Split-DNS

Um aus dem Internet auf einen internen Server im LAN oder in einer DMZ zugreifen zu können, wird oft eine DNAT- bzw. Portforwarding-Regel in der Firewall-Konfiguration des SX-GATEs hinterlegt. Diese sorgt dafür, dass Verbindungen, die an SX-GATEs Internet-IP und einen bestimmten Port gerichtet sind, an die entsprechende interne IP-Adresse weitergeleitet werden. Auch um HTTPS-Verbindungen über den SX-GATE Reverse-Proxy zu leiten, wird häufig DNAT benötigt, da der Reverse-Proxy nicht an den Standardport für HTTPS (443) gebunden werden kann. Eingehende HTTPS-Verbindungen müssen per DNAT an den Reverse-Proxy Port umgeleitet werden.

Versucht ein Rechner aus dem LAN auf dem selben Weg auf den Server zuzugreifen, schlägt dies fehl. Die Lösung dieses Problem ist abhängig von verschiedenen Randbedingungen:

  • Greift der Client nicht über DNS-Namen sondern direkt auf die externe SX-GATE IP zu, müssen Sie auf NAT-Reflection zurückgreifen.
  • Auch wenn die Zugriffe von außen abhängig vom Port auf verschiedene interne Server weitergeleitet werden, muss NAT-Reflection genutzt werden.
  • Geht es jedoch um Zugriff auf genau einen internen Server der über einen DNS-Namen adressiert wird, dann ist der in diesem Artikel beschriebene Weg über »Split-DNS« die eleganteste Lösung.

Konfiguration

Legen Sie unter »Module > DNS > Zonen« einen neuen Eintrag vom Typ »Domain« für den DNS-Namen (z.B. www.example.com) an. Ein Eintrag für die gesamte Domain (z.B. example.com) ist ungeeignet.

Legen Sie unter »Benutzerdefinierte Einträge« folgenden Eintrag für die interne IP-Adresse des Servers (im Beispiel 192.168.0.1) an:

@ A 192.168.0.1

DNS-Anfragen von Clients die direkt oder indirekt über SX-GATEs Name-Server laufen, werden dann mit der internen IP des Servers beantwortet. Der Client greift somit direkt auf den internen Server zu.