Konfigurieren des eingehenden DNS-Lastenausgleichs und des Failovers
Sie können mehrere DNS-Hosteinträge für eine einzelne Website hinzufügen, die hinter der Sophos Firewall gehostet wird, wodurch ein eingehender DNS-Lastenausgleich ermöglicht wird.
Überblick
Die Sophos Firewall fungiert als DNS-Nameserver und stellt dem anfragenden Endpoint-Computer A-Records zur Auflösung der angeforderten URL bereit. Durch das Hinzufügen mehrerer DNS-Host-Einträge für eine einzelne, hinter der Firewall gehostete Website kann eingehender DNS-Verkehr auf mehrere WAN-Verbindungen verteilt werden. Dies ermöglicht ein Failover bei nicht erreichbaren oder inaktiven Schnittstellen.
Einführung
Dieser Artikel beschreibt, wie Sie statische DNS-Host-Einträge so konfigurieren, dass die Firewall alle Anfragen für die Website www.example.com an eine der WAN-Link-IP-Adressen 10.10.10.1 oder 20.20.20.1 weiterleitet. Fällt einer der Links aus, leitet die Firewall alle Anfragen an die IP-Adresse der aktiven Schnittstelle weiter. Dies erleichtert den eingehenden DNS-Lastenausgleich und das Failover.
Die Schritte einer Benutzeranfrage für www.example.com sind im folgenden Diagramm dargestellt:
- Ein Endpunktcomputer sendet eine Anfrage an einen lokalen DNS-Server und fragt nach der IP-Adresse von http://www.example.com.
- Der lokale DNS-Server leitet diese Anfrage an den autoritativen DNS-Server weiter.
- Der autoritative DNS-Server antwortet dem lokalen DNS-Server mit vorregistrierten NS-Einträgen ns1.example.com und ns2.example.com und leitet die Anfrage direkt an die Sophos Firewall weiter.
- Der lokale DNS-Server fragt wiederum die Sophos Firewall nach der IP-Adresse von http://www.example.com ab. Die Abfrage erreicht die Firewall über einen der aktiven WAN-Links.
- Die Sophos Firewall antwortet dem lokalen DNS-Server mit 20.20.20.1, der WAN-IP-Adresse der Schnittstelle, die die Anfrage empfangen hat.
- Der lokale DNS-Server antwortet dem Endpoint-Computer mit 20.20.20.1, der von der Sophos Firewall erhaltenen IP-Adresse.
- Der Endpunktcomputer greift dann über die HTTP-Anfrage http://20.20.20.1 auf www.example.com zu.
- Der Webserver 172.16.16.5, auf dem www.example.com gehostet wird und der über statische DNS-Hosteinträge in der Firewall an die beiden WAN-Links 10.10.10.1 und 20.20.20.1 gebunden ist, antwortet auf die HTTP-Anfrage des Endpunktcomputers mit relevantem Inhalt.
Voraussetzungen
Damit die Sophos Firewall als Nameserver fungiert und die A-Einträge für die dahinter gehosteten Domänen bereitstellt, müssen Sie entsprechende NS-Einträge beim autoritativen DNS des Internetdienstanbieters registrieren, die auf die WAN-Links der Firewall verweisen. Dadurch leitet der DNS-Server des Internetdienstanbieters eine DNS-Anfrage für Ihre Domäne von einem Endpoint-Computer an die Firewall weiter.
DNS für die WAN-Zone aktivieren
Um die Sophos Firewall als DNS-Nameserver für einen Webserver hinter der Firewall zu verwenden, müssen Sie DNS für die WAN-Zone aktivieren. Gehen Sie dazu wie folgt vor:
- Gehe zu Verwaltung > Gerätezugriff.
- Wählen DNS für die VAN Zone.
- Klicken Anwenden.
Hinzufügen eines DNS-Hosteintrags
Als Nächstes müssen Sie einen DNS-Hosteintrag für die von der Firewall gehostete Website konfigurieren. Geben Sie mehrere WAN-IP-Adressen an, um Lastenausgleich und Failover zu aktivieren. Gehen Sie dazu wie folgt vor:
- Gehe zu Netzwerk > DNS.
- Blättern Sie zu DNS-Hosteintrag und klicken Sie auf Hinzufügen.
- Geben Sie www.example.com für die Host-/Domänenname.
- Geben Sie 10.10.10.1 für die IP-Adresse.
- Wählen Im WAN veröffentlichen.
- Klicken Hinzufügen
um eine zweite Adresse hinzuzufügen.
- Geben Sie 20.20.20.1 für die zweite IP-Adresse.
-
Wählen Im WAN veröffentlichen.
-
Klicken Speichern.
Einschränkungen
Für DNS-Lastausgleich und Failover gelten die folgenden Einschränkungen:
- Es sind maximal acht Adressen zulässig.
- Es werden maximal 1024 DNS-Einträge unterstützt.
-
Es werden nur DNS-Einträge vom Typ A, AAAA und PTR unterstützt.
- Adressdatensätze (A) verweisen einen Hostnamen auf eine IP-Adresse und geben eine 32-Bit-IPv4-Adresse zurück.
- AAAA-Einträge verweisen einen Hostnamen auf eine IP-Adresse und geben eine 128-Bit-IPv6-Adresse zurück.
- Pointer Records (PTR) werden für Reverse Lookups verwendet. Sie ordnen die IP-Adresse einem Hostnamen zu.
-
Wenn Sie die Geräteschnittstelle als DNS-Nameserver verwenden, wird vor der Abfrage der ROOT-Server eine Abfrage an die konfigurierten DNS-Server gesendet.