette Internetanschluss sozusagen lahmgelegt? Neeeee... bastelei... will ich nicht.

Die RED 15 leitet einfach nicht die konfigurierten DNS anfragen an den definierten DNS Server um. Wenn sie das machen würde, wäre alles ok (meiner Meinung nach). Aber in so einem Zustand ist das Ding für mich unbrauchbar.

Danke für deine Hilfe, aber ich werde das Gerät wohl besser wieder einpacken und zurückschicken. Hält halt nicht das, was es verspricht. Ansonsten wäre es genau das gewesen, was ich suchte.

Gruß

Ulli

Richtig wäre domain.tld

Und das mit dem "Versprechen" & Co. ist sehr gewagt. Eine entsprechende Supportanfrage an den Sophos Support hattest Du schon gestellt?

Ulrich Bruns said:

Die RED 15 leitet einfach nicht die konfigurierten DNS anfragen an den definierten DNS Server um. Wenn sie das machen würde, wäre alles ok (meiner Meinung nach). Aber in so einem Zustand ist das Ding für mich unbrauchbar.

Ich meinte diesen definierten DNS-Server. Du schreibst, Du hättest hier Euren internen DNS-Server eingetragen, vermutlich ein Windowsserver. Funktioniert es, wenn Du die UTM dort einträgst?

Nein habe nicht den Sophos Support eingeschaltet.
Ist eine Teststellung. Muss auch in 5 Tagen wieder zurück. Finde es aber gut das es sowas gibt!

OffTopic_
Versprechen... wenn man sowas in die Dokumentation seines Produktes schreibt... dann würde ich schon sagen, das man es versprechen nennen darf.

Gruß
Ulli

Thorsten Sult said:

Ich meinte diesen definierten DNS-Server. Du schreibst, Du hättest hier Euren internen DNS-Server eingetragen, vermutlich ein Windowsserver. Funktioniert es, wenn Du die UTM dort einträgst?

Ja, stimmt.

Eine Sache noch! Falls Du doch das entfernte Netz von der RED kontrollieren lassen willst, und befürchtest, dass keiner mehr surfen kann, wenn der Tunnel weg ist. Du kannst immerhin einen zweiten DNS via DHCP mitgeben.

Hallo Thorsten,

Thorsten Sult said:

Eine Sache noch! Falls Du doch das entfernte Netz von der RED kontrollieren lassen willst, und befürchtest, dass keiner mehr surfen kann, wenn der Tunnel weg ist. Du kannst immerhin einen zweiten DNS via DHCP mitgeben.

ja... ist mir später auch noch in den Sinn gekommen.

Aber ist alles irgendwie ein workaround und gefummel um einen Funktion herbeizuführen, die ich eigentlich "von Haus aus" erwarte.
Bin dahingehend gerade ein wenig enttäuscht. Alle bisherigen eingesetzten Geräte von Sophos haben bisher das gemacht, was ich von denen erwartet habe.

Gruß
Ulli

Ja, genau!  Verbrennen wir Sophos!

Du hast eine Teststellung? Du machst wie lange damit rum? Ich kann Deine Enttäuschung nachvollziehen, aber nicht Dein Gejammer! Das wäre nämlich auch ein Thema für Deinen Vertriebskontakt, der sein Geld damit verdient, Dir die Lösung zu liefern, die Du gerne hättest, sofern das geht, und zur Not die technische Unterstützung einbindet.

Lieber drei Tage Sophos Community BETA und das Produkt pauschal für schlecht befinden und irgendwann werde ich mich dann wieder hinsetzen, dass nachstellen und ggf. beim Sophos Support ein Case aufmachen, damit ein eventueller Fehler fixed wird? Deine Prioritätensetzung finde ich verwirrend ...

Wollte auch mal jammern.

Ja, genau!  Verbrennen wir Sophos!

Du hast eine Teststellung? Du machst wie lange damit rum? Ich kann Deine Enttäuschung nachvollziehen, aber nicht Dein Gejammer! Das wäre nämlich auch ein Thema für Deinen Vertriebskontakt, der sein Geld damit verdient, Dir die Lösung zu liefern, die Du gerne hättest, sofern das geht, und zur Not die technische Unterstützung einbindet.

Lieber drei Tage Sophos Community BETA und das Produkt pauschal für schlecht befinden und irgendwann werde ich mich dann wieder hinsetzen, dass nachstellen und ggf. beim Sophos Support ein Case aufmachen, damit ein eventueller Fehler fixed wird? Deine Prioritätensetzung finde ich verwirrend ...

Wollte auch mal jammern.

Hallo K.N. !

K.N. said:

Ja, genau!  Verbrennen wir Sophos!

Nein, die Sophos Produkte, die ich bisher einzetze würde ich (und das mache ich auch real) jederzeit weiterempfehlen!

K.N. said:

Du hast eine Teststellung? Du machst wie lange damit rum? Ich kann Deine Enttäuschung nachvollziehen, aber nicht Dein Gejammer! Das wäre nämlich auch ein Thema für Deinen Vertriebskontakt, der sein Geld damit verdient, Dir die Lösung zu liefern, die Du gerne hättest, sofern das geht, und zur Not die technische Unterstützung einbindet.

Hab die Teststellung seit ca. 10 Tagen. Hatte 1. bisher wenig Zeit mich lange darum zu kümmern, und 2. hatte ich mir die Doku dazu vorab durchgelesen und zurechtgelegt, damit ich auch weiss ob das Gerät das kann, was ich möchte, und ich auch schon mal einen Plan habe, was ich konfigurieren muss. 

Könnte jetzt noch auf die Community schimpfen, die meine Frage sooo lange ignoriert hat (zumindest bezogen auf den Testzeitraum) ;-) (Achtung: Ironie!)

K.N. said:

Lieber drei Tage Sophos Community BETA und das Produkt pauschal für schlecht befinden und irgendwann werde ich mich dann wieder hinsetzen, dass nachstellen und ggf. beim Sophos Support ein Case aufmachen, damit ein eventueller Fehler fixed wird? Deine Prioritätensetzung finde ich verwirrend ...

Es war gerade mal ein paar Stunden in der Community. Wenn mir jemand antwortet und ich die Möglichkeit habe seine Vorschläge zu testen, mache ich das kurzfristig. Es freut ja auch jeden der hier Hilfestellung gibt, wenn seine Hilfe angenommen wird.
Ich halte das Produkt nicht für schlecht. Aber es macht nicht das, was angepriesen wird und worauf es mir ankommt /zumindest noch nicht). Also kann ich es in diesem Stadium nicht gebrauchen.

Jetzt mal aber eine wirklche Frage zu Sophos Community BETA  : Habe das als BETA für die Community Seite angesehen. Bin ich etwa im BETA Forum (im Bezug auf das Produkt) gelandet? Dann war das ein versehen. Aber ich bin über die üblichen Support Links gegangen.

Support... oh nein... ich mag kein Support.. ist aber wohl ehr ein persönliches Problem, und ist allgemein und nicht dediziert auf Sophos bezogen (hab da auch noch keine Erfahrung mit dem Support gehabt). Im allgemeinen brauchen die immer ewig, wollen immer zig Logs haben und haben die irresten Ideen woran es liegen könnte, und dann bekommt man einen Workaraound (persönliche, allgemeine Erfahrung!). So viel Zeit möchte ich nicht investieren (und nebenbei könnte ich mir vorstellen, das der Testzeitraum dann auch schon vorbei ist).
Ich möchte gerne ein Produkt das auch funktioniert (zumindest in den Teilen die ich benötige). Wenn jemand Beta Tester benötigt... es gibt sicherlich Menschen die Freude daran haben... aber zu denen zähle ich nicht.

Das Problem mit dem Support haben aber sicherlich andere Versaut.... :-)

Ja, meine Prioritätensetzung scheint von deiner Abzuweichen... aber wo kämen wir hin, wenn wir alle gleich wären...

K.N. said:

Wollte auch mal jammern.

Darfst du auch... 

Gruß
Ulli

Das BETA bezieht sich auf diese Community und man munkelt, es bezieht sich auf den technischen Teil. Ich finde es bedrückend, was den Leuten damit zugemutet wird.

Üblicherweise hätte ich schon versucht, das nachzustellen, aber dieser Tage fehlen mir die meisten der erforderlichen Ressourcen. Daher kann ich aktuell nur theoresieren.

Zum Support: Stimme ich Dir in vielen Dingen zu, aber trotzdem wäre es der richtige Weg. Wenn Dein Händler von Dir das Problem auf den Tisch bekommt, sollte er sich drum kümmern. Bist Du unzufrieden, sollte er es auch als erstes spüren, aber eben nicht mit "Hier, zurück, geht nicht!", weil das keine Verbesserung bedeutet. Es könnte ein Fehler in der Firm- oder Hardware sein und wenn jeder so agiert, werden viele diesen Frust erleben oder eben mit Workarounds leben. Und man kann auch bei Sophos gehör finden, besonders als Händler oder Partner. Nur die können Dich auch nur unterstützen, wenn sie Kenntnis davon haben.

Und noch was zum Troubleshooting: Könntest Du mit tcpdump prüfen, ob die Anfragen tatsächlich nicht beim tatsächlichen Ziel angekommen, der nur eben "langsamer" reagiert? Gerade das nslookup ist als Troubleshootingtool verrufen.

K.N. said:

Und noch was zum Troubleshooting: Könntest Du mit tcpdump prüfen, ob die Anfragen tatsächlich nicht beim tatsächlichen Ziel angekommen, der nur eben "langsamer" reagiert? Gerade das nslookup ist als Troubleshootingtool verrufen.