Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2647 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS tips for the little guys (using only built in DNS)

GetParanoid
I've read the Rulz and DNS best practices, but these all seem to advise on how to best interact with your other DNS server.

I would like to know how best to fully utilize the internal DNS server when it is all you have. Reading trollvottel's post on current limitations is also very helpful for deciding on whether or not this is something you can live with.

Thanks!


This thread was automatically locked due to age.
  • 0
    I recommend that only the smallest businesses go this route, and they rarely have sophisticated needs when it comes to internal DNS.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes Bob, understood. But throw me a bone here, what if we ARE one of those smallest businesses and DON'T have sophisticated needs. Statistically that is the vast majority of businesses.

    Your knowledge would be most helpful (and appreciated) in advising best practice (if there is one) for this simple scenario as well.

     “Stay paranoid, my friends.”

  • 0
    If you don't have a DNS server, 

    a. set the UTM's DHCP server to assign the UTM's internal IP as the DNS server.

    b. Make sure to enabled the UTM's DNS server for your internal networks.

    c. use your ISP's DNS servers or OpenDNS or GoogleDNS in the UTM's DNS resolver setting.

    Barry
  • 0 in reply to BarryG
    Thanks Barry! Not sure where to do a.

    Also, what about internal machines name resolution, is there a way to do this also?

    a. set the UTM's DHCP server to assign the UTM's internal IP as the DNS server.


    ???

    b. Make sure to enabled the UTM's DNS server for your internal networks.


    Network Services -> DNS -> [TAB]Global -> Allowed Networks -> + -> LAN & VPN

    c. use your ISP's DNS servers or OpenDNS or GoogleDNS in the UTM's DNS resolver setting..


    Network Services -> DNS -> [TAB]Forwarders -> + -> ISPDNS1 & ISPDNS2 -> [X] Use forwarders assigned by ISP -> ON

    -OR-

    Network Services -> DNS -> [TAB]Forwarders -> + -> OpenDNS1 & OpenDNS2 -> [  ] Use forwarders assigned by ISP -> OFF

     “Stay paranoid, my friends.”

  • 0
    a.
    Network Services -> DHCP.
    Put the UTM's internal IP in the DNS setting for the internal DHCP service

    b. yes

    c. yes; your choice. I prefer to use OpenDNS... their IPs are listed at 
    https://www.opendns.com/home-internet-security/opendns-ip-addresses/

    Barry
  • 0
    Okay, that's already there. So no way to do internal name resolution with just built in?

     “Stay paranoid, my friends.”

  • 0
    Quote:
    a. set the UTM's DHCP server to assign the UTM's internal IP as the DNS server.
    ???
    When you set up a DHCP server instance at Network Services > DHCP > Servers, there are boxes to enter DNS servers.

    Also, if using remote VPN, you'll want to enter you DNS at Remote Access > Advanced, so that it is sent to the remote access client.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    When you set up a DHCP server instance at Network Services > DHCP > Servers, there are boxes to enter DNS servers..


    I placed my internal lan ip address here, is that not correct? I have all workstations' DNS set to Internal LAN ip address, and I have defined DNS hosts for OpenDNS1 and OpenDNS2 which are added in Network Services > DNS with forwarding off.

    Also, if using remote VPN, you'll want to enter you DNS at Remote Access > Advanced, so that it is sent to the remote access client.


    I have also added Internal LAN ip address here. Is this okay?

     “Stay paranoid, my friends.”

  • 0
    Yep, both OK.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?