Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4689 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mapping DNS records (answers)

flaifel
Hi

I have my internal DNS server - in the DMZ - and want to publish to the outside.

All the record in the DNS are private "192.168.x.x" and I want it to be resolved to the outside by the NAT IP address configured on the ASG.

So when do an nslookup for mail.mycompany.com internally it will be answered by 192.168.1.3 but from outside the netowork, it will be mapped to the public IP assigned for the DNS server in the ASG

How can I do this ?

thanks
Mohammad


This thread was automatically locked due to age.
  • 0
    You can't.  Astaro doesn't have a full blown DNS server that can host and manage full zone records.  

    You need an external DNS provider, which is the normal way of doing DNS (separate internal and external, it's called split-brain DNS).  There are tons of them out there such as www.easydns.com.  You can also check with whoever you bought your domain name from and see if they provide simple DNS services to create A records, many of the larger ones like Domain Names, Web Hosting and Online Marketing Services | Network Solutions do.
  • 0
    Thanks Scott

    just want to make sure you got my point right ... I don't want to user the ASG as DNS server, I already have windows DNS internally.  I just wondering if the astaro can change the dns response coming from my dns server to the outside - similar to whats in PIX - alias command

    thanks

    Mohammad
  • 0
    change the dns response coming from my dns server to the outside

    External entities shouldn't be allowed to query your internal DNS servers.  

    Based on the use case in the first post, there's a few different ways to achieve something similar.  On your internal dns server, you probably have a zone like mycompany.local.  Just create a new zone for mycompany.com and add an A record for the mail host with IP Address 192.168.1.3.  It won't affect your external mycompany.com records at all, it'll just be used for internal lookups.  You could also create a static DNS mapping if you use the Astaro DNS for the same thing.  Just depends how your DNS requests are setup internally as to which would be more efficient and work best to "catch" the request before it heads out to external DNS.  

    What I normally do is use windows DNS on DCs with forwarding set to external public DNS (can be ISP, openDNS, or Google DNS).  I just set Astaro to forward to the DCs.

    Some people like to Set windows DNS to forward to the Astaro and then the Astaro DNS set to forward to external DNS.

    All internal clients should be set to use the windows DNS as DNS servers.

    The Alias command was created and useful in the NT days before Microsoft had a decent DNS server and internal clients were set to all use external DNS for resolution.  This tended to create a lot of unnecessary and redundant WAN traffic and the command was deprecated when internal DNS  and NAT technologies became more common and robust.

    If your asking how to change the source address for traffic coming from your network, as seen by external entities, then you can use SNAT rules to achieve this. 

    Does this help or am I still misunderstanding?
  • 0
    Thanks again Scott.

    I got your point and I think its valid.  having an external DNS hosted with people like network solutions is better and makes more sense.

    But moving further in discussion - which is not related to my case here:

    If am a SP running authoritative DNS servers - which means I shouldn't be relying on other SPS, how would I solve this issue ?  It doesn't make sense for me having 2 DNS DBs (as private and as public IPs), is that right ?

    Mohammad
  • 0
    An ISP would have internal DNS servers to service their internal zones with natted non internet routable IP Addresses.  The public DNS servers would be in a DMZ or separate physical network.

    In order to host a public DNS for a given domain(s), you would also need to apply for registration with the applicable TLD registrar and meet their minimum requirements (e.g. at least two servers at separate static and "permanent" public IP addresses).

    Here's a link to a good article about what a pain it is to run a public DNS:  BIND 8 for NT
  • 0 in reply to Scott_Klassen
    Hi Scott,

    What Mohammad is asking is that with PIX/ASA, if you have servers hosted internally but exposed via NAT externally (eg a mail server, web server), PIX/ASA will figure out and translate the DNS answer from an internal DNS server (that only knows about the internal addresses) to match the NAT, plus it will also do some DNS protocol enforcement.

    Regards,
    Stuart
  • 0
    Stuart, I guess I don't see what the Astaro isn't doing that the Pix/ASA does.  I'm thinking about 'Request Routing' and 'DNS Host/Group' definitions.  Then again, I'm not sure what you mean by "DNS protocol enforcement."

    Thanks - Bob
  • 0
    @stupots:  There isn't any DNS doctoring in Astaro that will modify DNS requests on the fly.