Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 2 subscribers
  • Views 21845 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS issue with internal and external domain

Jeff x
Currently, I use the Sophos UTM as my DNS server. I host a few websites (web server is internal) which are accessible from the Internet and I have DNAT's so internal users can access the sites as well. I have encountered an issue and I don't know how to resolve.


I have the following host definition (mysite.com is being used as a substitution for the real FQDN): 

 

and the following DNAT: 

...
Rule type: DNAT
Traffic from: ANY
Using service: 80, 443
Going to: External WAN (public IP address of FQDN)
Change destination to: mysite.com host (pictured in the image above)
...
 
With this setup, everything works fine. Local users and external users can access the domains listed in the network definition above.


 The issue I have encountered is that I have another subdomain (info.mysite.com) that I cannot access from the internal network unless I remove the DNS host name "mysite.com" from the network definition that is pictured above. Of course if I do that, internal users can no longer access 'mysite.com'. 

I cannot set a static record for 'info.mysite.com' in Sophos because it is hosted externally and it has a dynamic public IP address.
 
 Why does having "mysite.com" defined in the network definition cause 'info.mysite.com' to be unresolvable for internal users?


When using nslookup on an internal PC, I get the following: Unknown can't find info.mysite.com: Non-existent domain. If I change the PC's DNS server from Sophos to a public one (e.g., 8.8.8.8), 'info.mysite.com' is accessible from that PC. I also flush the resolver cache on both the Sophos unit and the PC every time I make a change.


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Thanks for the output, which shows that your UTM is indeed returning the data from the zone for all hosts.

    Where my config differs is that I don't have a hostname for domain.com, and if I create that I get the same issue as yourself.  This in fact masks all the other records for that domain, including MX etc.

    A few thoughts:

    1.  Remove the domain.com and get people to use www.domain.com instead;
    2.  Remove the domain.com hostname which will delete the zone as well, and look at creating a SNAT rule which points HTTP traffic destined to the public IP address from internal clients to the internal web server.  Only issue I can see from my tests is that internal clients IP addresses show up in the logs as coming from the UTM internal address.  Here is a forum post about this:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39069

    Sorry about that,
    Andrew.
Reply
  • 0
    Hi,

    Thanks for the output, which shows that your UTM is indeed returning the data from the zone for all hosts.

    Where my config differs is that I don't have a hostname for domain.com, and if I create that I get the same issue as yourself.  This in fact masks all the other records for that domain, including MX etc.

    A few thoughts:

    1.  Remove the domain.com and get people to use www.domain.com instead;
    2.  Remove the domain.com hostname which will delete the zone as well, and look at creating a SNAT rule which points HTTP traffic destined to the public IP address from internal clients to the internal web server.  Only issue I can see from my tests is that internal clients IP addresses show up in the logs as coming from the UTM internal address.  Here is a forum post about this:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39069

    Sorry about that,
    Andrew.
Children
No Data
Unfiltered HTML