Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 2 subscribers
  • Views 21824 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS issue with internal and external domain

Jeff x
Currently, I use the Sophos UTM as my DNS server. I host a few websites (web server is internal) which are accessible from the Internet and I have DNAT's so internal users can access the sites as well. I have encountered an issue and I don't know how to resolve.


I have the following host definition (mysite.com is being used as a substitution for the real FQDN): 

 

and the following DNAT: 

...
Rule type: DNAT
Traffic from: ANY
Using service: 80, 443
Going to: External WAN (public IP address of FQDN)
Change destination to: mysite.com host (pictured in the image above)
...
 
With this setup, everything works fine. Local users and external users can access the domains listed in the network definition above.


 The issue I have encountered is that I have another subdomain (info.mysite.com) that I cannot access from the internal network unless I remove the DNS host name "mysite.com" from the network definition that is pictured above. Of course if I do that, internal users can no longer access 'mysite.com'. 

I cannot set a static record for 'info.mysite.com' in Sophos because it is hosted externally and it has a dynamic public IP address.
 
 Why does having "mysite.com" defined in the network definition cause 'info.mysite.com' to be unresolvable for internal users?


When using nslookup on an internal PC, I get the following: Unknown can't find info.mysite.com: Non-existent domain. If I change the PC's DNS server from Sophos to a public one (e.g., 8.8.8.8), 'info.mysite.com' is accessible from that PC. I also flush the resolver cache on both the Sophos unit and the PC every time I make a change.


This thread was automatically locked due to age.
  • 0
    There must be something else affecting this.  Does #1 in Rulz give you any clues?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    There must be something else affecting this.  Does #1 in Rulz give you any clues?

    Cheers - Bob



    Nothing. The logs were the first thing I checked. I'm stumped.


    If I use the actual public IP address of 'info.mysite.com' to avoid a DNS lookup, I can access the site from any internal PC.

    --------------------------------------------------------------------
    Sophos UTM 9.714-4 - Home User
    Currently testing VM on i3-9100 @ 3.60 GHz
    16 GB RAM
    Dell Optiplex XE
    Intel Core 2 Duo CPU E8600 @ 3.33GHz
    8GB RAM
    --------------------------------------------------------------------

  • 0
    Nothing in the Web Filtering log?  What happens if you ping the FQDN from a PC?  From the UTM?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I'm not using web filtering. It's disabled. 

    Pings from the PC's and UTM fail. Message from UTM:

     Ping check did not deliver a result, because of a probably non-existing ip address / hostname.


    As soon as I remove "mysite.com" from the host network definition, I can ping "info.mysite.com" from the PC's and the UTM.

    --------------------------------------------------------------------
    Sophos UTM 9.714-4 - Home User
    Currently testing VM on i3-9100 @ 3.60 GHz
    16 GB RAM
    Dell Optiplex XE
    Intel Core 2 Duo CPU E8600 @ 3.33GHz
    8GB RAM
    --------------------------------------------------------------------

  • 0 in reply to Jeff x
    I added some dummy A records to public DNS (e.g., info.myothersite.com = 127.0.0.1) for different domains so I could see if I could resolve "info.myothersites.com" but I get the same exact results. I even disabled all DNAT's and tested but I still get the same results.


    It's as if specifying a domain name (without a sub) in a Sophos network host definition causes DNS lookups to fail unless the sub-domain your trying to resolve is also specified in a network host record.

    --------------------------------------------------------------------
    Sophos UTM 9.714-4 - Home User
    Currently testing VM on i3-9100 @ 3.60 GHz
    16 GB RAM
    Dell Optiplex XE
    Intel Core 2 Duo CPU E8600 @ 3.33GHz
    8GB RAM
    --------------------------------------------------------------------

  • 0
    I'm not sure that I followed all of this, but my impression is that you might have found a bug or made an inadvertent configuration.  In any case, if you have a paid license, please open a case with Sophos Support.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Wish I could. I feel it is a bug but I'm a po boy with a home user license so I cannot open a case with Sophos Support.


    Anyone with paid support care to test for this issue?

    --------------------------------------------------------------------
    Sophos UTM 9.714-4 - Home User
    Currently testing VM on i3-9100 @ 3.60 GHz
    16 GB RAM
    Dell Optiplex XE
    Intel Core 2 Duo CPU E8600 @ 3.33GHz
    8GB RAM
    --------------------------------------------------------------------

  • 0
    This has got to be a bug that the developers are not aware of. I have tried a clean install with the latest version and the problem still exists. Can someone with a paid license please report this? I have tried adding different NAT's and DNS request routes but nothing works.

    --------------------------------------------------------------------
    Sophos UTM 9.714-4 - Home User
    Currently testing VM on i3-9100 @ 3.60 GHz
    16 GB RAM
    Dell Optiplex XE
    Intel Core 2 Duo CPU E8600 @ 3.33GHz
    8GB RAM
    --------------------------------------------------------------------

  • 0
    If I use the actual public IP address of 'info.mysite.com' to avoid a DNS lookup, I can access the site from any internal PC. 

    You're accessing an internal server using a DNAT from a public IP on the External interface?  If that works, then there's definitely something else going on here.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi jeffshead. Try to flush the dns cache in webadmin... Does that help?
Unfiltered HTML