DNS Entry for User Portal?

Under "Forward Lookup Zones" there is already a zone with DNS name of your AD. You should create new "Host (A or AAAA)" record in that zone (look at the screenshot).

Hi, OGS, and welcome to the User BB!

If you haven't followed The Zeroeth Rule in Rulz, I would do that after reading this post.

In fact, I usually do this differently, vilic, but it does take a bit more work.  Using split-DNS requires duplicating your public DNS on your internal DNS.  The advantage is that you don't have to use Full NATs to allow internal users to reach internal IPs - the FQDNs resolve to the local IP inside the LAN.

If your internal domain is example.local, and you don't already have split-DNS configured, add your public domain, example.com, as a new Forward Lookup Zone.  No new Reverse Lookup entries are needed.  Add the "utm" (instead of that, I've been using "secure" recently as SG will replace UTM) host there along with correct records corresponding to those in your public authoritative name server.

I also like to change the port to 2443 to avoid any possible issues with the SSL VPN or Webserver Protection.  If you have enough fixed IPs, this may not be an issue for you.

Now, you can reach your User Portal on https://utm.example.com:2443/ no matter where you are.

Cheers - Bob

Hi guys,

Thanks for the replies, and for the welcome [:)] If I'm understanding Bob's Rule 0 correctly, I'd need to have our web developer configure the UTM's hostname to point to our public IP address. I punched in the public IP address and the User Portal came up, so that should work.

I don't think I fully understand the second part about using split DNS etc. Is there more configuration involved that's necessary?

Let me know, thanks.

Do you have more than a single public IP?

Yes, vilic's suggestion is the quickest.  It just means that you'll have to use https://utm.example.com outside the office and https://utm.example.local frm inside the LAN.

Cheers - Bob

Hi Bob,

Yes, we only have 1 public IP address for this LAN. 

I think I get what you're saying now. I'll contact our web developer and try to get the Public DNS information.

Thanks,

David

David, a packet of five fixed IPs probably only costs about $15/month and is a good business decision if you have an internal mail server or other server that you want to reach from the outside.

Cheers - Bob

Do you have more than a single public IP?

Yes, vilic's suggestion is the quickest.  It just means that you'll have to use https://utm.example.com outside the office and https://utm.example.local frm inside the LAN.

Cheers - Bob

You could also try just a little bit of split DNS-setup. In stead of creating a new forward lookup zone "example.com" you could create a new forward lookup zone "utm.example.com" and add an A-record without a name but just the internal IP-address of the UTM. That way all other example.com DNS-settings will keep coming from (and only be managed from) the one and only authorative server for this domain.

You could also try just a little bit of split DNS-setup. In stead of creating a new forward lookup zone "example.com" you could create a new forward lookup zone "utm.example.com" and add an A-record without a name but just the internal IP-address of the UTM. That way all other example.com DNS-settings will keep coming from (and only be managed from) the one and only authorative server for this domain.

I use split-dns everytime, it's simple and it works - but I think it's like "potato potato" which one you choose :-)

At the end, it also depends on if admin wants to open User Portal access from anywhere or just from LAN, for security reasons.

Hi Bob,

We actually do get 5 static IP addresses from our ISP, but we only have the need for one at the moment. We have hosting with AWS, so we use Gmail which they bundle their services with.

apijnappels, thanks for this suggestion. I decided to disable access to the User Portal outside the LAN, since our CEO was worried about security. I don't know if we'll ever use it anyway. This was a good learning experience though, and I think I know what to do if I have to revisit this.