Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 872 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS and DMZ Web Sites with proxy in Standard Mode

eclipse79oldacct
Hello, 
until some days ago, I used web proxy in transparent mode. In our DMZ we have a Web Server and in our LAN we have a DNS server (that forwards to ASG, that forwards to OpenDNS). In the LAN DNS server, we have some domain pointers to the DMZ Web Sites:

site1.com (with www A record)
site2.com (with www A record)
site3.com (with www A record)

All worked fine. 

Now, with Standard Mode, this configuration does not work, and I have a doubt about what to do. I can:

1) Add www.site1.com, www.site2.com, www.site3.com static entries in ASG DNS server.
OR
2) Add site1.com, site2.com and site3.com request routing to Internal DNS Server.

Perhaps the second approach would be the best, but in your opinion, could occurrs a loop? Internal DNS queries ASG DNS that queries Internal DNS... and so on...?


This thread was automatically locked due to age.
  • 0
    Option 1 is my preferred approach, just point the public URLs to the private IPs and it should work.  It is also possible to use NAT rules, but that can have unintended consequences in routed networks.

    The change is because clients of the transparent proxy perform their own DNS lookups, standard proxy DNS is handled by the ASG- and it is getting the public IP as a DNS result and loops the traffic to its external interface.

    This KB article has a little more information: https://support.astaro.com/support/index.php/Accessing_Internal_or_DMZ_Webserver_from_Internal_network
  • 0 in reply to Jack Daniel
    Option 1 is my preferred approach, just point the public URLs to the private IPs and it should work.  It is also possible to use NAT rules, but that can have unintended consequences in routed networks.


    Hi Jack,
    thank you for you reply! Option 1 has the annoying fact that you have to duplicate all DNS configuration in both ASG and Windows DNS Server (if you have 3 "A record" for 1 domain, you have to create 3 static entries in ASG and 3 A Record in Windows DNS server). Anyway I'm glad to see that my actual configuration is the same you suggest [:D] (so I think I will not move to the other one)

    PS. I have seen your "en plain air" demo of ASI  - Nice demo and nice tool [:)]