Split-DNS

Um aus dem Internet auf einen internen Server im LAN oder in einer DMZ zugreifen zu können, wird oft eine DNAT- bzw. Portforwarding-Regel in der Firewall-Konfiguration des SX-GATEs hinterlegt. Diese sorgt dafür, dass Verbindungen, die an SX-GATEs Internet-IP und einen bestimmten Port gerichtet sind, an die entsprechende interne IP-Adresse weitergeleitet werden. Auch um HTTPS-Verbindungen über den SX-GATE Reverse-Proxy zu leiten, wird häufig DNAT benötigt, da der Reverse-Proxy nicht an den Standardport für HTTPS (443) gebunden werden kann. Eingehende HTTPS-Verbindungen müssen per DNAT an den Reverse-Proxy Port umgeleitet werden.

Versucht ein Rechner aus dem LAN auf dem selben Weg auf den Server zuzugreifen, schlägt dies fehl. Die Lösung dieses Problem ist abhängig von verschiedenen Randbedingungen:

  • Greift der Client nicht über DNS-Namen sondern direkt auf die externe SX-GATE IP zu, müssen Sie auf NAT-Reflection zurückgreifen.
  • Auch wenn die Zugriffe von außen abhängig vom Port auf verschiedene interne Server weitergeleitet werden, muss NAT-Reflection genutzt werden.
  • Geht es jedoch um Zugriff auf genau einen internen Server der über einen DNS-Namen adressiert wird, dann ist der in diesem Artikel beschriebene Weg über »Split-DNS« die eleganteste Lösung.

Konfiguration

Legen Sie unter »Module > DNS > Zonen« einen neuen Eintrag vom Typ »Domain« für den DNS-Namen (z.B. www.example.com) an. Ein Eintrag für die gesamte Domain (z.B. example.com) ist ungeeignet.

Legen Sie unter »Benutzerdefinierte Einträge« folgenden Eintrag für die interne IP-Adresse des Servers (im Beispiel 192.168.0.1) an:

@ A 192.168.0.1

DNS-Anfragen von Clients die direkt oder indirekt über SX-GATEs Name-Server laufen, werden dann mit der internen IP des Servers beantwortet. Der Client greift somit direkt auf den internen Server zu.

Diese Website verwendet Cookies. Mit einem Klick auf OK stimmen Sie der Benutzung von Cookies zu.
Weitere Informationen Ok Ablehnen