Split-DNS

Um aus dem Internet auf einen internen Server im LAN oder in einer DMZ zugreifen zu können, wird oft eine DNAT- bzw. Portforwarding-Regel in der Firewall-Konfiguration des DEFENDOs hinterlegt. Diese sorgt dafür, dass Verbindungen, die an DEFENDOs Internet-IP und einen bestimmten Port gerichtet sind, an die entsprechende interne IP-Adresse weitergeleitet werden. Auch um HTTPS-Verbindungen über den DEFENDO Reverse-Proxy zu leiten, wird häufig DNAT benötigt, da der Reverse-Proxy nicht an den Standardport für HTTPS (443) gebunden werden kann. Eingehende HTTPS-Verbindungen müssen per DNAT an den Reverse-Proxy Port umgeleitet werden.

Versucht ein Rechner aus dem LAN auf dem selben Weg auf den Server zuzugreifen, schlägt dies fehl. Die Lösung dieses Problem ist abhängig von verschiedenen Randbedingungen:

• Greift der Client nicht über DNS-Namen sondern direkt auf die externe DEFENDO IP zu, müssen Sie auf NAT-Reflection zurückgreifen.
• Auch wenn die Zugriffe von außen abhängig vom Port auf verschiedene interne Server weitergeleitet werden, muss NAT-Reflection genutzt werden.
• Geht es jedoch um Zugriff auf genau einen internen Server der über einen DNS-Namen adressiert wird, dann ist der in diesem Artikel beschriebene Weg über "Split-DNS" die eleganteste Lösung.

Nach erfolgter Konfiguration werden DNS-Anfragen von Clients, die direkt oder indirekt über DEFENDOs Name-Server laufen, mit der internen IP des Servers beantwortet. Der Client greift somit direkt auf den internen Server zu. Verbindet sich der Client über einen der DEFENDO Proxies, wird sich entsprechend der Proxy zu der internen IP des Servers verbinden.

Konfigurieren Sie unter "Module > DNS > Einstellungen" auf dem Reiter "DNS-Regeln" eine neue Regel, die den verwendeten DNS-Namen auf die IP des internen Servers leitet. Beispiel:

www.example.com A/AAAA/CNAME 192.168.0.1