Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2440 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Local DNS Behaviour

armouredking
So I've run into a problem using local DNS resolution with Sophos UTM 9.313.

The network is 1 internal subset ( 192.168.55.0/24 ) and has four external IP addresses. The web server is located at 192.168.55.25. In order to support applications that require websockets, I have used one of the four external IP addresses as a passthrough ( we'll call it xx.xx.xx.xx on port 80 / 443 are routed / NAT / firewalled directly to 192.168.55.25 ) and another external IP ( say yy.yy.yy.yy ) is setup with WAF applications.

Here's the issue: When using local DNS entries, Sophos appears to assign wildcard matching status even when no wildcard is specified. Thus, the setup is seen as:

computer.name.local
Reverse DNS -> Checked
Additional Host names:
domain.name
www(dot)domain.name
sub1.domain.name
sub2.domain.name
sub3.domain.name

All of these domains are hosted on the external IP that points directly to the webserver ( xx.xx.xx.xx ), so in order for them to work internally ( due to the routing issues mentioned elsewhere on these boards ) internal DNS must be configured ( preferred ) or a full NAT setup to allow proper redirection.

The domains all work fine, until you try to access the WAF on the alternate external IP address ( yy.yy.yy.yy ). Then things go bad. For example, I type in sub4.domain.name which is hosted on yy.yy.yy.yy instead of xx.xx.xx.xx, and my browser tells me it cannot resolve the domain. Okay, odd, start troubleshooting. The problem goes away as soon as I remove the non-sub address.

In other words, the host entry now looks like:

computer.name.local
Reverse DNS -> Checked
Additional Host names:
www(dot)domain.name
sub1.domain.name
sub2.domain.name
sub3.domain.name

Now, both xx.xx.xx.xx and yy.yy.yy.yy hosted domains work, but on the internal network I can no longer resolve domain.name. The easiest solution would be to setup domain.name and www(dot)domain.name on the WAF so that both resolve, but the WAF still does not support websockets in 2015 without modifications that do not persist across reboots of the Sophos UTM ( see here regarding feature requests about websockets ). Another solution would of course be to setup an actual dedicated internal DNS server, but that seems pretty heavy handed for what I require ( only a few addresses ).




I guess my question then is, is this the expected behaviour? Is not including a a subdomain in the DNS resolution of Host objects on a Sophos UTM supposed to be the same as specifying a wildcard address?


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the pics - having seen them, your original explanation is clear.

    Why not simply create another Host with 'Hostname: read.deor***nn.com' for 184.x.y.179?

    Bear in mind that the UTM's bind configuration is not intended to be a full-fledged DNS server.  That being said, this doesn't work as I would have expected so if this is a paid license, please have your reseller get Sophos Support involved to confirm whether this is a bug or a feature.

    I'm confused by your comment that a Full NAT was complex.  If read.deor***nn.com is hosted on an internal server, put a new Additional Address "read" on the Internal interface.  Create a Host definition for that IP and give it the hostname read.deor***nn.com.  The NAT is

    Full NAT : Internal (Network) -> Web Surfing -> Internal [read] (Address) : from Internal [read] (Address) to {IP of internal server}


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks for the pics - having seen them, your original explanation is clear.

    Why not simply create another Host with 'Hostname: read.deor***nn.com' for 184.x.y.179?


    So basically a 'dummy' entry? The equivalent to editing hosts files I suppose. Didn't cross my mind that was a possibility. For the moment I have just set about refiguring where websocket services are run.

    Bear in mind that the UTM's bind configuration is not intended to be a full-fledged DNS server.  That being said, this doesn't work as I would have expected so if this is a paid license, please have your reseller get Sophos Support involved to confirm whether this is a bug or a feature.


    It's not. Hence asking here for clarification of the function rather than throwing in a ticket.

    I'm confused by your comment that a Full NAT was complex.  If read.deor***nn.com is hosted on an internal server, put a new Additional Address "read" on the Internal interface.  Create a Host definition for that IP and give it the hostname read.deor***nn.com.  The NAT is

    Full NAT : Internal (Network) -> Web Surfing -> Internal [read] (Address) : from Internal [read] (Address) to {IP of internal server}


    Cheers - Bob


    I attempted to setup a full NAT setup as described by the KB article referenced above. I didn't do it for a specific hostname as you suggest ( seems counter to KISS to set it up with a DNAT / FNAT when you can go the DNS route ); when I attempted to set it up I got internal resolution but lost external access ( something about a socket error I think ). Been a few days. The NAT was the alternative solution offered by the KB, so I setup the primary solution instead but it didn't work as I had expected it to do so.
Reply
  • 0 in reply to BAlfson
    Thanks for the pics - having seen them, your original explanation is clear.

    Why not simply create another Host with 'Hostname: read.deor***nn.com' for 184.x.y.179?


    So basically a 'dummy' entry? The equivalent to editing hosts files I suppose. Didn't cross my mind that was a possibility. For the moment I have just set about refiguring where websocket services are run.

    Bear in mind that the UTM's bind configuration is not intended to be a full-fledged DNS server.  That being said, this doesn't work as I would have expected so if this is a paid license, please have your reseller get Sophos Support involved to confirm whether this is a bug or a feature.


    It's not. Hence asking here for clarification of the function rather than throwing in a ticket.

    I'm confused by your comment that a Full NAT was complex.  If read.deor***nn.com is hosted on an internal server, put a new Additional Address "read" on the Internal interface.  Create a Host definition for that IP and give it the hostname read.deor***nn.com.  The NAT is

    Full NAT : Internal (Network) -> Web Surfing -> Internal [read] (Address) : from Internal [read] (Address) to {IP of internal server}


    Cheers - Bob


    I attempted to setup a full NAT setup as described by the KB article referenced above. I didn't do it for a specific hostname as you suggest ( seems counter to KISS to set it up with a DNAT / FNAT when you can go the DNS route ); when I attempted to set it up I got internal resolution but lost external access ( something about a socket error I think ). Been a few days. The NAT was the alternative solution offered by the KB, so I setup the primary solution instead but it didn't work as I had expected it to do so.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?