Zur Startseite gehen
0,00 €*

Konfigurieren des eingehenden DNS-Lastenausgleichs und des Failovers

Sie können mehrere DNS-Hosteinträge für eine einzelne Website hinzufügen, die hinter der Sophos Firewall gehostet wird, wodurch ein eingehender DNS-Lastenausgleich ermöglicht wird.

Überblick

Die Sophos Firewall fungiert als DNS-Nameserver und stellt dem anfragenden Endpoint-Computer A-Records zur Auflösung der angeforderten URL bereit. Durch das Hinzufügen mehrerer DNS-Host-Einträge für eine einzelne, hinter der Firewall gehostete Website kann eingehender DNS-Verkehr auf mehrere WAN-Verbindungen verteilt werden. Dies ermöglicht ein Failover bei nicht erreichbaren oder inaktiven Schnittstellen.

Einführung

Dieser Artikel beschreibt, wie Sie statische DNS-Host-Einträge so konfigurieren, dass die Firewall alle Anfragen für die Website www.example.com an eine der WAN-Link-IP-Adressen 10.10.10.1 oder 20.20.20.1 weiterleitet. Fällt einer der Links aus, leitet die Firewall alle Anfragen an die IP-Adresse der aktiven Schnittstelle weiter. Dies erleichtert den eingehenden DNS-Lastenausgleich und das Failover.

Die Schritte einer Benutzeranfrage für www.example.com sind im folgenden Diagramm dargestellt:

Network Diagram.

  1. Ein Endpunktcomputer sendet eine Anfrage an einen lokalen DNS-Server und fragt nach der IP-Adresse von http://www.example.com.
  2. Der lokale DNS-Server leitet diese Anfrage an den autoritativen DNS-Server weiter.
  3. Der autoritative DNS-Server antwortet dem lokalen DNS-Server mit vorregistrierten NS-Einträgen ns1.example.com und ns2.example.com und leitet die Anfrage direkt an die Sophos Firewall weiter.
  4. Der lokale DNS-Server fragt wiederum die Sophos Firewall nach der IP-Adresse von http://www.example.com ab. Die Abfrage erreicht die Firewall über einen der aktiven WAN-Links.
  5. Die Sophos Firewall antwortet dem lokalen DNS-Server mit 20.20.20.1, der WAN-IP-Adresse der Schnittstelle, die die Anfrage empfangen hat.
  6. Der lokale DNS-Server antwortet dem Endpoint-Computer mit 20.20.20.1, der von der Sophos Firewall erhaltenen IP-Adresse.
  7. Der Endpunktcomputer greift dann über die HTTP-Anfrage http://20.20.20.1 auf www.example.com zu.
  8. Der Webserver 172.16.16.5, auf dem www.example.com gehostet wird und der über statische DNS-Hosteinträge in der Firewall an die beiden WAN-Links 10.10.10.1 und 20.20.20.1 gebunden ist, antwortet auf die HTTP-Anfrage des Endpunktcomputers mit relevantem Inhalt.

Voraussetzungen

Damit die Sophos Firewall als Nameserver fungiert und die A-Einträge für die dahinter gehosteten Domänen bereitstellt, müssen Sie entsprechende NS-Einträge beim autoritativen DNS des Internetdienstanbieters registrieren, die auf die WAN-Links der Firewall verweisen. Dadurch leitet der DNS-Server des Internetdienstanbieters eine DNS-Anfrage für Ihre Domäne von einem Endpoint-Computer an die Firewall weiter.

DNS für die WAN-Zone aktivieren

Um die Sophos Firewall als DNS-Nameserver für einen Webserver hinter der Firewall zu verwenden, müssen Sie DNS für die WAN-Zone aktivieren. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Verwaltung > Gerätezugriff.
  2. Wählen DNS für die VAN Zone.
  3. Klicken Anwenden.

Hinzufügen eines DNS-Hosteintrags

Als Nächstes müssen Sie einen DNS-Hosteintrag für die von der Firewall gehostete Website konfigurieren. Geben Sie mehrere WAN-IP-Adressen an, um Lastenausgleich und Failover zu aktivieren. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Netzwerk > DNS.
  2. Blättern Sie zu DNS-Hosteintrag und klicken Sie auf Hinzufügen.
  3. Geben Sie www.example.com für die Host-/Domänenname.
  4. Geben Sie 10.10.10.1 für die IP-Adresse.
  5. Wählen Im WAN veröffentlichen.
  6. Klicken Hinzufügen Add. um eine zweite Adresse hinzuzufügen.
  7. Geben Sie 20.20.20.1 für die zweite IP-Adresse.

  8. Wählen Im WAN veröffentlichen.

    Add a DNS host entry.

  9. Klicken Speichern.

Einschränkungen

Für DNS-Lastausgleich und Failover gelten die folgenden Einschränkungen:

  • Es sind maximal acht Adressen zulässig.
  • Es werden maximal 1024 DNS-Einträge unterstützt.

  • Es werden nur DNS-Einträge vom Typ A, AAAA und PTR unterstützt.

    • Adressdatensätze (A) verweisen einen Hostnamen auf eine IP-Adresse und geben eine 32-Bit-IPv4-Adresse zurück.
    • AAAA-Einträge verweisen einen Hostnamen auf eine IP-Adresse und geben eine 128-Bit-IPv6-Adresse zurück.
    • Pointer Records (PTR) werden für Reverse Lookups verwendet. Sie ordnen die IP-Adresse einem Hostnamen zu.

  • Wenn Sie die Geräteschnittstelle als DNS-Nameserver verwenden, wird vor der Abfrage der ROOT-Server eine Abfrage an die konfigurierten DNS-Server gesendet.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung