Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=network-DNS-inbound-load-balancing-failover

Konfiguration des eingehenden DNS-Lastausgleichs und des Failovers

Sie können mehrere DNS-Hosteinträge für eine einzelne Website hinzufügen, die hinter der Sophos Firewall gehostet wird. Dies ermöglicht den Lastausgleich für eingehende DNS-Einträge.

Überblick

Die Sophos Firewall fungiert als DNS-Nameserver und stellt dem anfragenden Endgerät A-Einträge zur Verfügung, um die angeforderte URL aufzulösen. Durch das Hinzufügen mehrerer DNS-Hosteinträge für eine einzelne, hinter der Firewall gehostete Website kann der eingehende DNS-Datenverkehr über mehrere WAN-Verbindungen verteilt werden. Zudem wird ein Failover für nicht erreichbare oder ausgefallene Schnittstellen bereitgestellt.

Einführung

Dieser Artikel beschreibt, wie Sie statische DNS-Hosteinträge konfigurieren, sodass die Firewall alle Anfragen für die Website www.example.com an eine der WAN-Verbindungs-IP-Adressen (10.10.10.1 oder 20.20.20.1) auflöst. Fällt eine der Verbindungen aus, leitet die Firewall alle Anfragen an die IP-Adresse der aktiven Schnittstelle weiter. Dies ermöglicht einen effizienten Lastausgleich und Failover für eingehende DNS-Anfragen.

Die einzelnen Schritte einer Benutzeranfrage an www.example.com sind im folgenden Diagramm dargestellt:

Network Diagram.

  1. Ein Endgerät sendet eine Anfrage an einen lokalen DNS-Server, in der die IP-Adresse von http://www.example.com angefordert wird.
  2. Der lokale DNS-Server leitet diese Anfrage an den autoritativen DNS-Server weiter.
  3. Der autoritative DNS-Server antwortet dem lokalen DNS-Server mit vorregistrierten NS-Einträgen ns1.example.com und ns2.example.com und leitet die Anfrage direkt an die Sophos Firewall weiter.
  4. Der lokale DNS-Server fragt seinerseits die Sophos Firewall nach der IP-Adresse von http://www.example.com ab. Die Anfrage erreicht die Firewall über eine der aktiven WAN-Verbindungen.
  5. Die Sophos Firewall antwortet dem lokalen DNS-Server mit 20.20.20.1, der WAN-IP-Adresse der Schnittstelle, die die Anfrage empfangen hat.
  6. Der lokale DNS-Server antwortet dem Endpunktrechner mit 20.20.20.1, der IP-Adresse, die von der Sophos Firewall bezogen wird.
  7. Der Endpunktrechner greift dann über die HTTP-Anfrage http://20.20.20.1 auf www.example.com zu.
  8. Der Webserver, auf dem www.example.com gehostet wird (172.16.16.5), der über statische DNS-Hosteinträge in der Firewall an die WAN-Verbindungen 10.10.10.1 und 20.20.20.1 gebunden ist, antwortet auf die HTTP-Anfrage des Endpunktrechners mit relevanten Inhalten.

Voraussetzungen

Damit die Sophos Firewall als Nameserver fungieren und die A-Einträge für dahinter gehostete Domains bereitstellen kann, müssen Sie entsprechende NS-Einträge beim autoritativen DNS-Server Ihres Internetanbieters registrieren, die auf die WAN-Verbindungen der Firewall verweisen. Auf diese Weise leitet der DNS-Server Ihres Internetanbieters Anfragen nach Ihrer Domain von Endgeräten an die Firewall weiter.

DNS für die WAN-Zone aktivieren

Um die Sophos Firewall als DNS-Nameserver für einen Webserver hinter der Firewall zu verwenden, müssen Sie DNS für die WAN-Zone aktivieren. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Wählen DNS für die VAN Zone.
  3. Klicken Anwenden.

Fügen Sie einen DNS-Hosteintrag hinzu

Als Nächstes müssen Sie einen DNS-Hosteintrag für die von der Firewall gehostete Website konfigurieren. Geben Sie mehrere WAN-IP-Adressen an, um Lastverteilung und Failover zu aktivieren. Gehen Sie wie folgt vor:

  1. Gehe zu Netzwerk > DNS.
  2. Scrollen Sie zu DNS-Hosteintrag Abschnitt und klicken Hinzufügen.
  3. Geben Sie www.example.com ein für die Host-/Domänenname.
  4. Geben Sie 10.10.10.1 für die IP-Adresse.
  5. Wählen Veröffentlichung im WAN.
  6. Klicken Hinzufügen Add. um eine zweite Adresse hinzuzufügen.
  7. Geben Sie 20.20.20.1 für den zweiten Eintrag ein. IP-Adresse.

  8. Wählen Veröffentlichung im WAN.

    Add a DNS host entry.

  9. Klicken Speichern.

Einschränkungen

Für DNS-Lastverteilung und Failover gelten folgende Einschränkungen:

  • Es sind maximal acht Adressen zulässig.
  • Die maximal unterstützte Anzahl an DNS-Einträgen beträgt 1024.

  • Es werden nur DNS-Einträge der Typen A, AAAA und PTR unterstützt.

    • Address(A)-Datensätze verweisen einen Hostnamen auf eine IP-Adresse und geben eine 32-Bit-IPv4-Adresse zurück.
    • AAAA-Einträge verweisen einen Hostnamen auf eine IP-Adresse und geben eine 128-Bit-IPv6-Adresse zurück.
    • Pointer-Einträge (PTR) werden für umgekehrte Namensauflösungen verwendet. Sie ordnen die IP-Adresse einem Hostnamen zu.

  • Wenn Sie die Geräteschnittstelle als DNS-Namensserver verwenden, wird eine Anfrage an die konfigurierten DNS-Server gesendet, bevor die ROOT-Server abgefragt werden.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen