Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3831 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HELP! Compete Astaro/SophosUTM noob...

PurchaseReceipts
Hi everyone,

Looking for someone who can either point me in the right direction or give some simple startup help.

I'd like to set up Astaro/SophosUTM and an internal DNS server (WinServer2012) both on VMWare on the same host (which would be dedicated to running only these 2 VMs - the Astaro VM I built from ISO).  The host has 3 NICs (of which I have 2 enabled and both bridged to both my DNS server and my Astaro).  I have an ISP connection via FiOS with a firewall/wireless router they supplied, and a number of switches (for simplicity, let's assume just one with all internal hosts connected to it).

I'm trying to understand the proper architecture for setting this up through VMWare.  

In a physical setup (non-vmware), I imagine I'd simply have one box with astaro sitting between my ISP router and my main switch, filtering all traffic between the two to be effective.  I'm not sure exactly where the DNS server would go, but guessing it would be on the internal switch and somehow forward all requests not internal to external dns servers via astaro & my ISP.

In a VMWare world, I'm not really sure how this complicates things, but I'm sure someone with more savvy than I could at least share some basic knowledge and point me in the right direction.

I've looked for documentation, but nothing I've found seems to address the situation where astaro and WinServer2012/DNS/DC/AD run on VMWare and how the NICs & Astaro should be set up (or at least nothing that is clear to me).

Would greatly appreciate any help anyone could provide.

Cheers,
-PR


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob, and thanks so much for the reply.

    I've worked out my NIC problems, and now have my 2 VMs properly bridged (assigned directly using the network interface editor in VMWare).  My Astaro VM is bridged to both my internal network switch and to my external FiOS Router.  My Windows 2012 Server (DNS/AD) VM is bridged only to the internal network.  Both eth0 (Internal) and eth1 (external) show State=Up and Link=Up and have data moving in and out.  My Win12S DNS server appears to be set up correctly, and all requests (whether forward or reverse lookup) appear to be resolving internal hosts correctly.  I just don't know how to get the internal hosts to be able to access the internet.  From your reference link below (the list of best practices, which I repeat below), I have the following questions (I think I have #s4-6 right, need help with #s1-3):

    >>> 1. Configure Windows Server (or other) DHCP server for internal devices to point at your internal name server for DNS, then the Astaro, then the OpenDNS servers.
    ----
    If I’m understanding things correctly, this is done on the internal clients individually – either setting them up to use DHCP (get an IP address automatically) or, as I’ve done, given my 2 VMs static IP addresses (which I plan to do for other hosts I move from my external switch to this intern network when it’s up and working).  As far as where they go to get their DNS info… I know how to set up secondary DNS servers in some Linux distributions (it’s pretty much editing a list of IP addresses in a text configuration file), but not sure how this is done in Windows (or just haven’t done it in too long).  Like on the Windows 2012 Server (DNS/AD) server VM, where do I configure it with (presumably) the three IP addresses (which I imagine are itself as the internal DNS server, the Astaro VM’s IP Address, and the OpenDNS IP addresses 208.67.222.222 & 208.67.220.220)?  And if I’m understanding correctly, why am I giving it both Astaro and OpenDNS?  From what I read, there are performance and security reasons for using OpenDNS instead of my ISPs DNS servers, so I’m presuming that’s why this is the best practice?

    >>> 2. The internal DNS server's first forwarder is to the Astaro DNS Proxy, then to the OpenDNS servers.
    ----
    I think this is the same as the 2nd half of #1 above, no?  So I'm not sure how to do this.  I'm in DNS Manager in the Windows 2012 Server, and I see what I would expect to for internal DNS (A records in forward lookup zones and PTR records in reverse lookup zones, both for each of the 2 VMs I have), but not sure how to handle setting up clients to go to secondary and tertiary DNS servers in Win12Server, as mentioned above.  


    >>> 3. The Astaro DNS Proxy lists "Internal (Network)" as allowed client.
    ----
    By Astaro DNS Proxy do you mean the NetworkServices-->DNS-->Global Tab?  It says if you have "an internal DNS Server (for example as part of Active Directory), you should leave this setting empty."  I.e., nothing added under Allowed Networks on the global tab.  I have nothing there (under Allowed Networks).  Not sure if this is right, or if you’re referring to another configuration location in Astaro.

    >>> 4. The Astaro DNS Proxy lists the OpenDNS name servers as forwarders, and 'Use forwarders assigned by ISP' is not checked.
    ----
    Ok, I think I’ve done this by adding (with the little Plus Icon in Astaro on the NetSvcsDNSForwarders tab two entries (OpenDNS and OpenDNS2 as Name, Type=Host, IPv4 Address=208.67.222.222/.220.220 respectively) and under Advanced I chose Interface=External).  Hopefully that’s right.

    >>> 5. In 'Request Routing', the internal DNS is used for reverse DNS of internal IPs (for example if your internal subnet is 172.16.20.0/24, you would have '20.16.172.in-addr.arpa -> {Internal DNS}'. With that, the Astaro can list machine names instead of internal IP addresses in the reports.
    ---
    I think I have this right… I have added one request route with ‘***.168.192.in-addr.arpa’ as the Domain and the internal Win12S DNS server VM as the Target Server(pulled in using the little folder icon, which brings up the list).  
    >>> 6. Also, in 'Request Routing', so the Astaro can resolve internal FQDNs, add, for example 'yourdomain.local -> {internal DNS server}'
    ----  
    I think I have this right… I have added one request route with Domain = my internal domain name (inner.net, e.g.) and the internal Win12S DNS server VM as the Target Server (pulled in using the little folder icon, which brings up the list).  

    Anyhow, that's how far I've gotten.  Thanks in advance for any additional help you can provide.  Hopefully I'm not a total idiot and I'm pretty close here. [:)]

    Cheers,
    -PR
Reply
  • 0
    Hi Bob, and thanks so much for the reply.

    I've worked out my NIC problems, and now have my 2 VMs properly bridged (assigned directly using the network interface editor in VMWare).  My Astaro VM is bridged to both my internal network switch and to my external FiOS Router.  My Windows 2012 Server (DNS/AD) VM is bridged only to the internal network.  Both eth0 (Internal) and eth1 (external) show State=Up and Link=Up and have data moving in and out.  My Win12S DNS server appears to be set up correctly, and all requests (whether forward or reverse lookup) appear to be resolving internal hosts correctly.  I just don't know how to get the internal hosts to be able to access the internet.  From your reference link below (the list of best practices, which I repeat below), I have the following questions (I think I have #s4-6 right, need help with #s1-3):

    >>> 1. Configure Windows Server (or other) DHCP server for internal devices to point at your internal name server for DNS, then the Astaro, then the OpenDNS servers.
    ----
    If I’m understanding things correctly, this is done on the internal clients individually – either setting them up to use DHCP (get an IP address automatically) or, as I’ve done, given my 2 VMs static IP addresses (which I plan to do for other hosts I move from my external switch to this intern network when it’s up and working).  As far as where they go to get their DNS info… I know how to set up secondary DNS servers in some Linux distributions (it’s pretty much editing a list of IP addresses in a text configuration file), but not sure how this is done in Windows (or just haven’t done it in too long).  Like on the Windows 2012 Server (DNS/AD) server VM, where do I configure it with (presumably) the three IP addresses (which I imagine are itself as the internal DNS server, the Astaro VM’s IP Address, and the OpenDNS IP addresses 208.67.222.222 & 208.67.220.220)?  And if I’m understanding correctly, why am I giving it both Astaro and OpenDNS?  From what I read, there are performance and security reasons for using OpenDNS instead of my ISPs DNS servers, so I’m presuming that’s why this is the best practice?

    >>> 2. The internal DNS server's first forwarder is to the Astaro DNS Proxy, then to the OpenDNS servers.
    ----
    I think this is the same as the 2nd half of #1 above, no?  So I'm not sure how to do this.  I'm in DNS Manager in the Windows 2012 Server, and I see what I would expect to for internal DNS (A records in forward lookup zones and PTR records in reverse lookup zones, both for each of the 2 VMs I have), but not sure how to handle setting up clients to go to secondary and tertiary DNS servers in Win12Server, as mentioned above.  


    >>> 3. The Astaro DNS Proxy lists "Internal (Network)" as allowed client.
    ----
    By Astaro DNS Proxy do you mean the NetworkServices-->DNS-->Global Tab?  It says if you have "an internal DNS Server (for example as part of Active Directory), you should leave this setting empty."  I.e., nothing added under Allowed Networks on the global tab.  I have nothing there (under Allowed Networks).  Not sure if this is right, or if you’re referring to another configuration location in Astaro.

    >>> 4. The Astaro DNS Proxy lists the OpenDNS name servers as forwarders, and 'Use forwarders assigned by ISP' is not checked.
    ----
    Ok, I think I’ve done this by adding (with the little Plus Icon in Astaro on the NetSvcsDNSForwarders tab two entries (OpenDNS and OpenDNS2 as Name, Type=Host, IPv4 Address=208.67.222.222/.220.220 respectively) and under Advanced I chose Interface=External).  Hopefully that’s right.

    >>> 5. In 'Request Routing', the internal DNS is used for reverse DNS of internal IPs (for example if your internal subnet is 172.16.20.0/24, you would have '20.16.172.in-addr.arpa -> {Internal DNS}'. With that, the Astaro can list machine names instead of internal IP addresses in the reports.
    ---
    I think I have this right… I have added one request route with ‘***.168.192.in-addr.arpa’ as the Domain and the internal Win12S DNS server VM as the Target Server(pulled in using the little folder icon, which brings up the list).  
    >>> 6. Also, in 'Request Routing', so the Astaro can resolve internal FQDNs, add, for example 'yourdomain.local -> {internal DNS server}'
    ----  
    I think I have this right… I have added one request route with Domain = my internal domain name (inner.net, e.g.) and the internal Win12S DNS server VM as the Target Server (pulled in using the little folder icon, which brings up the list).  

    Anyhow, that's how far I've gotten.  Thanks in advance for any additional help you can provide.  Hopefully I'm not a total idiot and I'm pretty close here. [:)]

    Cheers,
    -PR
Children
No Data
Cookie Information Banner